A.
Pengertian E-Banking
Apa itu e-banking? E-banking didefinisikan sebagai penghantaran otomatis jasa
dan produk bank secara langsung kepada nasabah melalui elektronik, saluran
komunikasi interaktif. E-Banking meliputi sistem yang memungkinkan nasabah
bank, baik individu ataupun bisnis, untuk mengakses rekening, melakukan
transaksi bisnis, atau mendapatkan informasi produk dan jasa bank melalui
jaringan pribadi atau publik, termasuk internet. Nasabah dapat mengakses
e-banking melalui piranti pintar elektronis seperti komputer/PC, PDA, ATM, atau
telepon.
Marilah kita telaah satu persatu saluran dari e-Banking yang telah diterapkan
bank-bank di Indonesia sebagai berikut:
1. ATM, Automated Teller Machine atau Anjungan Tunai Mandiri, ini adalah
saluran e-Banking paling populer yang kita kenal. Setiap kita pasti mempunyai
kartu ATM dan menggunakan fasilitas ATM. Fitur tradisional ATM adalah untuk
mengetahui informasi saldo dan melakukan penarikan tunai. Dalam
perkembangannya, fitur semakin bertambah yang memungkinkan untuk melakukan pemindahbukuan
antar rekening, pembayaran (a.l. kartu kredit, listrik, dan telepon), pembelian
(a.l. voucher dan tiket), dan yang terkini transfer ke bank lain (dalam satu
switching jaringan ATM). Selain bertransaksi melalui mesin ATM, kartu ATM dapat
pula digunakan untuk berbelanja di tempat perbelanjaan, berfungsi sebagai kartu
debit. Bila kita mengenal ATM sebagai mesin untuk mengambil uang, belakangan
muncul pula ATM yang dapat menerima setoran uang, yang dikenal pula sebagai
Cash Deposit Machine/CDM. Layaklah bila ATM disebut sebagai mesin sejuta umat
dan segala bisa, karena ragam fitur dan kemudahan penggunaannya.
2. Phone Banking, ini adalah saluran yang memungkinkan nasabah untuk melakukan
transaksi dengan bank via telepon. Pada awalnya lazim diakses melalui telepon
rumah, namun seiring dengan makin populernya telepon genggam/HP, maka tersedia
pula nomor akses khusus via HP bertarif panggilan flat dari manapun nasabah
berada. Pada awalnya, layanan Phone Banking hanya bersifat informasi yaitu
untuk informasi jasa/produk bank dan informasi saldo rekening serta dilayani
oleh Customer Service Operator/CSO. Namun profilnya kemudian berkembang untuk
transaksi pemindahbukuan antar rekening, pembayaran (a.l. kartu kredit,
listrik, dan telepon), pembelian (a.l. voucher dan tiket), dan transfer ke bank
lain; serta dilayani oleh Interactive Voice Response (IVR). Fasilitas ini boleh
dibilang lebih praktis ketimbang ATM untuk transaksi non tunai, karena cukup
menggunakan telepon/HP di manapun kita berada, kita bisa melakukan berbagai
transaksi, termasuk transfer ke bank lain.
3. Internet Banking, ini termasuk saluran teranyar e-Banking yang memungkinkan
nasabah melakukan transaksi via internet dengan menggunakan komputer/PC atau
PDA. Fitur transaksi yang dapat dilakukan sama dengan Phone Banking yaitu
informasi jasa/produk bank, informasi saldo rekening, transaksi pemindahbukuan
antar rekening, pembayaran (a.l. kartu kredit, listrik, dan telepon), pembelian
(a.l. voucher dan tiket), dan transfer ke bank lain. Kelebihan dari saluran ini
adalah kenyamanan bertransaksi dengan tampilan menu dan informasi secara
lengkap tertampang di layar komputer/PC atau PDA.
4. SMS/m-Banking, saluran ini pada dasarnya evolusi lebih lanjut dari Phone
Banking, yang memungkinkan nasabah untuk bertransaksi via HP dengan perintah
SMS. Fitur transaksi yang dapat dilakukan yaitu informasi saldo rekening,
pemindahbukuan antar rekening, pembayaran (a.l. kartu kredit, listrik, dan
telepon), dan pembelian voucher. Untuk transaksi lainnya pada dasarnya dapat
pula dilakukan, namun tergantung pada akses yang dapat diberikan bank. Saluran
ini sebenarnya termasuk praktis namun dalam prakteknya agak merepotkan karena
nasabah harus menghapal kode-kode transaksi dalam pengetikan sms, kecuali pada
bank yang melakukan kerjasama dengan operator seluler, menyediakan akses
banking menu – Sim Tool Kit (STK) pada simcardnya.
Di balik kemudahan e-Banking tersimpan pula risiko, untuk itu
diperlukan pengaman yang baik. Lazimnya untuk ATM, nasabah diberikan kartu ATM
dan kode rahasia pribadi (PIN); sedangkan untuk Phone Banking, Internet
Banking, dan SMS/m-Banking, nasabah diberikan kode pengenal (userid) dan PIN.
Sebagai pengaman tambahan untuk internet banking, pada bank tertentu diberikan
piranti tambahan untuk mengeluarkan PIN acak/random. Sedangkan untuk SMS
Banking, nasabah diminta untuk meregistrasikan nomor HP yang digunakan.
Dengan beragamnya kemudahan transaksi via e-Banking, kini pilihan ada di tangan
kita untuk memanfaatkannya atau tidak. Namun mengingat tidak semua bank
menyediakan layanan-layanan tersebut, maka seberapa pintarkah bank kita? Untuk
dapat bertransaksi pintar, kini saatnya memilih bank pintar kita, tentunya
sesuai kebutuhan transaksi.
B. Jenis-Jenis Teknologi E-Banking
1) Automated Teller Machine (ATM). Terminal elektronik yang disediakan lembaga
keuangan atau perusahaan lainnya yang membolehkan nasabah untuk melakukan
penarikan tunai dari rekening simpanannya di bank, melakukan setoran, cek
saldo, atau pemindahan dana.
2) Computer Banking. Layanan bank yang bisa diakses oleh nasabah melalui
koneksi internet ke pusat data bank, untuk melakukan beberapa layanan
perbankan, menerima dan membayar tagihan, dan lain-lain.
3) Debit (or check) Card. Kartu yang digunakan pada ATM atau terminal
point-of-sale (POS) yang memungkinkan pelanggan memperoleh dana yang langsung
didebet (diambil) dari rekening banknya.
4) Direct Deposit. Salah satu bentuk pembayaran yang dilakukan oleh organisasi
(misalnya pemberi kerja atau instansi pemerintah) yang membayar sejumlah dana
(misalnya gaji atau pensiun) melalui transfer elektronik. Dana ditransfer
langsung ke setiap rekening nasabah.
5) Direct Payment (also electronic bill payment). Salah satu bentuk pembayaran
yang mengizinkan nasabah untuk membayar tagihan melalui transfer dana
elektronik. Dana tersebut secara elektronik ditransfer dari rekening nasabah ke
rekening kreditor. Direct payment berbeda dari preauthorized debit dalam hal
ini, nasabah harus menginisiasi setiap transaksi direct payment.
6) Electronic Bill Presentment and Payment (EBPP). Bentuk pembayaran tagihan
yang disampaikan atau diinformasikan ke nasabah atau pelanggan secara online,
misalnya melalui email atau catatan dalam rekening bank. Setelah penyampaian
tagihan tersebut, pelanggan boleh membayar tagihan tersebut secara online juga.
Pembayaran tersebut secara elektronik akan mengurangi saldo simpanan pelanggan
tersebut.
7) Electronic Check Conversion. Proses konversi informasi yang tertuang dalam
cek (nomor rekening, jumlah transaksi, dll) ke dalam format elektronik agar
bisa dilakukan pemindahan dana elektronik atau proses lebih lanjut.
8) Electronic Fund Transfer (EFT). Perpindahan “uang” atau “pinjaman” dari satu
rekening ke rekening lainnya melalui media elektronik.
9) Payroll Card. Salah satu tipe “stored-value card” yang diterbitkan oelh
pemberi kerja sebagai pengganti cek yang memungkinkan pegawainya mengakses
pembayaraannya pada terminal ATM atau Point of Sales. Pemberi kerja menambahkan
nilai pembayaran pegawai ke kartu tersebut secara elektronik.
10) Preauthorized Debit (or automatic bill payment). Bentuk pembayaran yang
mengizinkan nasabah untuk mengotorisasi pembayaran rutin otomatis yang diambil
dari rekening banknya pada tanggal-tangal tertentu dan biasanya dengan jumlah
pembayaran tertentu (misalnya pembayaran listrik, tagihan telpon, dll). Dana
secara elektronik ditransfer dari rekening pelanggan ke rekening kreditor
(misalnya PLN atau PT Telkom).
11) Prepaid Card. Salah satu tipe Stored-Value Card yang menyimpan nilai
moneter di dalamnya dan sebelumnya pelanggan sudah membayar nilai tersebut ke
penerbit kartu.
12) Smart Card. Salah satu tipe stored-value card yang di dalamnya tertanam
satu atau lebih chips atau microprocessors sehingga bisa menyimpan data,
melakukan perhitungan, atau melakukan proses untuk tujuan khusus (misalnya
validasi PIN, otorisasi pembelian, verifikasi saldo rekening, dan menyimpan
data pribadi). Kartu ini bisa digunakan pada sistem terbuka (misalnya untuk
pembayaran transportasi publik) atau sistem tertutup (misalnya MasterCard atau
Visa networks).
13) Stored-Value Card. Kartu yang di dalamnya tersimpan sejumlah nilai moneter,
yang diisi melalui pembayaran sebelumnya oleh pelanggan atau melalui simpanan
yang diberikan oleh pemberi kerja atau perusahaan lain. Untuk single-purpose
stored value card, penerbit (issuer) dan penerima (acceptor) kartu adalah
perusahaan yang sama dan dana pada kartu tersebut menunjukkan pembayaran di
muka untuk penggunaan barang dan jasa tertentu (misalnya kartu telpon).
Limited-purpose card secara umum digunakan secara terbatas pada terminal POS
yang teridentifikasi sebelumnya di lokasi-lokasi tertentu (misalnya vending
machines di sekolah-sekolah). Sedangkan multi-purpose card dapat digunakan pada
beberapa penyedia jasa dengan kisaran yang lebih luas, misalnya kartu dengan
logo MasterCard, Visa, atau logo lainnya dalam jaringan antar bank.
C. Manfaat E-Banking
Electronic Banking (e-banking) merupakan suatu aktifitas layanan perbankan yang
menggabungkan antara sistem informasi dan teknologi, e-banking meliputi phone
banking, mobile banking, dan internet banking. Fungsi penggunaannya mirip
dengan mesin ATM dimana sarananya saja yang berbeda, seorang nasabah dapat
melakukan aktifitas pengecekan saldo rekening, transfer dana antar rekening
atau antar bank, hingga pembayaran tagihan-tagihan rutin bulanan seperti:
listrik, telepon, kartu kredit, dll. Dengan memanfaatkan e-banking banyak
keuntungan yang akan diperoleh nasabah terutama apabila dilihat dari banyaknya
waktu dan tenaga yang dapat dihemat karena e-banking jelas bebas antrian dan
dapat dilakukan dari mana saja sepanjang nasabah memiliki sarana pendukung
untuk melakukan layanan e-banking tersebut.
Seorang nasabah akan dibekali dengan login dan kode akses ke situs web dimana
terdapat fasilitas e-banking milik bank bersangkutan. Selanjutnya, nasabah
dapat melakukan login dan melakukan aktifitas perbankan melalui situs web bank
bersangkutan. Sebenarnya e-banking bukan barang baru di internet, tapi di
Indonesia sendiri baru beberapa tahun belakangan ini marak diaplikasikan oleh
beberapa bank papan atas. Konon ini berkaitan dengan keamanan nasabah yang
tentunya menjadi perhatian utama dari para pengelola bank disamping masalah
infrastruktur bank bersangkutan.
Keamanan memang merupakan isu utama dalam e-banking karena sebagaimana kegiatan
lainnya di internet, transaksi perbankan di internet juga rawan terhadap pengintaian
dan penyalahgunaan oleh tangan-tangan yang tidak bertanggung jawab.
Sebuah situs e-banking diwajibkan untuk menggunakan standar keamanan yang
sangat ketat untuk menjamin bahwa setiap layanan yang mereka sediakan hanya
dimanfaatkan oleh mereka yang memang betul-betul berhak. Salah satu teknik
pengamanan yang sering dugunakan dalam e-banking adalah melalui SSL (Secure
Socket Layer) maupun lewat protokol HTTPS (Secure HTTP).
BCA salah satu bank pelopor e-banking di Indonesia contohnya. BCA menawarkan
produk perbankan elektronik berupa KlikBCA, yang memberikan kemudahan untuk
melakukan transaksi perbankan melalui komputer dan jaringan internet. KlikBCA
dilengkapi dengan security untuk menjamin keamanan dan kerahasiaan data dan
transaksi yang dilakukan oleh nasabah. Untuk menambah keamanan pihak bank
melengkapi juga dengan KeyBCA, yaitu alat pengaman tambahan untuk lebih
mengamankan transaksi finansial di KlikBCA. Alat ini berfungsi untuk
mengeluarkan password yang selalu berganti setiap kali melakukan transaksi
finansial. Dengan demikian, keamanan nasabah bertransaksi akan makin terjaga.
Dengan hadirnya e-banking tidak hanya nasabah saja yang mendapatkan manfaat
melainkan juga menciptakan efek manfaat yang lain bagi bank, yakni meningkatkan
pendapatan berbasis komisi atau biaya (fee based income). Sebagian besar fee
berasal dari layanan transaksi yang ditawarkan e-banking, misalnya untuk
pembayaran tagihan listrik dikenai biaya Rp 2.500 per transaksi. Semakin sering
nasabah bertransaksi lewat e-banking, semakin banyak pula fee yang diperoleh
bank. Belakangan ini jenis pendapatan nonbunga tumbuh lebih cepat ketimbang
pendapatan bunga. Selain itu biaya operasional juga menjadi sangat murah
dibandingkan dengan biaya transaksi melalui kantor cabang, biaya di cabang
relatif lebih besar karena untuk membayar karyawan, pengamanan, listrik, dan
biaya sewa gedung. Dengan segala manfaat yang bisa didapat melalui e-banking
beberapa bank rela menanamkan investasi yang mahal untuk mengembangkan
e-banking. Akan tetapi tidak banyak bank yang bisa mengembangkannya karena
terbenturnya masalah biaya.
D. Keamanan Dalam Menggunakan Fasilitas E-Banking
Bagaimana Virus dan Phising digunakan untuk mengalahkan pengamanan Token.
Bagaimana caranya mengirimkan dokumen digital rahasia dengan cepat, aman dan
praktis ke alamat email rekan atau kolega bisnis, yang mungkin sedang berada di
Yogya dan tidak memiliki komputer dan terkoneksi ke internet hanya dari warnet
? Kalau filenya di kompres (zip) dan diberi password atau dokumen MS office di
beri password dan relatif mudah dibuka oleh orang yang tidak berhak dengan
tools pembuka password (password cracker) yang banyak tersedia di internet
(underground seperti www.astalavista.com). Dengan menggunakan dictionary attack
atau brute force hanya masalah waktu saja password tersebut akan dapat
ditemukan. Password Recovery Tools yang sering disalahgunakan untuk membuka
file orang lain yang dipassword
Salah satu cara yang lebih aman adalah mengenkrip file yang dikirim dan lebih
afdol lagi jika file tersebut diberikan time limit, sehingga seperti film
Mission Impossible, selewat dari waktu yang anda tentukan file tersebut akan
rusak (self destruct). Tetapi, diluar itu ada satu hal krusial yang harus anda
perhatikan dan jalankan dengan baik jika ingin mendapatkan perlindungan
sekuriti yang baik, karena meskipun enkripsi sudah dilakukan, tetapi password
ekripsi juga dikirimkan ke alamat email yang sama. Ibarat kata Gito Rollies itu
namanya “Sama Juga Bohong”. Karena siapapun yang memiliki akses untuk mendapatkan
file yang anda kirim melalui email di tengah jalan sudah pasti memiliki akses
untuk mendapatkan email berikutnya yang berisi password. Lalu bagaimana cara
menghadapi masalah ini ?
Jawabannya “Two Factor Authentication” / T-FA. Seperti kita ketahui, ada tiga
faktor universal (“sesuatu”) yang digunakan untuk autentifikasi individu.
Pertama adalah “Sesuatu yang kamu tahu” seperti password, PIN atau identitas
yang ada didompet anda seperti nomor KTP, SIM dan Kartu Mahasiswa. Kedua adalah
“Sesuatu yang kamu miliki” seperti Handphone, kartu kredit atau security token.
Ketiga “Sesuatu yang ada di diri kamu” seperti sidik jari, sidik retina atau
biometrik lain.
Lalu bagaimana jawaban dari masalah di atas ? Mudah, setelah anda melakukan
“pekerjaan rumah” mengenkripsi file dengan baik dan aman (gunakan Norman
Privacy untuk mengenkripsi file dan membuat self extracting exe dan memberi
password pada dokumen yang ingin anda enkripsi), kirimkan password dekripsi
melalui media lain, seperti telepon, SMS atau alamat website rahasia berisi
password yang hanya anda ketahui berdua.
Jika anda melakukan praktek ini, tingkat keamanan data anda menjadi selevel
dengan pengamanan yang dilakukan oleh Bank dalam melindungi nasabahnya yang
melakukan Internet Banking. Bahkan dibandingkan beberapa bank di Indonesia yang
hanya mengandalkan password dan tidak mengandalkan Two Factor Authentication
(T-FA), dokumen anda terlindung jauh lebih aman.
Seberapa mampu teknologi mengamankan transaksi internet Banking anda ?
Bagaimana para kriminal mengeksploitasi hal ini ? Lalu bagaimana sebaiknya anda
bersikap ?
Seperti kita ketahui, sekuriti dengan kenyamanan berbanding terbalik. Makin
aman suatu transaksi, makin sulit di implementasikan. Makin nyaman suatu
transaksi, makin mudah ditembus. Walaupun dalam beberapa kasus, analisa dan
kreativitas dari penyedia layanan internet banking dapat memberikan keamanan
dan kenyamanan pada tingkat yang dapat diserap dengan baik oleh segala lapisan
masyarakat sehingga dapat di implementasikan dengan cepat dan baik. Tetapi ada
satu “ground rule” yang harus disadari oleh penyedia jasa internet banking,
“Teknologi selalu berkembang dan tidak ada satupun pengamanan yang kekal”.
Dengan kata lain, kriminal akan selalu mencari cara (dan berhasil) menembus
teknik pengamanan transaksi yang ada dan para penyedia jasa layanan keamanan
harus “selalu” mengikuti perkembangan dan melakukan teknik baru dalam
pengamanan transaksi.
Tools yang paling sering digunakan untuk menembus perlindungan internet banking
adalah malware. Seperti kita ketahui, ada program berbahaya yang untuk merekam
semua ketukan keyboard komputer yang anda (nasabah internet banking) lakukan
pada keyboard, yaitu key logger. Dengan key logger, semua ketukan keyboard yang
anda lakukan akan direkam dan biasanya dimasukkan pada trojan horse yang
menumpang pada game, virus atau program gratisan yang anda download dari
internet. Harga yang anda bayar untuk program gratisan jika mengandung Trojan
Horse yang berhasil mengeksploitasi data rahasia anda bisa jauh lebih mahal
daripada anda membeli program original.
Lalu ada beberapa bank yang menggunakan papan keyboard virtual yang muncul di
layar komputer dengan susunan huruf dan angka yang berubah-ubah setiap kali
tampil dan nasabah memasukkan data / pin dengan mengklik huruf atau angka yang
terpampang di keyboard virtual menggunakan mouse. Dengan trojan horse yang
sama, kriminal dengan mudah melakukan screen capture (Print Screen) sehingga
dapat mengetahui susunan keyboard virtual yang muncul setiap kali dan dengan menganalisa
waktu dan koordinat-koordinat dimana mouse di klik oleh user… voila …..apapun
di klik nasabah dengan mouse pada keyboard virtual akan dapat diketahui.
Karena itu, salah satu perlengkapan yang harus dimiliki oleh nasabah internet
banking (must have) adalah program antivirus dan antispyware yang handal yang
mampu mendeteksi keylogger dan trojan horse yang berbahaya.
Lalu, bagaimana kriminal menghadapi pengamanan Two Factor Authentication
seperti token pin yang mulai populer digunakan oleh bank ? Apakah sudah aman
dan tidak mungkin ditembus ?
Apakah internet banking anda dengan Token benar-benar aman ?
Pick enemy your own size, carilah musuh yang sepadan dengan anda. Kalau Chris
John yang masih juara dunia tinju sekalipun di “adu” dengan Mike Tyson yang
notabene bukan juara dunia tinju lagi. Tentunya Chris John akan pikir-pikir
melawan Mike Tyson. Mengapa ? Karena kelasnya berbeda. Kalau Chris John juara
dunia kelas bulu, sedangkan Mike merupakan eks juara dunia kelas berat. Hal
tersebut mirip jika kriminal berhadapan head to head dengan server internet
banking. Server tersebut dijaga dengan berbagai pertahanan, firewall, team
pemantau aktivitas etc. Namun, tergantung tujuannya, apakah ingin membobol
server internet banking atau “mendapatkan uang” dari nasabah internet banking.
Kalau tujuannya membobol server internet banking, hal tersebut tidak dibahas
disini karena hanya komunitas hacker tertentu dengan skill yang diatas
rata-rata yang memiliki kemampuan dan jaringan untuk melakukan hal tersebut.
Namun jika tujuannya adalah mendapatkan uang dari rekening internet banking,
maka pameo “pick enemy your own size” berlaku. Jadi, kriminal akan memilih
lawan dengan pertahanan yang lebih lemah dari server internet banking di bank.
Siapa itu ? Tidak lain dan tidak bukan adalah pengguna internet banking.
Seperti kita ketahui, dalam penerapan sekuriti, salah satu hal kunci dalam
keberhasilan penerapan sekuriti adalah partisipasi “user”. Sebagai gambaran,
sekalipun sudah menggunakan program antivirus terkenal, suatu jaringan komputer
dengan mudah akan terinfeksi virus jika usernya sering mengunjungi website
porno atau crack. Sebaliknya, user yang menggunakan antivirus gratisan
sekalipun akan lebih jarang terinfeksi virus jika menerapkan kebiasaan sekuriti
yang baik seperti tidak sembarangan melakukan full sharing, berhati-hati dalam
melakukan browsing dst.
Sebenarnya hal ini disadari sekali praktisi sekuriti oleh bank penyelenggara
internet bankingpun sudah melakukan pengamanan yang memadai, salah satunya
adalah dengan mengimplementasikan token (T-FA two factor authentication).
Tetapi tetap saja user merupakan titik terlemah dalam sekuriti karena sudah
menjadi hukumnya bahwa manusia itu unik dengan 1001 kebiasaan dan latar
belakang yang berbeda. Selain itu, sesuai hukum piramida, persentase user
internet banking yang tidak paham / perduli sekuriti jauh lebih besar dari
jumlah user yang paham / perduli sekuriti.
DNS cache poisoning dan website forging (Phising)
Salah satu teknik yang patut diwaspadai dalam berpotensi menembus pertahanan
internet banking dengan pengamanan Token adalah DNS cache poisoning dan website
forging. Website forging adalah pemalsuan website yang dibuat sedemikian rupa
sehingga pengakses percaya bahwa website palsu yang diaksesnya adalah benar website
bank yang bersangkutan dan aman untuk melakukan transaksi.
DNS cache poisoning (DNS poisoning) adalah teknik “meracuni” DNS Server untuk
mengelabui pengguna internet untuk percaya bahwa website “palsu” yang
diaksesnya (yang dibuat benar-benar menyerupai website asli) adalah website
asli. Tetapi tentunya anda akan langsung bertanya, lho bukankah DNS tersebut
dimaintain oleh ISP dan tentunya dalam waktu singkat aksi DNS poisoning ini
terdeteksi dan dimentahkan.
Memang betul dan yang dimaksudkan disini bukan DNS poisoning pada DNS server,
tetapi DNS poisoning pada sasaran yang lebih kecil lagi, tetapi tidak kalah
berbahaya ….. DNS pada komputer user. Seperti kita ketahui, OS komputer (baik
XP maupun Vista) memiliki file “Host” yang berfungsi sebagai “DNS server” bagi
komputer yang bersangkutan. Jika file host tersebut berhasil dimanipulasi, maka
dengan mudah setiap akses ke website internet banking akan diarahkan ke website
palsu yang sudah di program sedemikian rupa sehingga dapat mengelabui pengguna
internet banking ketika melakukan transaksi internet banking.
Tetapi tentunya anda bertanya, bagaimana dengan pengamanan ganda pada internet
banking yang menggunakan Token ? Bukankah angka PIN (Personal Identification
Number) tersebut merupakan one time PIN dan berubah-ubah setiap kali pengguna
komputer melakukan transaksi ?
Jika kita melihat sekilas kelihatannya pengamanan Token ini sangat aman dan PIN
internet banking yang berbeda untuk setiap pengguna, berubah setiap kali (one
time Password) sehingga sangat sulit diketahui kecuali mendapatkan rumusannya
dan memang hanya pemilik Token dan server internet banking yang mengetahui PIN
sehingga “hampir” tidak mungkin untuk mengetahui PIN tersebut. Jangankan orang
lain, pemilik Token saja kalau lupa PIN Tokennya, sudah tidak ada harapan untuk
berinternet banking lagi .
Tetapi dengan DNS poisoning dan website forging / phising ini, kriminal tidak
perlu mengetahui PIN dan pengguna internet banking yang akan memasukkan semua
data, baik username, password, account confirmation PIN dan one time PIN.
Ambil contoh korban DNS poisoning ini melakukan logon ke rekening internetnya.
Karena sudah dialihkan, maka ia akan mengakses situs palsu internet banking
yang dibuat sedemikian rupa agar sama dengan situs internet banking. Lalu si
korban memasukkan Username dan Password yang secara otomatis akan digunakan
oleh server untuk login ke website internet banking yang sebenarnya. Disini
Tahap Pertama pengaksesan rekening sudah berhasil dijalankan.
Lalu bagaimana caranya mendapatkan uang dari korban internet banking ini ?
Mudah saja, walaupun PIN tersebut merupakan one time PIN, tetapi PIN tersebut
tidak unik untuk setiap transaksi dan berlaku universal untuk semua transaksi
internet banking, baik pembayaran rekening telepon, pembayaran asuransi, internet,
listrik sampai dengan pengisian pulsa isi ulang.
Ketika user melakukan transaksi, website palsu akan meminta one time PIN yang
harus dimasukkan dan one time PIN yang dimasukkan itu sekarang dapat
dipergunakan untuk kriminal untuk melakukan transaksi non transfer (EG.
pembelian pulsa isi ulang) karena transaksi transfer akan meminta account
confirmation PIN.
Bagaimana memanipulasi Host file ?
Pertanyaan lain yang tentunya timbul adalah, bagaimana caranya memanipulasi
host file dan seberapa besar kemungkinan terjadinya manipulasi Host file
tersebut ?
Secara teknis, manipulasi Host file Windows sangat mudah dan banyak dilakukan
oleh virus-virus lokal yang beredar di Indonesia. Ambil contoh virus Wayang
memanipulasi host file komputer korbannya dan mengarahkannya setiap akses ke
situs sekuriti seperti www.vaksin.com, www.ansav.com, www.jasakom.com,
www.vbbego.com ke localhost (127.0.0.1) sehingga website-website sekuriti
tersebut praktis tidak bisa diakses komputer korban virus Wayang (lihat
gambar). Bahayanya, kalau website sekuriti ini dirubah menjadi website internet
banking dan diarahkan bukan ke localhost, tetapi IP website palsu (forging) di
internet yang telah dipersiapkan sebelumnya, tentunya akan banyak sekali korban
internet banking yang tidak menyadari kalau website internet bankingnya sudah
diarahkan ke alamat lain dan menjadi korban.
E. Peranan Bank Indonesia Dalam Pencegahan Kejahatan Penipuan
Internet di Perbankan
Salah satu tugas pokok Bank Indonesia sebagaimana diamanatkan dalam UU No. 23
Tahun 1999 tentang Bank Indonesia sebagaimana telah diubah dengan UU No. 3
Tahun 2004 adalah mengatur dan mengawasi bank. Dalam rangka pelaksanaan tugas
tersebut Bank Indonesia diberikan kewenangan sbb:
1. Menetapkan peraturan perbankan termasuk ketentuan-ketentuan perbankan yang
memuat prinsip-prinsip kehati-hatian.
2. Memberikan dan mencabut izin atas kelembagaan dan kegiatan usaha tertentu
dari bank, memberikan izin pembukaan, penutupan dan pemindahan kantor bank,
memberikan persetujuan atas kepemilikan dan kepengurusan bank.
3. Melaksanakan pengawasan bank secara langsung dan tidak langsung.
4. Mengenakan sanksi terhadap bank sesuai dengan ketentuan perundang-undangan.
Pelaksanaan kewenangan tugas-tugas tersebut di atas ditetapkan secara lebih
rinci dalam Peraturan Bank Indonesia (PBI). Terkait dengan tugas Bank Indonesia
mengatur dan mengawasi bank, salah satu upaya untuk meminimalisasi internet
fraud yang dilakukan oleh Bank Indonesia adalah melalui pendekatan aspek
regulasi. Sehubungan dengan hal tersebut, Bank Indonesia telah mengeluarkan
serangkaian Peraturan Bank Indonesia dan Surat Edaran Bank Indonesia yang harus
dipatuhi oleh dunia perbankan antara lain mengenai penerapan manajemen risiko
dalam penyelenggaraan kegiatan internet banking dan penerapan prinsip Know Your
Customer (KYC).
Penerapan prinsip Know Your Customer (KYC)
Upaya lainnya yang dilakukan oleh Bank Indonesia dalam rangka meminimalisir
terjadinya tindak kejahatan internet fraud adalah pengaturan kewajiban bagi
bank untuk menerapkan prinsip mengenal nasabah atau yang lebih dikenal dengan
prinsip Know Your Customer (KYC). Pengaturan tentang penerapan prinsip KYC
terdapat dalam Peraturan Bank Indonesia No. 3/10/PBI/2001 tentang Penerapan
Prinsip Mengenal Nasabah (Know Your Customer Principles) sebagaimana telah
diubah dengan Peraturan Bank Indonesia No. 3/23/PBI/2001 dan Surat Edaran Bank
Indonesia 6/37/DPNP tanggal 10 September 2004 tentang Penilaian dan Pengenaan
Sanksi atas Penerapan Prinsip Mengenal Nasabah dan Kewajiban Lain Terkait dengan
Undang-Undang tentang Tindak Pidana Pencucian Uang.
F. Manajemen Penyelenggaraan Kegiatan E-Banking
1. Manajemen resiko dalam penyelenggaraan kegiatan internet banking
Peraturan yang dikeluarkan oleh Bank Indonesia terkait dengan pengelolaan atau
manajemen risiko penyelenggaraan kegiatan internet banking adalah Peraturan
Bank Indonesia No. 5/8/PBI/2003 tentang Penerapan Manajemen Risiko Bagi Bank
Umum dan Surat Edaran Bank Indonesia No. 6/18/DPNP, tanggal 20 April 2004
tentang Penerapan Manajemen Risiko Pada Aktivitas Pelayanan Jasa Bank Melalui
Internet (Internet Banking)
Pokok-pokok pengaturannya antara lain sbb:
a. Bank yang menyelenggarakan kegiatan internet banking wajib menerapkan
manajemen risiko pada aktivitas internet banking secara efektif.
b. Penerapan manajemen risiko tersebut wajib dituangkan dalam suatu kebijakan,
prosedur dan pedoman tertulis dengan mengacu pada Pedoman Penerapan Manajemen
Risiko pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking),
yang ditetapkan dalam lampiran dalam Surat Edaran Bank Indonesia tersebut.
c. Pokok-pokok penerapan manajemen risiko bagi bank yang menyelenggarakan
kegiatan internet banking adalah:
1) Adanya pengawasan aktif komisaris dan direksi bank, yang meliputi:
a) Komisaris dan direksi harus melakukan pengawasan yang efektif terhadap
risiko yang terkait dengan aktivitas internet banking, termasuk penetapan
akuntabilitas, kebijakan dan proses pengendalian untuk mengelola risiko
tersebut.
b) Direksi harus menyetujui dan melakukan kaji ulang terhadap aspek utama dari
prosedur pengendalian pengamanan bank.
2) Pengendalian pengamanan (security control)
a) Bank harus melakukan langkah-langkah yang memadai untuk menguji keaslian
(otentikasi) identitas dan otorisasi terhadap nasabah yang melakukan transaksi
melalui internet banking.
b) Bank harus menggunakan metode pengujian keaslian transaksi untuk menjamin
bahwa transaksi tidak dapat diingkari oleh nasabah (non repudiation) dan
menetapkan tanggung jawab dalam transaksi internet banking.
c) Bank harus memastikan adanya pemisahan tugas dalam sistem internet banking,
database dan aplikasi lainnya.
d) Bank harus memastikan adanya pengendalian terhadap otorisasi dan hak akses
(privileges) yang tepat terhadap sistem internet banking, database dan aplikasi
lainnya.
e) Bank harus memastikan tersedianya prosedur yang memadai untuk melindungi
integritas data, catatan/arsip dan informasi pada transaksi internet banking.
f) Bank harus memastikan tersedianya mekanisme penelusuran (audit trail) yang
jelas untuk seluruh transaksi internet banking.
g) Bank harus mengambil langkah-langkah untuk melindungi kerahasiaan informasi
penting pada internet banking. Langkah tersebut harus sesuai dengan
sensitivitas informasi yang dikeluarkan dan/atau disimpan dalam database.
3) Manajemen Resiko Hukum dan Risiko Reputasi
a) Bank harus memastikan bahwa website bank menyediakan informasi yang
memungkinkan calon nasabah untuk memperoleh informasi yang tepat mengenai
identitas dan status hukum bank sebelum melakukan transaksi melalui internet
banking.
b) Bank harus mengambil langkah-langkah untuk memastikan bahwa ketentuan
kerahasiaan nasabah diterapkan sesuai dengan yang berlaku di negara tempat
kedudukan bank menyediakan produk dan jasa internet banking.
c) Bank harus memiliki prosedur perencanaan darurat dan berkesinambungan usaha
yang efektif untuk memastikan tersedianya sistem dan jasa internet banking.
d) Bank harus mengembangkan rencana penanganan yang memadai untuk mengelola,
mengatasi dan meminimalkan permasalahan yang timbul dari kejadian yang tidak
diperkirakan (internal dan eksternal) yang dapat menghambat penyediaan sistem
dan jasa internet banking.
e) Dalam hal sistem penyelenggaraan internet banking dilakukan oleh pihak
ketiga (outsourcing), bank harus menetapkan dan menerapkan prosedur pengawasan
dan due dilligence yang menyeluruh dan berkelanjutan untuk mengelola hubungan
bank dengan pihak ketiga tersebut.
2. Pokok-pokok pengaturannya antara lain sbb:
a. Prinsip Mengenal Nasabah adalah prinsip yang diterapkan bank untuk mengetahui
identitas nasabah, memantau kegiatan transaksi nasabah termasuk pelaporan
transaksi yang mencurigakan.
b. Dalam menerapkan Prinsip Mengenal Nasabah, bank wajib:
1) Menetapkan kebijakan penerimaan nasabah.
2) Menetapkan kebijakan dan prosedur dalam mengidentifikasi nasabah.
3) Menetapkan kebijakan dan prosedur pemantauan terhadap rekening dan transaksi
nasabah.
4) Menetapkan kebijakan dan prosedur manajemen resiko yang berkaitan dengan
penerapan Prinsip Mengenal Nasabah.
c. Terkait dengan kebijakan penerimaan dan identifikasi nasabah, maka:
1) Sebelum melakukan hubungan usaha dengan nasabah, bank wajib meminta
informasi mengenai identitas calon nasabah, maksud dan tujuan hubungan usaha
yang akan dilakukan calon nasabah dengan bank, informasi lain yang memungkinkan
bank untuk dapat mengetahui profil calon nasabah dan identitas pihak lain dalam
hal calon nasabah bertindak untuk dan atas nama pihak lain. Identitas calon
nasabah tersebut harus dibuktikan dengan dokumen-dokumen pendukung dan bank
wajib meneliti kebenaran dokumen-dokumen pendukung tersebut.
2) Bagi bank yang telah menggunakan media elektronis dalam pelayanan jasa
perbankan wajib melakukan pertemuan dengan calon nasabah sekurang-kurangnya
pada saat pembukaan rekening.
d. Dalam hal calon nasabah bertindak sebagai perantara dan atau kuasa pihak
lain (beneficial owner) untuk membuka rekening, bank wajib memperoleh
dokumen-dokumen pendukung identitas dan hubungan hukum, penugasan serta
kewenangan bertindak sebagai perantara dan atau kuasa pihak lain. Dalam hal
bank meragukan atau tidak dapat meyakini identitas beneficial owner, bank wajib
menolak untuk melakukan hubungan usaha dengan calon nasabah e-banking. Bank
wajib menatausahakan dokumen-dokumen pendukung nasabah dalam jangka waktu
sekurang-kurangnya 5 (lima) tahun sejak nasabah menutup rekening pada bank.
Bank juga wajib melakukan pengkinian data dalam hal terdapat perubahan terhadap
dokumen-dokumen pendukung tersebut.
f. Bank wajib memiliki sistem informasi yang dapat mengidentifikasi, menganalisa,
memantau dan menyediakan laporan secara efektif mengenai karakteristik
transaksi yang dilakukan oleh nasabah bank.
g. Bank wajib memelihara profil nasabah yang sekurang-kurangnya meliputi
informasi mengenai pekerjaan atau bidang usaha, jumlah penghasilan, rekening
lain yang dimiliki, aktivasi transaksi normal dan tujuan pembukaan rekening.
h.Bank wajib memiliki kebijakan dan prosedur manajemen risiko yang
sekurang-kurangnya mencakup:
1) Pengawasan oleh pengurus bank (management oversight).
2) Pendelegasian wewenang.
3) Pemisahan tugas.
4) Sistem pengawasan intern termasuk audit intern.
5) Program pelatihan karyawan mengenai penerapan Prinsip Mengenal Nasabah.
3. Kegiatan Alat Pembayaran dengan Menggunakan Kartu dan Transparansi Produk
Bank
Regulasi lainnya yang dikeluarkan oleh Bank Indonesia terkait dengan upaya
meminimalisir internet fraud adalah regulasi mengenai penyelenggaraan kegiatan
Alat Pembayaran dengan Menggunakan Kartu (APMK), mengingat APMK merupakan alat
atau media yang sering digunakan dalam kejahatan internet fraud. Ketentuan
mengenai penyelenggaraan APMK terdapat dalam Peraturan Bank Indonesia No.
6/30/PBI/2004 tentang Penyelenggaraan Kegiatan Alat Pembayaran Dengan
Menggunakan Kartu dan Surat Edaran Bank Indonesia No. 7/60/DASP, tanggal 30
Desember 2005 tentang Prinsip Perlindungan Nasabah dan Kehati-hatian, serta
Peningkatan Keamanan Dalam Penyelenggaraan Kegiatan Alat Pembayaran Dengan
Menggunakan Kartu.
Adapun pokok-pokok pengaturannya antara lain sbb:
a). Alat Pembayaran Dengan Menggunakan Kartu (APMK) adalah alat pembayaran yang
berupa kartu kredit, kartu ATM, kartu debet, kartu prabayar dan atau yang
dipersamakan dengan hal tersebut.
b). Bagi bank dan lembaga bukan bank yang merupakan penyelenggara APMK harus
menyerahkan bukti penerapan manajemen risiko.
c). Penerbit APMK wajib meningkatkan keamanan APMK untuk meminimalkan tingkat
kejahatan terkait dengan APMK dan sekaligus untuk meningkatkan kepercayaan
masyarakat terhadap APMK.
d). Peningkatan keamanan tersebut dilakukan terhadap seluruh infrastruktur
teknologi yang terkait dengan penyelenggaraan APMK, yang meliputi pengamanan
pada kartu dan pengamanan pada seluruh sistem yang digunakan untuk memproses
transaksi APMK termasuk penggunaan chip pada kartu kredit. Selain itu, Bank Indonesia
juga mengeluarkan regulasi mengenai transparansi informasi produk bank dan
penggunaan data pribadi nasabah, sebagai upaya untuk mengedukasi nasabah
terhadap produk bank dan meningkatkan kewaspadaan nasabah terhadap berbagai
risiko termasuk internet fraud. Ketentuan tersebut terdapat dalam Peraturan
Bank Indonesia No. 7/6/PBI/2005 Jo SE No. 7/25/DPNP tentang Transparansi
Informasi Produk Bank Dan Penggunaan Data Pribadi Nasabah.
Peraturan-peraturan
Ketentuan mengenai rahasia bank diatur dalam UU Perbankan dan kemudian diatur
lebih lanjut dalam Peraturan Bank Indonesia No. 2/19/PBI/2000 tentang
Persyaratan dan Tata Cara Pemberian Perintah atau Izin Tertulis Membuka Rahasia
Bank. Berdasarkan ketentuan tersebut, pada prinsipnya setiap Bank dan afiliasinya
wajib merahasiakan keterangan mengenai nasabah penyimpan dan simpanannya
(Rahasia Bank). Sedangkan keterangan mengenai nasabah selain sebagai nasabah
penyimpan, tidak wajib dirahasiakan.
Terhadap Rahasia Bank dapat disimpangi dengan izin terlebih dahulu dari
pimpinan Bank Indonesia untuk kepentingan perpajakan, penyelesaian piutang bank
oleh BUPN/PUPLN dan kepentingan peradilan perkara pidana dimana status nasabah
penyimpan yang akan dibuka rahasia bank harus tersangka atau terdakwa. Terhadap
Rahasia Bank dapat juga disimpangi tanpa izin terlebih dahulu dari pimpinan
Bank Indonesia yakni untuk kepentingan perkara perdata antara bank dengan
nasabahnya, tukar menukar informasi antar bank, atas permintaan/persetujuan
dari nasabah dan untuk kepentingan ahli waris yang sah.
Dalam hal diperlukan pemblokiran dan atau penyitaan simpanan atas nama seorang
nasabah penyimpan yang telah dinyatakan sebagai tersangka atau terdakwa oleh
pihak aparat penegak hukum, berdasarkan ketentuan Pasal 12 ayat (1) PBI Rahasia
Bank, dapat dilakukan sesuai dengan ketentuan peraturan perundang-undangan yang
berlaku tanpa memerlukan izin terlebih dahulu dari pimpinan Bank Indonesia.
Namun demikian untuk memperoleh keterangan mengenai nasabah penyimpan dan
simpanan nasabah yang diblokir dan atau disita pada bank, menurut Pasal 12 ayat
(2) PBI Rahasia Bank, tetap berlaku ketentuan mengenai pembukaan Rahasia Bank
dimana memerlukan izin terlebih dahulu dari pimpinan Bank Indonesia.
sumber :
http://tugasgw.wordpress.com/2009/07/11/e-banking-sistem-informasi-manajemen/http://tugasgw.wordpress.com/2009/07/11/e-banking-sistem-informasi-manajemen/
Apa itu e-banking? E-banking didefinisikan sebagai penghantaran otomatis jasa dan produk bank secara langsung kepada nasabah melalui elektronik, saluran komunikasi interaktif. E-Banking meliputi sistem yang memungkinkan nasabah bank, baik individu ataupun bisnis, untuk mengakses rekening, melakukan transaksi bisnis, atau mendapatkan informasi produk dan jasa bank melalui jaringan pribadi atau publik, termasuk internet. Nasabah dapat mengakses e-banking melalui piranti pintar elektronis seperti komputer/PC, PDA, ATM, atau telepon.
Marilah kita telaah satu persatu saluran dari e-Banking yang telah diterapkan bank-bank di Indonesia sebagai berikut:
1. ATM, Automated Teller Machine atau Anjungan Tunai Mandiri, ini adalah saluran e-Banking paling populer yang kita kenal. Setiap kita pasti mempunyai kartu ATM dan menggunakan fasilitas ATM. Fitur tradisional ATM adalah untuk mengetahui informasi saldo dan melakukan penarikan tunai. Dalam perkembangannya, fitur semakin bertambah yang memungkinkan untuk melakukan pemindahbukuan antar rekening, pembayaran (a.l. kartu kredit, listrik, dan telepon), pembelian (a.l. voucher dan tiket), dan yang terkini transfer ke bank lain (dalam satu switching jaringan ATM). Selain bertransaksi melalui mesin ATM, kartu ATM dapat pula digunakan untuk berbelanja di tempat perbelanjaan, berfungsi sebagai kartu debit. Bila kita mengenal ATM sebagai mesin untuk mengambil uang, belakangan muncul pula ATM yang dapat menerima setoran uang, yang dikenal pula sebagai Cash Deposit Machine/CDM. Layaklah bila ATM disebut sebagai mesin sejuta umat dan segala bisa, karena ragam fitur dan kemudahan penggunaannya.
2. Phone Banking, ini adalah saluran yang memungkinkan nasabah untuk melakukan transaksi dengan bank via telepon. Pada awalnya lazim diakses melalui telepon rumah, namun seiring dengan makin populernya telepon genggam/HP, maka tersedia pula nomor akses khusus via HP bertarif panggilan flat dari manapun nasabah berada. Pada awalnya, layanan Phone Banking hanya bersifat informasi yaitu untuk informasi jasa/produk bank dan informasi saldo rekening serta dilayani oleh Customer Service Operator/CSO. Namun profilnya kemudian berkembang untuk transaksi pemindahbukuan antar rekening, pembayaran (a.l. kartu kredit, listrik, dan telepon), pembelian (a.l. voucher dan tiket), dan transfer ke bank lain; serta dilayani oleh Interactive Voice Response (IVR). Fasilitas ini boleh dibilang lebih praktis ketimbang ATM untuk transaksi non tunai, karena cukup menggunakan telepon/HP di manapun kita berada, kita bisa melakukan berbagai transaksi, termasuk transfer ke bank lain.
3. Internet Banking, ini termasuk saluran teranyar e-Banking yang memungkinkan nasabah melakukan transaksi via internet dengan menggunakan komputer/PC atau PDA. Fitur transaksi yang dapat dilakukan sama dengan Phone Banking yaitu informasi jasa/produk bank, informasi saldo rekening, transaksi pemindahbukuan antar rekening, pembayaran (a.l. kartu kredit, listrik, dan telepon), pembelian (a.l. voucher dan tiket), dan transfer ke bank lain. Kelebihan dari saluran ini adalah kenyamanan bertransaksi dengan tampilan menu dan informasi secara lengkap tertampang di layar komputer/PC atau PDA.
4. SMS/m-Banking, saluran ini pada dasarnya evolusi lebih lanjut dari Phone Banking, yang memungkinkan nasabah untuk bertransaksi via HP dengan perintah SMS. Fitur transaksi yang dapat dilakukan yaitu informasi saldo rekening, pemindahbukuan antar rekening, pembayaran (a.l. kartu kredit, listrik, dan telepon), dan pembelian voucher. Untuk transaksi lainnya pada dasarnya dapat pula dilakukan, namun tergantung pada akses yang dapat diberikan bank. Saluran ini sebenarnya termasuk praktis namun dalam prakteknya agak merepotkan karena nasabah harus menghapal kode-kode transaksi dalam pengetikan sms, kecuali pada bank yang melakukan kerjasama dengan operator seluler, menyediakan akses banking menu – Sim Tool Kit (STK) pada simcardnya.
Dengan beragamnya kemudahan transaksi via e-Banking, kini pilihan ada di tangan kita untuk memanfaatkannya atau tidak. Namun mengingat tidak semua bank menyediakan layanan-layanan tersebut, maka seberapa pintarkah bank kita? Untuk dapat bertransaksi pintar, kini saatnya memilih bank pintar kita, tentunya sesuai kebutuhan transaksi.
1) Automated Teller Machine (ATM). Terminal elektronik yang disediakan lembaga keuangan atau perusahaan lainnya yang membolehkan nasabah untuk melakukan penarikan tunai dari rekening simpanannya di bank, melakukan setoran, cek saldo, atau pemindahan dana.
2) Computer Banking. Layanan bank yang bisa diakses oleh nasabah melalui koneksi internet ke pusat data bank, untuk melakukan beberapa layanan perbankan, menerima dan membayar tagihan, dan lain-lain.
3) Debit (or check) Card. Kartu yang digunakan pada ATM atau terminal point-of-sale (POS) yang memungkinkan pelanggan memperoleh dana yang langsung didebet (diambil) dari rekening banknya.
4) Direct Deposit. Salah satu bentuk pembayaran yang dilakukan oleh organisasi (misalnya pemberi kerja atau instansi pemerintah) yang membayar sejumlah dana (misalnya gaji atau pensiun) melalui transfer elektronik. Dana ditransfer langsung ke setiap rekening nasabah.
5) Direct Payment (also electronic bill payment). Salah satu bentuk pembayaran yang mengizinkan nasabah untuk membayar tagihan melalui transfer dana elektronik. Dana tersebut secara elektronik ditransfer dari rekening nasabah ke rekening kreditor. Direct payment berbeda dari preauthorized debit dalam hal ini, nasabah harus menginisiasi setiap transaksi direct payment.
6) Electronic Bill Presentment and Payment (EBPP). Bentuk pembayaran tagihan yang disampaikan atau diinformasikan ke nasabah atau pelanggan secara online, misalnya melalui email atau catatan dalam rekening bank. Setelah penyampaian tagihan tersebut, pelanggan boleh membayar tagihan tersebut secara online juga. Pembayaran tersebut secara elektronik akan mengurangi saldo simpanan pelanggan tersebut.
7) Electronic Check Conversion. Proses konversi informasi yang tertuang dalam cek (nomor rekening, jumlah transaksi, dll) ke dalam format elektronik agar bisa dilakukan pemindahan dana elektronik atau proses lebih lanjut.
8) Electronic Fund Transfer (EFT). Perpindahan “uang” atau “pinjaman” dari satu rekening ke rekening lainnya melalui media elektronik.
9) Payroll Card. Salah satu tipe “stored-value card” yang diterbitkan oelh pemberi kerja sebagai pengganti cek yang memungkinkan pegawainya mengakses pembayaraannya pada terminal ATM atau Point of Sales. Pemberi kerja menambahkan nilai pembayaran pegawai ke kartu tersebut secara elektronik.
10) Preauthorized Debit (or automatic bill payment). Bentuk pembayaran yang mengizinkan nasabah untuk mengotorisasi pembayaran rutin otomatis yang diambil dari rekening banknya pada tanggal-tangal tertentu dan biasanya dengan jumlah pembayaran tertentu (misalnya pembayaran listrik, tagihan telpon, dll). Dana secara elektronik ditransfer dari rekening pelanggan ke rekening kreditor (misalnya PLN atau PT Telkom).
11) Prepaid Card. Salah satu tipe Stored-Value Card yang menyimpan nilai moneter di dalamnya dan sebelumnya pelanggan sudah membayar nilai tersebut ke penerbit kartu.
12) Smart Card. Salah satu tipe stored-value card yang di dalamnya tertanam satu atau lebih chips atau microprocessors sehingga bisa menyimpan data, melakukan perhitungan, atau melakukan proses untuk tujuan khusus (misalnya validasi PIN, otorisasi pembelian, verifikasi saldo rekening, dan menyimpan data pribadi). Kartu ini bisa digunakan pada sistem terbuka (misalnya untuk pembayaran transportasi publik) atau sistem tertutup (misalnya MasterCard atau Visa networks).
13) Stored-Value Card. Kartu yang di dalamnya tersimpan sejumlah nilai moneter, yang diisi melalui pembayaran sebelumnya oleh pelanggan atau melalui simpanan yang diberikan oleh pemberi kerja atau perusahaan lain. Untuk single-purpose stored value card, penerbit (issuer) dan penerima (acceptor) kartu adalah perusahaan yang sama dan dana pada kartu tersebut menunjukkan pembayaran di muka untuk penggunaan barang dan jasa tertentu (misalnya kartu telpon). Limited-purpose card secara umum digunakan secara terbatas pada terminal POS yang teridentifikasi sebelumnya di lokasi-lokasi tertentu (misalnya vending machines di sekolah-sekolah). Sedangkan multi-purpose card dapat digunakan pada beberapa penyedia jasa dengan kisaran yang lebih luas, misalnya kartu dengan logo MasterCard, Visa, atau logo lainnya dalam jaringan antar bank.
Electronic Banking (e-banking) merupakan suatu aktifitas layanan perbankan yang menggabungkan antara sistem informasi dan teknologi, e-banking meliputi phone banking, mobile banking, dan internet banking. Fungsi penggunaannya mirip dengan mesin ATM dimana sarananya saja yang berbeda, seorang nasabah dapat melakukan aktifitas pengecekan saldo rekening, transfer dana antar rekening atau antar bank, hingga pembayaran tagihan-tagihan rutin bulanan seperti: listrik, telepon, kartu kredit, dll. Dengan memanfaatkan e-banking banyak keuntungan yang akan diperoleh nasabah terutama apabila dilihat dari banyaknya waktu dan tenaga yang dapat dihemat karena e-banking jelas bebas antrian dan dapat dilakukan dari mana saja sepanjang nasabah memiliki sarana pendukung untuk melakukan layanan e-banking tersebut.
Seorang nasabah akan dibekali dengan login dan kode akses ke situs web dimana terdapat fasilitas e-banking milik bank bersangkutan. Selanjutnya, nasabah dapat melakukan login dan melakukan aktifitas perbankan melalui situs web bank bersangkutan. Sebenarnya e-banking bukan barang baru di internet, tapi di Indonesia sendiri baru beberapa tahun belakangan ini marak diaplikasikan oleh beberapa bank papan atas. Konon ini berkaitan dengan keamanan nasabah yang tentunya menjadi perhatian utama dari para pengelola bank disamping masalah infrastruktur bank bersangkutan.
Keamanan memang merupakan isu utama dalam e-banking karena sebagaimana kegiatan lainnya di internet, transaksi perbankan di internet juga rawan terhadap pengintaian dan penyalahgunaan oleh tangan-tangan yang tidak bertanggung jawab.
Sebuah situs e-banking diwajibkan untuk menggunakan standar keamanan yang sangat ketat untuk menjamin bahwa setiap layanan yang mereka sediakan hanya dimanfaatkan oleh mereka yang memang betul-betul berhak. Salah satu teknik pengamanan yang sering dugunakan dalam e-banking adalah melalui SSL (Secure Socket Layer) maupun lewat protokol HTTPS (Secure HTTP).
BCA salah satu bank pelopor e-banking di Indonesia contohnya. BCA menawarkan produk perbankan elektronik berupa KlikBCA, yang memberikan kemudahan untuk melakukan transaksi perbankan melalui komputer dan jaringan internet. KlikBCA dilengkapi dengan security untuk menjamin keamanan dan kerahasiaan data dan transaksi yang dilakukan oleh nasabah. Untuk menambah keamanan pihak bank melengkapi juga dengan KeyBCA, yaitu alat pengaman tambahan untuk lebih mengamankan transaksi finansial di KlikBCA. Alat ini berfungsi untuk mengeluarkan password yang selalu berganti setiap kali melakukan transaksi finansial. Dengan demikian, keamanan nasabah bertransaksi akan makin terjaga.
Dengan hadirnya e-banking tidak hanya nasabah saja yang mendapatkan manfaat melainkan juga menciptakan efek manfaat yang lain bagi bank, yakni meningkatkan pendapatan berbasis komisi atau biaya (fee based income). Sebagian besar fee berasal dari layanan transaksi yang ditawarkan e-banking, misalnya untuk pembayaran tagihan listrik dikenai biaya Rp 2.500 per transaksi. Semakin sering nasabah bertransaksi lewat e-banking, semakin banyak pula fee yang diperoleh bank. Belakangan ini jenis pendapatan nonbunga tumbuh lebih cepat ketimbang pendapatan bunga. Selain itu biaya operasional juga menjadi sangat murah dibandingkan dengan biaya transaksi melalui kantor cabang, biaya di cabang relatif lebih besar karena untuk membayar karyawan, pengamanan, listrik, dan biaya sewa gedung. Dengan segala manfaat yang bisa didapat melalui e-banking beberapa bank rela menanamkan investasi yang mahal untuk mengembangkan e-banking. Akan tetapi tidak banyak bank yang bisa mengembangkannya karena terbenturnya masalah biaya.
Bagaimana Virus dan Phising digunakan untuk mengalahkan pengamanan Token. Bagaimana caranya mengirimkan dokumen digital rahasia dengan cepat, aman dan praktis ke alamat email rekan atau kolega bisnis, yang mungkin sedang berada di Yogya dan tidak memiliki komputer dan terkoneksi ke internet hanya dari warnet ? Kalau filenya di kompres (zip) dan diberi password atau dokumen MS office di beri password dan relatif mudah dibuka oleh orang yang tidak berhak dengan tools pembuka password (password cracker) yang banyak tersedia di internet (underground seperti www.astalavista.com). Dengan menggunakan dictionary attack atau brute force hanya masalah waktu saja password tersebut akan dapat ditemukan. Password Recovery Tools yang sering disalahgunakan untuk membuka file orang lain yang dipassword
Salah satu cara yang lebih aman adalah mengenkrip file yang dikirim dan lebih afdol lagi jika file tersebut diberikan time limit, sehingga seperti film Mission Impossible, selewat dari waktu yang anda tentukan file tersebut akan rusak (self destruct). Tetapi, diluar itu ada satu hal krusial yang harus anda perhatikan dan jalankan dengan baik jika ingin mendapatkan perlindungan sekuriti yang baik, karena meskipun enkripsi sudah dilakukan, tetapi password ekripsi juga dikirimkan ke alamat email yang sama. Ibarat kata Gito Rollies itu namanya “Sama Juga Bohong”. Karena siapapun yang memiliki akses untuk mendapatkan file yang anda kirim melalui email di tengah jalan sudah pasti memiliki akses untuk mendapatkan email berikutnya yang berisi password. Lalu bagaimana cara menghadapi masalah ini ?
Jawabannya “Two Factor Authentication” / T-FA. Seperti kita ketahui, ada tiga faktor universal (“sesuatu”) yang digunakan untuk autentifikasi individu. Pertama adalah “Sesuatu yang kamu tahu” seperti password, PIN atau identitas yang ada didompet anda seperti nomor KTP, SIM dan Kartu Mahasiswa. Kedua adalah “Sesuatu yang kamu miliki” seperti Handphone, kartu kredit atau security token. Ketiga “Sesuatu yang ada di diri kamu” seperti sidik jari, sidik retina atau biometrik lain.
Lalu bagaimana jawaban dari masalah di atas ? Mudah, setelah anda melakukan “pekerjaan rumah” mengenkripsi file dengan baik dan aman (gunakan Norman Privacy untuk mengenkripsi file dan membuat self extracting exe dan memberi password pada dokumen yang ingin anda enkripsi), kirimkan password dekripsi melalui media lain, seperti telepon, SMS atau alamat website rahasia berisi password yang hanya anda ketahui berdua.
Jika anda melakukan praktek ini, tingkat keamanan data anda menjadi selevel dengan pengamanan yang dilakukan oleh Bank dalam melindungi nasabahnya yang melakukan Internet Banking. Bahkan dibandingkan beberapa bank di Indonesia yang hanya mengandalkan password dan tidak mengandalkan Two Factor Authentication (T-FA), dokumen anda terlindung jauh lebih aman.
Seberapa mampu teknologi mengamankan transaksi internet Banking anda ? Bagaimana para kriminal mengeksploitasi hal ini ? Lalu bagaimana sebaiknya anda bersikap ?
Seperti kita ketahui, sekuriti dengan kenyamanan berbanding terbalik. Makin aman suatu transaksi, makin sulit di implementasikan. Makin nyaman suatu transaksi, makin mudah ditembus. Walaupun dalam beberapa kasus, analisa dan kreativitas dari penyedia layanan internet banking dapat memberikan keamanan dan kenyamanan pada tingkat yang dapat diserap dengan baik oleh segala lapisan masyarakat sehingga dapat di implementasikan dengan cepat dan baik. Tetapi ada satu “ground rule” yang harus disadari oleh penyedia jasa internet banking, “Teknologi selalu berkembang dan tidak ada satupun pengamanan yang kekal”. Dengan kata lain, kriminal akan selalu mencari cara (dan berhasil) menembus teknik pengamanan transaksi yang ada dan para penyedia jasa layanan keamanan harus “selalu” mengikuti perkembangan dan melakukan teknik baru dalam pengamanan transaksi.
Tools yang paling sering digunakan untuk menembus perlindungan internet banking adalah malware. Seperti kita ketahui, ada program berbahaya yang untuk merekam semua ketukan keyboard komputer yang anda (nasabah internet banking) lakukan pada keyboard, yaitu key logger. Dengan key logger, semua ketukan keyboard yang anda lakukan akan direkam dan biasanya dimasukkan pada trojan horse yang menumpang pada game, virus atau program gratisan yang anda download dari internet. Harga yang anda bayar untuk program gratisan jika mengandung Trojan Horse yang berhasil mengeksploitasi data rahasia anda bisa jauh lebih mahal daripada anda membeli program original.
Lalu ada beberapa bank yang menggunakan papan keyboard virtual yang muncul di layar komputer dengan susunan huruf dan angka yang berubah-ubah setiap kali tampil dan nasabah memasukkan data / pin dengan mengklik huruf atau angka yang terpampang di keyboard virtual menggunakan mouse. Dengan trojan horse yang sama, kriminal dengan mudah melakukan screen capture (Print Screen) sehingga dapat mengetahui susunan keyboard virtual yang muncul setiap kali dan dengan menganalisa waktu dan koordinat-koordinat dimana mouse di klik oleh user… voila …..apapun di klik nasabah dengan mouse pada keyboard virtual akan dapat diketahui.
Karena itu, salah satu perlengkapan yang harus dimiliki oleh nasabah internet banking (must have) adalah program antivirus dan antispyware yang handal yang mampu mendeteksi keylogger dan trojan horse yang berbahaya.
Lalu, bagaimana kriminal menghadapi pengamanan Two Factor Authentication seperti token pin yang mulai populer digunakan oleh bank ? Apakah sudah aman dan tidak mungkin ditembus ?
Apakah internet banking anda dengan Token benar-benar aman ?
Pick enemy your own size, carilah musuh yang sepadan dengan anda. Kalau Chris John yang masih juara dunia tinju sekalipun di “adu” dengan Mike Tyson yang notabene bukan juara dunia tinju lagi. Tentunya Chris John akan pikir-pikir melawan Mike Tyson. Mengapa ? Karena kelasnya berbeda. Kalau Chris John juara dunia kelas bulu, sedangkan Mike merupakan eks juara dunia kelas berat. Hal tersebut mirip jika kriminal berhadapan head to head dengan server internet banking. Server tersebut dijaga dengan berbagai pertahanan, firewall, team pemantau aktivitas etc. Namun, tergantung tujuannya, apakah ingin membobol server internet banking atau “mendapatkan uang” dari nasabah internet banking. Kalau tujuannya membobol server internet banking, hal tersebut tidak dibahas disini karena hanya komunitas hacker tertentu dengan skill yang diatas rata-rata yang memiliki kemampuan dan jaringan untuk melakukan hal tersebut.
Namun jika tujuannya adalah mendapatkan uang dari rekening internet banking, maka pameo “pick enemy your own size” berlaku. Jadi, kriminal akan memilih lawan dengan pertahanan yang lebih lemah dari server internet banking di bank. Siapa itu ? Tidak lain dan tidak bukan adalah pengguna internet banking.
Seperti kita ketahui, dalam penerapan sekuriti, salah satu hal kunci dalam keberhasilan penerapan sekuriti adalah partisipasi “user”. Sebagai gambaran, sekalipun sudah menggunakan program antivirus terkenal, suatu jaringan komputer dengan mudah akan terinfeksi virus jika usernya sering mengunjungi website porno atau crack. Sebaliknya, user yang menggunakan antivirus gratisan sekalipun akan lebih jarang terinfeksi virus jika menerapkan kebiasaan sekuriti yang baik seperti tidak sembarangan melakukan full sharing, berhati-hati dalam melakukan browsing dst.
Sebenarnya hal ini disadari sekali praktisi sekuriti oleh bank penyelenggara internet bankingpun sudah melakukan pengamanan yang memadai, salah satunya adalah dengan mengimplementasikan token (T-FA two factor authentication). Tetapi tetap saja user merupakan titik terlemah dalam sekuriti karena sudah menjadi hukumnya bahwa manusia itu unik dengan 1001 kebiasaan dan latar belakang yang berbeda. Selain itu, sesuai hukum piramida, persentase user internet banking yang tidak paham / perduli sekuriti jauh lebih besar dari jumlah user yang paham / perduli sekuriti.
DNS cache poisoning dan website forging (Phising)
Salah satu teknik yang patut diwaspadai dalam berpotensi menembus pertahanan internet banking dengan pengamanan Token adalah DNS cache poisoning dan website forging. Website forging adalah pemalsuan website yang dibuat sedemikian rupa sehingga pengakses percaya bahwa website palsu yang diaksesnya adalah benar website bank yang bersangkutan dan aman untuk melakukan transaksi.
DNS cache poisoning (DNS poisoning) adalah teknik “meracuni” DNS Server untuk mengelabui pengguna internet untuk percaya bahwa website “palsu” yang diaksesnya (yang dibuat benar-benar menyerupai website asli) adalah website asli. Tetapi tentunya anda akan langsung bertanya, lho bukankah DNS tersebut dimaintain oleh ISP dan tentunya dalam waktu singkat aksi DNS poisoning ini terdeteksi dan dimentahkan.
Memang betul dan yang dimaksudkan disini bukan DNS poisoning pada DNS server, tetapi DNS poisoning pada sasaran yang lebih kecil lagi, tetapi tidak kalah berbahaya ….. DNS pada komputer user. Seperti kita ketahui, OS komputer (baik XP maupun Vista) memiliki file “Host” yang berfungsi sebagai “DNS server” bagi komputer yang bersangkutan. Jika file host tersebut berhasil dimanipulasi, maka dengan mudah setiap akses ke website internet banking akan diarahkan ke website palsu yang sudah di program sedemikian rupa sehingga dapat mengelabui pengguna internet banking ketika melakukan transaksi internet banking.
Tetapi tentunya anda bertanya, bagaimana dengan pengamanan ganda pada internet banking yang menggunakan Token ? Bukankah angka PIN (Personal Identification Number) tersebut merupakan one time PIN dan berubah-ubah setiap kali pengguna komputer melakukan transaksi ?
Jika kita melihat sekilas kelihatannya pengamanan Token ini sangat aman dan PIN internet banking yang berbeda untuk setiap pengguna, berubah setiap kali (one time Password) sehingga sangat sulit diketahui kecuali mendapatkan rumusannya dan memang hanya pemilik Token dan server internet banking yang mengetahui PIN sehingga “hampir” tidak mungkin untuk mengetahui PIN tersebut. Jangankan orang lain, pemilik Token saja kalau lupa PIN Tokennya, sudah tidak ada harapan untuk berinternet banking lagi .
Tetapi dengan DNS poisoning dan website forging / phising ini, kriminal tidak perlu mengetahui PIN dan pengguna internet banking yang akan memasukkan semua data, baik username, password, account confirmation PIN dan one time PIN.
Ambil contoh korban DNS poisoning ini melakukan logon ke rekening internetnya. Karena sudah dialihkan, maka ia akan mengakses situs palsu internet banking yang dibuat sedemikian rupa agar sama dengan situs internet banking. Lalu si korban memasukkan Username dan Password yang secara otomatis akan digunakan oleh server untuk login ke website internet banking yang sebenarnya. Disini Tahap Pertama pengaksesan rekening sudah berhasil dijalankan.
Lalu bagaimana caranya mendapatkan uang dari korban internet banking ini ? Mudah saja, walaupun PIN tersebut merupakan one time PIN, tetapi PIN tersebut tidak unik untuk setiap transaksi dan berlaku universal untuk semua transaksi internet banking, baik pembayaran rekening telepon, pembayaran asuransi, internet, listrik sampai dengan pengisian pulsa isi ulang.
Ketika user melakukan transaksi, website palsu akan meminta one time PIN yang harus dimasukkan dan one time PIN yang dimasukkan itu sekarang dapat dipergunakan untuk kriminal untuk melakukan transaksi non transfer (EG. pembelian pulsa isi ulang) karena transaksi transfer akan meminta account confirmation PIN.
Bagaimana memanipulasi Host file ?
Pertanyaan lain yang tentunya timbul adalah, bagaimana caranya memanipulasi host file dan seberapa besar kemungkinan terjadinya manipulasi Host file tersebut ?
Secara teknis, manipulasi Host file Windows sangat mudah dan banyak dilakukan oleh virus-virus lokal yang beredar di Indonesia. Ambil contoh virus Wayang memanipulasi host file komputer korbannya dan mengarahkannya setiap akses ke situs sekuriti seperti www.vaksin.com, www.ansav.com, www.jasakom.com, www.vbbego.com ke localhost (127.0.0.1) sehingga website-website sekuriti tersebut praktis tidak bisa diakses komputer korban virus Wayang (lihat gambar). Bahayanya, kalau website sekuriti ini dirubah menjadi website internet banking dan diarahkan bukan ke localhost, tetapi IP website palsu (forging) di internet yang telah dipersiapkan sebelumnya, tentunya akan banyak sekali korban internet banking yang tidak menyadari kalau website internet bankingnya sudah diarahkan ke alamat lain dan menjadi korban.
Salah satu tugas pokok Bank Indonesia sebagaimana diamanatkan dalam UU No. 23 Tahun 1999 tentang Bank Indonesia sebagaimana telah diubah dengan UU No. 3 Tahun 2004 adalah mengatur dan mengawasi bank. Dalam rangka pelaksanaan tugas tersebut Bank Indonesia diberikan kewenangan sbb:
1. Menetapkan peraturan perbankan termasuk ketentuan-ketentuan perbankan yang memuat prinsip-prinsip kehati-hatian.
2. Memberikan dan mencabut izin atas kelembagaan dan kegiatan usaha tertentu dari bank, memberikan izin pembukaan, penutupan dan pemindahan kantor bank, memberikan persetujuan atas kepemilikan dan kepengurusan bank.
3. Melaksanakan pengawasan bank secara langsung dan tidak langsung.
4. Mengenakan sanksi terhadap bank sesuai dengan ketentuan perundang-undangan.
Pelaksanaan kewenangan tugas-tugas tersebut di atas ditetapkan secara lebih rinci dalam Peraturan Bank Indonesia (PBI). Terkait dengan tugas Bank Indonesia mengatur dan mengawasi bank, salah satu upaya untuk meminimalisasi internet fraud yang dilakukan oleh Bank Indonesia adalah melalui pendekatan aspek regulasi. Sehubungan dengan hal tersebut, Bank Indonesia telah mengeluarkan serangkaian Peraturan Bank Indonesia dan Surat Edaran Bank Indonesia yang harus dipatuhi oleh dunia perbankan antara lain mengenai penerapan manajemen risiko dalam penyelenggaraan kegiatan internet banking dan penerapan prinsip Know Your Customer (KYC).
Penerapan prinsip Know Your Customer (KYC)
Upaya lainnya yang dilakukan oleh Bank Indonesia dalam rangka meminimalisir terjadinya tindak kejahatan internet fraud adalah pengaturan kewajiban bagi bank untuk menerapkan prinsip mengenal nasabah atau yang lebih dikenal dengan prinsip Know Your Customer (KYC). Pengaturan tentang penerapan prinsip KYC terdapat dalam Peraturan Bank Indonesia No. 3/10/PBI/2001 tentang Penerapan Prinsip Mengenal Nasabah (Know Your Customer Principles) sebagaimana telah diubah dengan Peraturan Bank Indonesia No. 3/23/PBI/2001 dan Surat Edaran Bank Indonesia 6/37/DPNP tanggal 10 September 2004 tentang Penilaian dan Pengenaan Sanksi atas Penerapan Prinsip Mengenal Nasabah dan Kewajiban Lain Terkait dengan Undang-Undang tentang Tindak Pidana Pencucian Uang.
1. Manajemen resiko dalam penyelenggaraan kegiatan internet banking
Peraturan yang dikeluarkan oleh Bank Indonesia terkait dengan pengelolaan atau manajemen risiko penyelenggaraan kegiatan internet banking adalah Peraturan Bank Indonesia No. 5/8/PBI/2003 tentang Penerapan Manajemen Risiko Bagi Bank Umum dan Surat Edaran Bank Indonesia No. 6/18/DPNP, tanggal 20 April 2004 tentang Penerapan Manajemen Risiko Pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking)
Pokok-pokok pengaturannya antara lain sbb:
a. Bank yang menyelenggarakan kegiatan internet banking wajib menerapkan manajemen risiko pada aktivitas internet banking secara efektif.
b. Penerapan manajemen risiko tersebut wajib dituangkan dalam suatu kebijakan, prosedur dan pedoman tertulis dengan mengacu pada Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking), yang ditetapkan dalam lampiran dalam Surat Edaran Bank Indonesia tersebut.
c. Pokok-pokok penerapan manajemen risiko bagi bank yang menyelenggarakan kegiatan internet banking adalah:
1) Adanya pengawasan aktif komisaris dan direksi bank, yang meliputi:
a) Komisaris dan direksi harus melakukan pengawasan yang efektif terhadap risiko yang terkait dengan aktivitas internet banking, termasuk penetapan akuntabilitas, kebijakan dan proses pengendalian untuk mengelola risiko tersebut.
b) Direksi harus menyetujui dan melakukan kaji ulang terhadap aspek utama dari prosedur pengendalian pengamanan bank.
2) Pengendalian pengamanan (security control)
a) Bank harus melakukan langkah-langkah yang memadai untuk menguji keaslian (otentikasi) identitas dan otorisasi terhadap nasabah yang melakukan transaksi melalui internet banking.
b) Bank harus menggunakan metode pengujian keaslian transaksi untuk menjamin bahwa transaksi tidak dapat diingkari oleh nasabah (non repudiation) dan menetapkan tanggung jawab dalam transaksi internet banking.
c) Bank harus memastikan adanya pemisahan tugas dalam sistem internet banking, database dan aplikasi lainnya.
d) Bank harus memastikan adanya pengendalian terhadap otorisasi dan hak akses (privileges) yang tepat terhadap sistem internet banking, database dan aplikasi lainnya.
e) Bank harus memastikan tersedianya prosedur yang memadai untuk melindungi integritas data, catatan/arsip dan informasi pada transaksi internet banking.
f) Bank harus memastikan tersedianya mekanisme penelusuran (audit trail) yang jelas untuk seluruh transaksi internet banking.
g) Bank harus mengambil langkah-langkah untuk melindungi kerahasiaan informasi penting pada internet banking. Langkah tersebut harus sesuai dengan sensitivitas informasi yang dikeluarkan dan/atau disimpan dalam database.
3) Manajemen Resiko Hukum dan Risiko Reputasi
a) Bank harus memastikan bahwa website bank menyediakan informasi yang memungkinkan calon nasabah untuk memperoleh informasi yang tepat mengenai identitas dan status hukum bank sebelum melakukan transaksi melalui internet banking.
b) Bank harus mengambil langkah-langkah untuk memastikan bahwa ketentuan kerahasiaan nasabah diterapkan sesuai dengan yang berlaku di negara tempat kedudukan bank menyediakan produk dan jasa internet banking.
c) Bank harus memiliki prosedur perencanaan darurat dan berkesinambungan usaha yang efektif untuk memastikan tersedianya sistem dan jasa internet banking.
d) Bank harus mengembangkan rencana penanganan yang memadai untuk mengelola, mengatasi dan meminimalkan permasalahan yang timbul dari kejadian yang tidak diperkirakan (internal dan eksternal) yang dapat menghambat penyediaan sistem dan jasa internet banking.
e) Dalam hal sistem penyelenggaraan internet banking dilakukan oleh pihak ketiga (outsourcing), bank harus menetapkan dan menerapkan prosedur pengawasan dan due dilligence yang menyeluruh dan berkelanjutan untuk mengelola hubungan bank dengan pihak ketiga tersebut.
a. Prinsip Mengenal Nasabah adalah prinsip yang diterapkan bank untuk mengetahui identitas nasabah, memantau kegiatan transaksi nasabah termasuk pelaporan transaksi yang mencurigakan.
b. Dalam menerapkan Prinsip Mengenal Nasabah, bank wajib:
1) Menetapkan kebijakan penerimaan nasabah.
2) Menetapkan kebijakan dan prosedur dalam mengidentifikasi nasabah.
3) Menetapkan kebijakan dan prosedur pemantauan terhadap rekening dan transaksi nasabah.
4) Menetapkan kebijakan dan prosedur manajemen resiko yang berkaitan dengan penerapan Prinsip Mengenal Nasabah.
c. Terkait dengan kebijakan penerimaan dan identifikasi nasabah, maka:
1) Sebelum melakukan hubungan usaha dengan nasabah, bank wajib meminta informasi mengenai identitas calon nasabah, maksud dan tujuan hubungan usaha yang akan dilakukan calon nasabah dengan bank, informasi lain yang memungkinkan bank untuk dapat mengetahui profil calon nasabah dan identitas pihak lain dalam hal calon nasabah bertindak untuk dan atas nama pihak lain. Identitas calon nasabah tersebut harus dibuktikan dengan dokumen-dokumen pendukung dan bank wajib meneliti kebenaran dokumen-dokumen pendukung tersebut.
2) Bagi bank yang telah menggunakan media elektronis dalam pelayanan jasa perbankan wajib melakukan pertemuan dengan calon nasabah sekurang-kurangnya pada saat pembukaan rekening.
d. Dalam hal calon nasabah bertindak sebagai perantara dan atau kuasa pihak lain (beneficial owner) untuk membuka rekening, bank wajib memperoleh dokumen-dokumen pendukung identitas dan hubungan hukum, penugasan serta kewenangan bertindak sebagai perantara dan atau kuasa pihak lain. Dalam hal bank meragukan atau tidak dapat meyakini identitas beneficial owner, bank wajib menolak untuk melakukan hubungan usaha dengan calon nasabah e-banking. Bank wajib menatausahakan dokumen-dokumen pendukung nasabah dalam jangka waktu sekurang-kurangnya 5 (lima) tahun sejak nasabah menutup rekening pada bank. Bank juga wajib melakukan pengkinian data dalam hal terdapat perubahan terhadap dokumen-dokumen pendukung tersebut.
f. Bank wajib memiliki sistem informasi yang dapat mengidentifikasi, menganalisa, memantau dan menyediakan laporan secara efektif mengenai karakteristik transaksi yang dilakukan oleh nasabah bank.
g. Bank wajib memelihara profil nasabah yang sekurang-kurangnya meliputi informasi mengenai pekerjaan atau bidang usaha, jumlah penghasilan, rekening lain yang dimiliki, aktivasi transaksi normal dan tujuan pembukaan rekening.
h.Bank wajib memiliki kebijakan dan prosedur manajemen risiko yang sekurang-kurangnya mencakup:
1) Pengawasan oleh pengurus bank (management oversight).
2) Pendelegasian wewenang.
3) Pemisahan tugas.
4) Sistem pengawasan intern termasuk audit intern.
5) Program pelatihan karyawan mengenai penerapan Prinsip Mengenal Nasabah.
3. Kegiatan Alat Pembayaran dengan Menggunakan Kartu dan Transparansi Produk Bank
Regulasi lainnya yang dikeluarkan oleh Bank Indonesia terkait dengan upaya meminimalisir internet fraud adalah regulasi mengenai penyelenggaraan kegiatan Alat Pembayaran dengan Menggunakan Kartu (APMK), mengingat APMK merupakan alat atau media yang sering digunakan dalam kejahatan internet fraud. Ketentuan mengenai penyelenggaraan APMK terdapat dalam Peraturan Bank Indonesia No. 6/30/PBI/2004 tentang Penyelenggaraan Kegiatan Alat Pembayaran Dengan Menggunakan Kartu dan Surat Edaran Bank Indonesia No. 7/60/DASP, tanggal 30 Desember 2005 tentang Prinsip Perlindungan Nasabah dan Kehati-hatian, serta Peningkatan Keamanan Dalam Penyelenggaraan Kegiatan Alat Pembayaran Dengan Menggunakan Kartu.
Adapun pokok-pokok pengaturannya antara lain sbb:
a). Alat Pembayaran Dengan Menggunakan Kartu (APMK) adalah alat pembayaran yang berupa kartu kredit, kartu ATM, kartu debet, kartu prabayar dan atau yang dipersamakan dengan hal tersebut.
b). Bagi bank dan lembaga bukan bank yang merupakan penyelenggara APMK harus menyerahkan bukti penerapan manajemen risiko.
c). Penerbit APMK wajib meningkatkan keamanan APMK untuk meminimalkan tingkat kejahatan terkait dengan APMK dan sekaligus untuk meningkatkan kepercayaan masyarakat terhadap APMK.
d). Peningkatan keamanan tersebut dilakukan terhadap seluruh infrastruktur teknologi yang terkait dengan penyelenggaraan APMK, yang meliputi pengamanan pada kartu dan pengamanan pada seluruh sistem yang digunakan untuk memproses transaksi APMK termasuk penggunaan chip pada kartu kredit. Selain itu, Bank Indonesia juga mengeluarkan regulasi mengenai transparansi informasi produk bank dan penggunaan data pribadi nasabah, sebagai upaya untuk mengedukasi nasabah terhadap produk bank dan meningkatkan kewaspadaan nasabah terhadap berbagai risiko termasuk internet fraud. Ketentuan tersebut terdapat dalam Peraturan Bank Indonesia No. 7/6/PBI/2005 Jo SE No. 7/25/DPNP tentang Transparansi Informasi Produk Bank Dan Penggunaan Data Pribadi Nasabah.
Peraturan-peraturan
Ketentuan mengenai rahasia bank diatur dalam UU Perbankan dan kemudian diatur lebih lanjut dalam Peraturan Bank Indonesia No. 2/19/PBI/2000 tentang Persyaratan dan Tata Cara Pemberian Perintah atau Izin Tertulis Membuka Rahasia Bank. Berdasarkan ketentuan tersebut, pada prinsipnya setiap Bank dan afiliasinya wajib merahasiakan keterangan mengenai nasabah penyimpan dan simpanannya (Rahasia Bank). Sedangkan keterangan mengenai nasabah selain sebagai nasabah penyimpan, tidak wajib dirahasiakan.
Terhadap Rahasia Bank dapat disimpangi dengan izin terlebih dahulu dari pimpinan Bank Indonesia untuk kepentingan perpajakan, penyelesaian piutang bank oleh BUPN/PUPLN dan kepentingan peradilan perkara pidana dimana status nasabah penyimpan yang akan dibuka rahasia bank harus tersangka atau terdakwa. Terhadap Rahasia Bank dapat juga disimpangi tanpa izin terlebih dahulu dari pimpinan Bank Indonesia yakni untuk kepentingan perkara perdata antara bank dengan nasabahnya, tukar menukar informasi antar bank, atas permintaan/persetujuan dari nasabah dan untuk kepentingan ahli waris yang sah.
Dalam hal diperlukan pemblokiran dan atau penyitaan simpanan atas nama seorang nasabah penyimpan yang telah dinyatakan sebagai tersangka atau terdakwa oleh pihak aparat penegak hukum, berdasarkan ketentuan Pasal 12 ayat (1) PBI Rahasia Bank, dapat dilakukan sesuai dengan ketentuan peraturan perundang-undangan yang berlaku tanpa memerlukan izin terlebih dahulu dari pimpinan Bank Indonesia.
Namun demikian untuk memperoleh keterangan mengenai nasabah penyimpan dan simpanan nasabah yang diblokir dan atau disita pada bank, menurut Pasal 12 ayat (2) PBI Rahasia Bank, tetap berlaku ketentuan mengenai pembukaan Rahasia Bank dimana memerlukan izin terlebih dahulu dari pimpinan Bank Indonesia.
Tidak ada komentar:
Posting Komentar