Senin, 17 Maret 2008

Data Tercuri, Industri Kartu Kredit Guncang

Cerita ini meluncur dari seorang eksekutif sebuah bank yang menerbitkan lebih dari satu juta kartu kredit. Beberapa pekan terakhir, puluhan pemegang kartu kredit menyampaikan penyangkalan terkait dengan transaksi yang tidak pernah mereka lakukan. Umumnya, para pemegang kartu menerima tagihan dari transaksi di luar negeri. Merasa, tak menggesek atau bertransaksi, tentu para pemegang kartu kredit itu ogah membayar tagihan. Setelah bank melakukan klarifikasi dan penyelidikan awal, diperoleh kesimpulan kartu-kartu kredit itu diduga telah disalah gunakan oleh orang lain secara tidak sah. Bank penerbit lalu menginformasikan bahwa investigasi tengah dilakukan. Untuk sementara, pemegang kartu bisa mengabaikan tagihan sampai diperoleh hasil final investigasi dalam kurun waktu 60 hari.

Di lain sisi, sejumlah pemegang kartu kredit yang tak dihubungi penerbit juga berharap-harap cemas. Dita, misalnya, tak juga mendapat telepon dari BNI saat sejumlah teman di kantornya sudah memperoleh kepastian pemblokiran dan penggantian kartu. Dia takut, data kartu kreditnya telah disadap. Mungkin apa yang dialami pada pemegang kartu kredit di atas baru puncak gunung es. Jutaan pemegang kartu kredit di Indonesia hari-hari belakangan sedang diliputi kecemasan menyusul terbongkarnya sindikat pencurian data kartu kredit. Tak tanggung-tanggung 7,2 juta data kartu kredit telah jatuh ke tangan sindikat yang berbasis di Malaysia itu.

Dari tangan para tersangka-yang ditangkap secara tak sengaja dalam sebuah operasi penggerebekan narkoba itu-polisi menemukan 7.000 kartu kredit palsu
keluaran sejumlah bank seperti Citibank, BCA, Bank Mandiri, BNI, Bank Niaga, maupun America Express. Soal jutaan data lain yang dicuri, sejauh ini belum
ada bukti telah disalahgunakan. Namun tak urung ini membuat para penerbit kartu kredit panik. Dalam pertemuan di Bank Indonesia pekan lalu, terungkap fakta bahwa tidak satu pun penerbit kartu kredit di Tanah Air yang luput dari pencurian data itu. Jumlahnya juga tak tanggung-tanggung ada sekitar 2 juta data transaksi kartu kredit tercuri. Itu artinya, lebih dari seperlima (21%) data kartu kredit dari 9,2 juta kartu yang beredar dalam kondisi 'tidak aman.'

Sejauh ini, dua prinsipal kartu pembayaran dengan pasar paling besar yakni Visa Internasional dan Mastercard telah memilah-milah data dan mendistribusikan kepada para penerbit kartu. Seperti dikatakan oleh Direktur Akunting dan Sistem Pembayaran Bank Indonesia Dyah Nastiti Makhijani, para penerbit telah mengambil langkah-langkah diperlukan untuk mengantisipasi terjadinya kerugian.

Di lapangan, para penerbit kartu kredit menempuh sejumlah cara. Ada yang serta merta memblokir kartu kredit kemudian menggantinya, adapula yang masih dalam proses verifikasi lebih lanjut. PT Bank Central Asia Tbk, penerbit yang telah merilis 1,5 juta kartu kredit-malah sangat percaya diri untuk tidak melakukan tindakan apapun. Apa pasal? BCA, kata salah satu eksekutifnya, merupakan salah satu bank yang telah melakukan migrasi kartu kredit ke standard Europay Mastercard Visa (EMV)-peralihan kartu dari magnetic stripe menjadi chip. EMV diyakini cukup aman sehingga meminimalisasi risiko fraud.

Sebagaimana dikatakan Lynna A. Muliawan Head of Preffered Circle Bank Niaga, bagi penerbit yang telah patuh dengan standard EMV, tidak menanggung risiko
bila terjadi pembobolan kartu kredit. Risiko tersebut kini telah beralih kepada pihak aquire bank, yakni bank yang mesin pembaca kartunya masih berbasis magnetic stripe -alat yang sejauh ini dicurigai sebagai sumber penyadapan. "Ini merupakan ketentuan dari Visa dan Mastercard."

Masalahnya, sebagian besar penerbit kini masih dalam proses peralihan sampai tenggat dari Bank Indonesia pada 2009.

Cara paling aman, adalah segera menarik kartu kredit yang dicurigai datanya telah disadap. BNI, Bank Mandiri, dan Bank Niaga telah melakukannya. BRI dan
GE Money baru dalam tahap verifikasi. Namun kecemasan lain muncul, bila kartu pengganti masih berupa magnetik, berarti sangat potensial untuk kembali bocor. Bila menilik infrastruktur teknologi informasi dalam industri kartu kredit,hampir seluruh penerbit mengadopsi perangkat sistem peringatan dini untuk mencegah pembobolan.

Caranya, di pasar telah tersedia perangkat lunak untuk memetakan pola belanja nasabah. Umumnya, para pemegang kartu memiliki pola belanja tertentu yang cenderung konstan. Jadi bila ada transaksi yang tiba-tiba, muncul peringatan yang ditindaklajuti oleh penerbit untuk memverifikasi transaksi yang terjadi. Namun, apakah cara ini bisa mendeteksi adanya pencurian data? Kalaupun bisa, hanya sebatas deteksi setelah pembobolan terjadi, bukan seperti pencurian
7,2 juta data kartu kredit di mana sebagian besar belum sempat digunakan untuk transaksi yang tidak sah.

Modus pencurian

Sejauh ini aparat kepolisian memiliki dua hipotesis mengenai modus pencurian jutaan data transaksi kartu kredit tersebut. Pertama, melakukan mengumpulan
berbagai transaksi dari berbagai merchant selama jangka waktu tertentu. Kedua, mencuri data transaksi dari jaringan electronic data capture (EDC) bank yang menjadi korban. Hanya saja, kalangan vendor pemasok jaringan data perbankan menepis hipotesa kedua tersebut, karena proses pencurian data transaksi tidak mudah, apalagi itu melibatkan banyak bank.

Zulfi Hadi, General Manager Marketing Division PT Aplikanusa Lintasarta berpendapat saat ini sudah sangat kecil kemungkinannya bagi penyadapan data kartu kredit yang dilakukan dari sisi jaringan atau dari kanal elektronik (EDC) sampai ke server atau dari teller ke server.

Dalam komunikasi data, katanya, teknologi enkripsi sudah demikian canggih karena sudah menggunakan teknologi enkripsi 50 bit sampai 64 bit di mana satu data diacak sampai kisaran dua pangkat 50 hingga dua pangkat 64. "Manusia tidak mungkin memecahkan berjuta probabilitas angka, karena setiap detik kode berubah," ujarnya kepada Bisnis, kemarin . Dia mengatakan modus penyadapan yang mungkin adalah justru pada saat kartu kredit didistribusikan mulai dari bank sampai proses berikutnya. "Jadi yang lebih mungkin adalah terjadinya fraud."

Sekarang para pemegang kartu kredit hanya bisa menunggu langkah lanjutan bank maupun perusahaan pembiayaan penerbit. Namun, tak ada salahnya segera
memeriksa dompet guna memastikan Anda bukan salah satu pemegang kartu kredit yang datanya tercuri. (Roni Yunianto) (hery.trianto@bisnis.co.id)

Oleh Hery Trianto
Wartawan Bisnis Indonesia

Tidak ada komentar:

Posting Komentar