Tulisan ini saya buat, terinspirasi dari transaksi kartu kredit yang dilakukan oleh Ibu saya dan temannya. Pada hari Sabtu, 29 Maret 2013, Ibu saya dihubungi oleh seorang temannya, dan hendak meminjam kartu kredit dalam rangka pembelian alat terapi giok yang sedang promosi. Menurut keterangan teman Ibu saya, jika membeli produk terapi tersebut menggunakan kartu kredit bisa mendapatkan diskon hingga lebih dari 50 %. Jadi, produk seharga sekitar dua belas juta bisa diperoleh seharga lima juga rupiah jika menggunakan kartu kredit, dan akan berlaku harga dua belas juta jika dengan uang tunai. Sampai di sini tampaknya hal ini sangat menggiurkan.
Teman ibu saya pada saat itu, telah menghubungi customer service (CS)penyedia produk tersebut. Dari keterangan CS tadi, untuk bertransaksi cukup menggunakan telepon dan harus memenuhi beberapa persyaratan. Persyaratan tersebut pertama kali hanya dikatakan untuk mengirimkan salinan (copy/scan/hasil foto) kartu kredit bolak-balik. Ibu saya dan temannya yang polos soal penggunaan kartu kredit bersedia untuk memenuhi persyaratan tersebut. Ketika dikonfirmasi ke CS tadi, mereka kemudian meminta salinan Kartu Tanda Penduduk (copy/scan/hasil foto KTP).
Ketika itu, saya yang mendengarkan percakapan tersebut, langsung ikut turun tangan. Karena dalam pandangan saya hal tersebut sangat beresiko. Pertama, salinan kartu kredit memuat nomor kartu kredit, Kedua, salinan tersebut dimintakan bolak-balik, artinya tanda tangan pemilik kartu kredit yang ada di balik kartu kredit tadi bisa terlihat dengan jelas. Ketiga, ini sangat fatal yaitu, nomor Card Verification Value (CVV) kartu kredit yangtertulis sejajar dengan tanda tangan kartu kredit dapat diketahui. CVV ini pada beberapa kartu kredit seperti American Express terdapat di bagian depan di atas nomor kartu kredit.
Contoh bentuk kartu Kredit
Di sebelah kiri kartu kredit tampak depan dilengkapi dengan nomor kartu kredit
Di sebelah kanan kartu kreit tampak belakang dilengkapi dengan nomor CVV
(Sumber gambar: money.howstuffworks.com & strategicprofitsinc.com)
Customer service tersebut menyatakan kalau mereka berkantor di gedung perkantoran Duta Merlin, Jakarta. Untuk nama perusahaannya saya lupa, mungkin di lain waktu tulisan ini akan saya edit untuk menempatkan nama perusahaannya. Pada saat itu, ibu saya mulai berubah pikiran, sehingga meminta pada CS tersebut untuk bertransaksi face to face dan bertemu di kantor mereka saja. Akan tetapi, si CS tadi menyampaikan kalau transaksi dilakukan di kantor mereka, maka akan dikenalkan harga normal yaitu dua belas juta rupiah, sekalipun menggunakan kartu kredit. Dari sini saya makin curiga.
Pada akhirnya, saya berbicara langsung dengan CS tersebut. Saya berterus terang bahwa kami tidak akan menyerahkan salinan KTP tersebut, karena akan sangat beresiko, apalagi dari semula transaksi hanya dilakukan melalui telepon. Si CS tadi mengatakan kalau mereka adalah perusahaan terpercaya yang telah tigapuluh tahun beroperasi. Lalu saya menanyakan, “itu jenis transasi apa mbak?”, karena dalam pikiran saya seharusnya tidak perlu melalui sales per orangan dalam Belanja Online, tetapi cukup mengisi formulir yang dilengkapi dengan agreement (perjanjian) melalui situs. Lalu dia menerangkan kalau transaksi tersebut dikenal dengan istilah “key in”. Saya sebagai seorang peneliti di bidang kriminologi terutama cyber crime, baru ini mendengar istilah “KEY IN”. CS tadi meyakinkan kalau transaksi tersebut bisa berjalan untuk kartu kredit Mandiri, BCA dan Citibank.
Karena tidak yakin, saya memutuskan untuk berkonsultasi dengan pihak Bank Central Asia (BCA)melalui customer service. Lalu dari situ saya dijelaskan kalau BCA tidak pernah ada model transaksi key in tersebut. Bahkan setelah saya jelaskan bahwa perusahaan terapi giok tadi telah memiliki salinan kartu kredit ibu saya bolak balik, termasuk CVV, disarankan untuk memblokir kartu kredit tersebut sebelum terjadi penyalahgunaan atau penipuan kartu kredit (credit card fraud). Karena saya pikir itu adalah langkah pencegahan terbaik, maka saya sarankan Ibu saya untuk memerintahkan pihak bank memblokir kartu kredit tersebut dan akan mendapat kartu yang baru (tentu dengan nomor kartu kredit dan nomor CVV yang baru).
Saya akan menjelaskan bahaya dari model transaksi KEY IN ini kepada pembaca. Melalui sales atau customer service kita diminta untuk menyerahkan salinan bolak-balik kartu kredit dan salinan KTP. Ini berpotensi untuk digunakan dalam pembelanjaan online oleh siapa pun, karena sama saja anda menyerahkan seluruh data untuk penggunaan kartu kredit. Saya tidak menuding perusahaan tersebut akan menipu, tapi transaksi model ini sangat beresiko bahkan dalam pandangan saya, ini TIDAK WAJAR. Kalaulah memang perusahaan tersebut akan menggunakan data tadi untuk transaksi online, cukuplah mereka mengarahkan ke situs mereka, itu pun harus dengan syarat dan kondisi agar transaksi tersebut betul-betul aman dan adanya jaminan perlindungan privasi pelanggan.
Dalam transaksi online dengan kartu kredit, si pemilik kartu harus mengisi formulir. Formulir tersebut meminta pengguna kartu kredit untuk mengisi nomor kartu kredit, nomor VVC, masa berlaku kartu kredit, alamat dan beberapa isian data pribadi seperti nama dan lainnya. Nah dengan menyerahkan data-data tadi ke pihak lain, maka pihak tersebut bebas menggunakan kartu kredit anda untuk berbelanja secara online. Data-data vital tersebut dapat diperoleh dari salinan kartu kredit dan KTP anda.
Contoh formulir isian dalam belanja online
(Sumber gambar:softwareprojects.com)
Dengan demikian para pemilik kartu kredit hendaknya tidak menyerahkan atau pun memberikan salinan, atau kombinasi angka dari VVC kartu kredit anda. Karena kombinasi tersebut merupakan semacam verifikasi kartu kredit yang setara dengan tanda tangan anda, jika langsung menggunakan kartu kredit di counter belanja.
Pun bagi pihak bank, harus memberikan informasi dan edukasi kepada pengguna kartu kredit, mengenai penggunaan dan resiko dari nomor VVC, dan segala data yang perlu dirahasiakan oleh pengguna kartu kredit. Sehingga memperkecil peluang terjadinya penyalahgunaan kartu kredit oleh pihak-pihak yang bertanggungjawab.
Pun para pedagang atau perusahaan, seharusnya hal-hal seperti transaksi KEY IN tidak dilakukan, karena sangat beresiko. Resiko itu bisa muncul dari sales, atau customer service, atau staf yang berhubungan dengan penerimaan data pelanggan. Pun lebih baik sebuah perusahaan yang ingin berdagang secara online, menyediakan fasilitas online, yang dilengkapi dengan mekanisme pengamanan yang memadai dalam melakukan transaksi online, termasuk perjanjian transaksi. Bahkan perusahaan besar seperti SONY saja pernah kebobolan soal data kartu kredit pelanggan (Sumber: http://tekno.kompas.com/read/2012/06/28/04492418/FBI.Ringkus.24.Hacker.Pencuri.Data.Kartu.Kredit), padahal mereka sudah memiliki sistem sekuriti.
Semoga hal ini bisa menjadi pelajaran buat kita semua.