[caption id="attachment_417165" align="aligncenter" width="400" caption="Ilustrasi penggunaan kartu kredit untuk belanja online (sumber: creditcardchaser)"][/caption]
Sejak akhir awal 2000-an sampai sekarang saya masih rajin berbelanja di toko online dalam dan luar negeri menggunakan kartu kredit (KK). Sebagai orang yang juga berprofesi di bidang ICT, saya telah membangun beberapa online store (toko online). Sampai sekarang juga masih aktif mengikuti perkembangan dunia bawah tanah (underground) internet. Yang terakhir ini membuat saya jadi orang yang sangat berhati-hati -- cenderung paranoid -- dalam melakukan transaksi elektronik menggunakan KK. Apalagi melihat fakta bahwa sampai sekarang data KK curian diperdagangkan dengan bebas di internet dengan harga $10 per KK. Tapi sejauh ini saya masih menganggap metode pembayaran menggunakan KK masih jadi yang paling aman dan terlindungi dalam belanja online (e-Commerce). Bahkan bila dibandingkan dengan transfer bank yang tidak memiliki banyak proteksi dibandingkan KK. Sebenarnya instrumen pengaman pembayaran dengan KK di e-Commerce dari segi teknologi dan kebijakan bank maupun prinsipal/perusahaan KK seperti Visa dan Master Card (MC) sudah sangat baik. Begitu juga dengan kebijakan atas transaksi tanpa otorisasi (pencurian, penipuan, penyalahgunaan). Instrumen ini terus berkembang dan makin aman dari waktu ke waktu. Namun, menggunakan KK dalam transaksi online memang tidak boleh sembarangan. Berikut saya bagi wawasan dan tipsnya.
MEREKA YANG TERLIBAT
Dalam transaksi menggunakan KK di toko online (merchant), banyak pihak yang terlibat: pembeli, toko, cart, payment gateway, perusahaan KK dan bank penerbit. Cart adalah software yang digunakan toko saat anda menginput data diri atau KK. Cart ini bukan sekedar form isian, ia dilakukan dalam ekosistem yang aman dan terenkripsi. Toko bisa menggunakan cart buatannya sendiri, atau cart berbayar. Cart dituntut untuk memenuhi standar keamanan Payment Card Industri Data Security Standart. Contoh cart di antaranya X-Cart, Shopify, WooCommerce, Onigi, dll. Payment gateway adalah aplikasi atau pihak ketiga yang menghubungkan toko ke bank untuk verifikasi KK. Payment gateway ini dituntut punya standar tinggi keamanan. Dulu merchant bisa melakukan verifikasi langsung ke bank. Tapi mengingat rendahnya teknologi keamanan toko, kini bank hanya mau data dikirim lewat payment gateway dengan prioritas keamanan. Toko boleh membuat payment gateway sendiri, tapi harus diverifikasi secara ketat keamanannya. Contoh payment gateway adalah Ipaymu, Securepay, Veritrans, Paypal, Google Wallet, Skrill, dll. Perusahaan KK adalah penerbit brand KK seperti Visa, Master Card, Dinner Club, American Express dan JB Card. Sementara bank penerbit adalah bank yang menerbitkan KK anda. Jadi skema sederhananya adalah: pembeli > toko > cart > payment gateway > perusahaan KK > bank penerbit [caption id="attachment_1642" align="aligncenter" width="500" caption="Pembayaran KK di toko online dengan 3D Secure (sumber: Payneteasy)"]
BAGIAN PENTING DI KARTU KREDIT
Ada banyak bagian di KK yang saling berhubungan dan mengamankan. Satu bagian akan menverifikasi bagian lain. Verifikasi ini dilakukan secara bertingkat. Semakin dalam, semakin baik. Bagian ini terbagi dari yang tampak secara visual di KK, tersimpan di bank, dan bagian verifikasi temporer. Bagian yang tampak di KK adalah nomor KK, bulan/tahun kadaluwarsa, nama yang tercantum di KK, dan kode CVV (Card Verification Value) 3 angka di belakang kartu. [caption id="attachment_1643" align="aligncenter" width="540" caption="Anatomi kartu kredit (sumber: Aprisen)"]
Bagian yang tersimpan di bank adalah kode pos (zip code), alamat dan nomor telepon. Bagian verifikasi temporer adalah nomor kode atau one time password (OTP) yang dikirimkan oleh Visa/MC ke nomor ponsel anda yang terdaftar di bank dalam bentuk SMS, setiap ada transaksi online. [caption id="attachment_1644" align="aligncenter" width="393" caption="One Time Password dari pembayaran 3D Secure (sumber: br.ge)"]
Verifikasi awal berjalan mulai dari nomor KK yang terdiri dari 16 angka (Visa/MC). Kalau anda memasukkan kurang dari 16 angka, pasti ditolak. Bila lolos, ia akan disamakan dengan bulan/tahun kadaluwarsa sebagai tahap kedua. Tahap ketiga adalah mencocokkan dengan nama yang tercantum di KK. Nama asli anda sangat mungkin berbeda dengan nama yang tercantum di KK, dan yang dipakai adalah nama di KK. Selanjutnya adalah mencocokkan 3 angka CVV. Verifikasi berlanjut ke pencocokkan kode pos, lalu mencocokkan alamat. Kode pos dan alamat ini harus sama persis dengan yang anda daftarkan dulu. Untuk memastikannya, lihat alamat dan kode pos yang tercantum pada lembar tagihan bulanan. Bila langkah di atas lolos, Visa/MC akan mengirimkan OTP dalam bentuk SMS ke nomor ponsel anda yang terdaftar di bank. Biasanya kode 6 angka. Kode ini harus anda masukkan ke form verifikasi di toko tersebut. Bila anda lolos sampai OTP, Visa/MC akan mengirim pesan ke server bank penerbit bahwa verifikasi sah dan bank bisa melakukan pendebitan. Setelah itu selesai. Verifikasi menggunakan OTP ini dinamakan 3-D Secure. Sederhananya, langkah verfikasi ini adalah: nomor KK > kadaluwarsa > nama > CVV > kode pos > alamat > OTP. Sehingga verifikasinya ada 7 langkah. Di akhir 90-an dan di awal 2000-an, bank hanya melakukan verifikasi sampai tahap ke-3, yakni sampai nama saja. Kalau pun lebih dalam seperti Amazon atau Paypal, mereka melakukan verifikasi sampai kode pos, tapi melangkahi CVV. Tapi di awal 2000-an, bank melakukan verifikasi juga pada CVV. Baru sekitar akhir 2000-an diberlakukan verifikasi OTP. Tapi sampai sekarang masih ada saja toko yang tidak melakukan verifikasi sampai OTP. Jadi, semua bagian yang tertera di KK sama pentingnya. Yang tidak penting cuma gambar KK-nya saja. Ada yang bilang yang paling penting adalah CVV, ini tidak terlalu benar karena semua bagian berkaitan. Tapi benar bahwa CVV adalah angka yang diverifikasi di tingkat yang lebih dalam.
APAKAH TOKO MENYIMPAN DATA KARTU KREDIT KITA?
Berdasarkan Payment Card Industry Data Security Standard (PCI DDS), toko dan cart tidak boleh menyimpan data KK yang dimasukkan oleh pembeli. Kalau pun disimpan, ia harus dienkripsi lewat cart. Yang boleh menyimpan data KK kita hanya payment gateway. Tapi masih sangat banyak toko yang melanggar ketentuan PCI DDS ini dengan menyimpan data KK pelanggan di hardisk mereka. Berdasarkan penelitian SecurityMetric, 7 dari 10 toko masih menyimpan data KK pelanggan tanpa enkripsi. Kebanyakan yang melakukan ini adalah toko-toko kecil dan baru. Teknologi keamanan situs toko baru dan kecil ini sangat rentan dibobol (hack). Ketika itu terjadi maka data-data KK yang tersimpan di dalamnya akan sangat mudah 'disedot' oleh peretas (hacker). Tentu saja payment gateway dan server bank juga bisa di-hack (apa sih yang tidak bisa?), tapi mereka punya standar keamanan jauh lebih tinggi daripada situs toko. Bagaimana cara mengetahui toko tidak menyimpan data KK kita? Secara kasat mata, penanda pertama adalah logo Mastercard SecureCode dan Verified by Visa di situs tersebut, yang artinya toko tersebut melakukan verifikasi 3-D Secure. Toko yang melakukan 3-D Secure diverifikasi terlebih dahulu oleh Visa/MC dengan standar PCI DDS. Artinya, Visa/MC memastikan toko tidak menyimpan data KK, atau menyimpan dengan enkripsi (biasanya 4 digit terakhir dan CVV yang dienkripsi). PCI DDS sebenarnya membolehkan toko menyimpan data KK pelanggan tanpa enkripsi, tapi dengan Qualified Security Assessor (QSA) sangat ketat dan diverifikasi secara intens. MC/Visa juga melakukan assessement (penilaian) secara berkala untuk memastikan toko yang menyimpan data KK pelanggannya tetap menjadi situs yang aman dan tak menyalahgunakan data KK.
MEMILIH TOKO YANG AMAN
Dalam tulisan saya Cashless Society pada Low Trust Society, saya mengungkapkan salah satu kompleksitas penggunaan non tunai di dalan negeri adalah soal kepercayaan antar masyarakat di Indonesia. Selain itu juga belum adanya perlindungan spesifik dari pemerintah atas transaksi non tunai di e-commerce seperti penyelesaian sengketa yang mudah atau garansi uang kembali. Dengan begitu pembelanja online di Indonesia harus sangat cermat memilik toko online yang aman untuk menggunakan KK. Nama besar sebuah toko pastinya berpengaruh dalam membangun kepercayaan kita. Bukan karena toko dengan nama besar pasti jujur. Tapi toko dengan nama besar pasti punya alamat jelas yang memudahkan kita bila terjadi persengketaan. Toko besar juga dibangun dengan investasi besar, bukan pemain musiman, apalagi dibangun hanya untuk menipu pembeli. Mereka mementingkan kelanjutan bisnis yang elemen kuncinya adalah kepercayaan. Jadi, melangkah lah dulu dari sini. Cari logo Norton Secured, biasanya letaknya paling bawah atau bagian penjelasan cara pembayaran. Ini adalah logo paling populer yang dikeluarkan oleh Symantec sebagai teknologi keamanan e-commerce paling banyak dipakai di dunia. Aplikasi Norton Secured ini diinstall dalam website dan memeriksa keamanan website secara berkala, mulai dari virus, celah keamanan, SSL sampai alogaritma ECC dan DSA. Toko yang memasang logo ini artinya telah tersertifikasi oleh Norton. Biaya yang dikeluarkan toko untuk sertifikasi mulai dari $399/tahun. Tentu saja logo ini bisa dipalsukan, toko asal memang logo. Cara membedakannya adalah dengan mengklik logo tersebut yang mengarahkan kita ke situs Norton Secured yang menyatakan bahwa situs tersebut memang aman dan tersertifikasi. [caption id="attachment_1645" align="aligncenter" width="288" caption="Logo Norton Secured (sumber: Symantec)"]
Cari logo Mastercard SecureCode dan Verified by Visa, letaknya biasanya juga di bawah. Logo ini menandakan mereka menggunakan verifikasi 3-D Secure yang akan meminta verifikasi sampai tahap OTP. Sampai sekarang, ini lah metode pembayaran paling aman menggunakan KK. [caption id="attachment_1646" align="aligncenter" width="403" caption="Logo Verified by Visa dan MasterCard Secure Code (sumber: Ybs)"]
Pastikan https, bukan http. Https adalah HTTP Secure atau protokol keamanan. Ia mengenkripsi data yang kita kirim dari komputer kita ke komputer/mesin tujuan. Sehingga pihak yang berada di tengah atau berniat jahat mencegat data kita, tidak bisa membaca data yang dikirim. [caption id="attachment_1647" align="aligncenter" width="400" caption="Alamat dengan https (sumber: Myposeo)"]
Pastikan 3-D Secure. Verifikasi 3-D secure terjadi setelah anda selesai memasukkan data KK. Data akan dikirimkan ke payment gateway lalu ke Visa/MC. Visa/MC akan mengirimkan OTP dalam bentuk SMS ke ponsel anda yang terdaftar. Masukkan OTP yang biasanya 6 nomor itu ke form yang tersedia. Bila anda cukup paranoid, silakan telepon ke bank penerbit KK setelah melakukan pembayaran. Beberapa KK mengirim SMS otomatis setelah terjadi transaksi online maupun tidak, Citibank contohnya. Tanya kepada petugas call center bank apa nama toko terjadinya transaksi. Bila cocok, anda aman. Bila berbeda, konsultasikan pada petugas tersebut apa sebaiknya langkah yang anda ambil. Kalau saya pribadi akan memilih membatalkan transaksi.
MENGGUNAKAN E-WALLET
