Ini Bahaya Gesek Kartu Debit dan Kredit Selain di Mesin EDC
Utama

Ini Bahaya Gesek Kartu Debit dan Kredit Selain di Mesin EDC

Perlu standardisasi perlindungan terhadap data pribadi agar para penjual data nasabah bank tidak mudah mengambil dan mengeksploitasi untuk kepentingan mereka.

Oleh:
M. Agus Yozami/ANT
Bacaan 2 Menit
Ilustrasi kartu kredit. Foto: SGP
Ilustrasi kartu kredit. Foto: SGP
Communication and Information System Security Research Center (CISSReC) mengingatkan pemilik kartu debit dan kredit akan bahaya menggesek kartu tersebut, selain di mesin electronic data capture (EDC).

"Bahkan, Bank Indonesia (BI) beberapa hari terakhir ini gencar melarang toko atau "merchant" menggesek ganda kartu debit dan kartu kredit, selain di mesin EDC saat transaksi nontunai," kata Ketua Lembaga Riset Keamanan Siber dan Komunikas (CISSReC) Pratama Persadha melalui pesan singkatnya kepada Antara di Semarang, Kamis (7/9).

Menurut BI, demi keamanan nasabah, sudah ada regulasi dan perlu ditegakkan serta disosialisaikan lebih gencar. Larangan "double swipe" itu, tercantum pada Peraturan Bank Indonesia (PBI) Nomor 18/40/PBI/2016 tentang Penyelenggaraan Pemrosesan Transaksi Pembayaran.

Kekhawatiran BI, menurut Pratama, beralasan karena tindakan "double swipe" pada mesin kasir bisa merekam data nasabah di komputer kasir. Tindakan itu berisiko karena data nasabah bisa disalahgunakan.

Pratama yang juga pakar keamanan siber itu, menjelaskan bahwa pengamanan kartu debit dan kartu kredit di Tanah Air masih lemah sehingga mudah sekali menggandakan datanya. "Jadi, bila kartu digesek di 'card reader' komputer kasir, sebenarnya mereka juga membaca sekaligus mengopi data kartu kita," katanya.

Kalau data pengguna kartu itu sudah di-copy, menurut dia, bisa dipakai untuk apa saja. Bahkan, data itu bisa dikopi ke kartu kosong. Hasil penggandaan kartu kredit, kata Pratama, bisa langsung dipakai, sedangkan kartu debit harus tahu PIN terlebih dahulu.

"Oleh karena itu, PIN harus benar-benar kita jaga," ujar Pratama yang pernah sebagai Pelaksana Tugas Direktur Pengamanan Sinyal Lembaga Sandi Negara (Lemsaneg) itu.

Pratama memandang BI perlu gencar melakukan edukasi kepada para nasabah terkait dengan keutamaan mengamankan data di kartu debit dan kartu kredit. "Hal ini menjadi tanggung jawab bersama pemerintah dan perbankan agar data pribadi tidak mudah diambil dan disalahgunakan," katanya.

Menurut dia, hal itu hanya satu dari sekian banyak cara mengumpulkan data pribadi yang penggunaan selanjutnya sulit untuk mempertanggungjawabkan. (Baca Juga: BI: Nasabah Berhak Menolak Bila Kartu Digesek di Mesin Kasir)

Di samping itu, Pratama memandang perlu ada standardisasi perlindungan terhadap data pribadi agar para penjual data nasabah bank tidak mudah mengambil dan mengeksploitasi untuk kepentingan mereka.

Hal itu, menurut Pratama, merupakan fenomena gunung es karena masih banyak yang melakukan hal serupa. "Data ini terkumpul dari banyak cara, mungkin salah satunya juga dari menggesek kartu nasabah di komputer kasir," katanya.

Pratama mengatakan, Badan Siber dan Sandi Negara (BSSN) bisa menjadi badan yang mengeluarkan standar perlindungan terhadap data pribadi. Perbankan dan institusi vital nasional, misalnya, harus menerapkan standar pengamanan data pribadi dengan variabel tertentu.

Pratama menegaskan kembali bahwa data pribadi mutlak harus dilindungi. Namun, secara aturan perundangan hingga kini masih tumpang-tindih. "Belum ada kesepakatan aturan yang menjadi payung tentang definisi data pribadi. Akibatnya, penindakannya menjadi parsial," katanya.

Keberadaan UU Perlindungan Data Pribadi, menurut Pratama, harus didorong sebagai aturan yang memayungi semua jenis data pengguna. Apalagi, pada era maraknya aplikasi, uang digital, dan e-Commerce, kebutuhan perlindungan data pribadi sudah cukup mendesak. (Baca Juga: Ini Poin Penting dalam Permen Kominfo Perlindungan Data Pribadi)

"Hal ini karena data masyarakat terus diambil dan dieksploitasi sangat jauh," katanya.

Pratama mengutarakan bahwa langkah penguatan keamanan elektronik juga menuntut perbaikan manajemen pengamanan informasi. Oleh karena itu, dia memandang perlu ada standardisasi perlindungan data pribadi. Standar ini mengatur hak dan kewajiban, baik konsumen maupun penyedia layanan elektronik.

Sebelumnya, Gubernur Bank Indonesia (BI) Agus D.W. Martowardojo menegaskan larangan dilakukannya penggesekan ganda (double swipe) dalam setiap transaksi nontunai. Dalam setiap transaksi, kartu hanya boleh digesek satu kali demi melindungi masyarakat dari pencurian data dan informasi kartu.

"Jadi kami ingin menegaskan itu peraturan sudah ada, tidak boleh digesek dua kali sampai seperti itu dan jangan diteruskan. Kalau masih ada yang meneruskan itu, segera laporkan,” kata mantan Dirut Bank Mandiri itu.

Agus melanjutkan, masyarakat dapat menempuh dua skema pelaporan. Pertama, laporan kepada acquiring bank yang bekerjasama dengan pedagang-pedagang atau merchant. Kedua, masyarakat sepanjang merasa perlu dapat melaporkan kejadian tersebut langsung kepada BI agar ditindaklanjuti. (Baca Juga: Ini 5 Modus Penipuan Pelunasan Kartu Kredit, Waspadalah!)

Untuk Percepat Pelayanan
Sementara itu, Ketua Umum Asosiasi Pengusaha Ritel Indonesia (Aprindo) Roy Mandey memiliki pandangan lain. Dia mengatakan proses penggesekan kartu kredit maupun debit pada mesin kasir dilakukan untuk mempercepat layanan pembayaran. "Kita ingin memberikan pelayanan yang baik dengan transaksi yang cepat," kata Roy.

Roy mengatakan selama ini proses layanan pembayaran melalui kartu kredit maupun debit harus melalui proses penggesekan kepada mesin kasir sebagai validasi data pembelian. Proses validasi melalui penggesekan ini bisa mempercepat layanan pembayaran dan menghindari proses pencatatan nomor kartu kredit maupun debit secara manual yang memakan waktu lebih lama.

Menurut dia, pencatatan nomor kartu kredit maupun debit secara manual bisa menambah ketidaknyamanan bagi konsumen karena harus mengantre lebih lama di kasir. "Kalau tidak di-swipe berarti kartu kredit atau debit itu dimasukkan secara manual. Ketika memasukkan nomor secara manual, dibandingkan 'swipe', ada selisih 15-20 detik," katanya.

Roy memastikan proses penggesekan ini bukan merupakan upaya untuk mencuri data nasabah karena perusahaan ritel tidak mengetahui data konsumen secara detail seperti alamat dan nomor telepon.

"Validasi ini adalah kepentingan, ketika ada kesalahan memasukkan nilai transaksi dan lain sebagainya dapat dilacak dengan mudah dengan memakai nomor yang tercantum dalam 'cash register'," jelasnya.

Untuk sementara, guna memberikan pelayanan kepada masyarakat, perusahaan ritel akan menjalankan imbauan Bank Indonesia dan tidak lagi melakukan penggesekan kartu kredit maupun debit pada mesin kasir.

"Pada prinsipnya kita ingin mengutamakan pelayanan ke publik, kita sudah menyebarluaskan ke anggota, dan anggota sudah mulai memisahkan dari cara 'swipe' kembali ke manual," kata Roy.

Tags:

Berita Terkait