English

Pembayaran Elektronik & Kartu

Dewasa ini, hampir semua transaksi pembayaran yang dibayarkan atau diterima oleh suatu bisnis dilakukan secara elektronik, dan penggunaan cek semakin langka dan uang tunai biasanya digunakan hanya dalam situasi pembelian di toko pengecer. Karena sifat aman sistem perbankan, transfer bank cenderung aman, jika kehati-hatian yang sama dilakukan seperti dalam transaksi daring lainnya. Menerima dan melakukan pembayaran kartu lebih berisiko, tapi sekali lagi, beberapa tindakan pencegahan sederhana dapat mencegah munculnya masalah. Kepatuhan dengan standar tertentu juga diperlukan untuk bisnis yang menerima kartu pembayaran.

Risiko

  • Menerima pembayaran
    • Dibayar menggunakan kartu kredit palsu atau curian.
    • Ketidakpatuhan atas Payment Card Industry Data Security Standards (PCI-DSS) atau Standar Keamanan Data Industri Kartu Pembayaran, dan penalti yang diakibatkan ketidakpatuhan tersebut.
    • Melanggar undang-undang perlindungan data dengan menyimpan detail pemegang kartu untuk tujuan tidak pantas atau untuk jangka waktu lama.
    • Menagih balik ke pelanggan yang menipu dan mengeklaim barang tidak diantar, barang tidak seperti yang digambarkan atau diterima dalam keadaan rusak.
  • Melakukan Pembayaran
    • Melakukan pembayaran kepada penipu di situs palsu atau untuk barang dan jasa yang sebenarnya tidak ada.
    • Mentransfer uang ke rekening palsu untuk barang dan jasa yang sebenarnya tidak ada (bank jarang dapat mengembalikan uang yang dicuri dengan cara ini)
    • Email phishing – ditipu dengan memasukkan detail finansial di situs web palsu.
    • Panggilan telepon vishing – ditipu sehingga mengungkapkan detail finansial melalui telepon.
    • Dua hal yang disebutkan terakhir adalah contoh social engineering.

Menerima pembayaran

  • Taking Payments
    • Pastikan bahwa situs ecommerce Anda aman demi keamanan dan ketenangan pelanggan Anda (lihat Situs web Aman di bawah ini).
    • Jika menerima pembayaran melalui kartu pembayaran, pastikan bisnis Anda sudah mematuhi Payment Card Industry Data Security Standards (PCI DSS), yang persyaratannya berbeda-beda sesuai dengan ‘level penjual’ dan penerbit kartu (lihat Kriteria Kepatuhan dan level PCI di bawah ini).
    • Ketika mengirimkan barang, gunakan bukti pengiriman (proof of delivery atau POD) untuk menghindari penagihan balik.
    • Tergantung pada sifat bisnis Anda dan ukuran transaksi, pertimbangkan untuk menerima pembayaran PayPal dan mobile yang memberikan lapisan keamanan tambahan.
  • Melakukan Pembayaran
  • Ketika melakukan pembayaran daring baik di situs web pemasok atau melalui pembayaran langsung, pastikan situs tersebut sudah aman. Harus ada simbol gembok di kerangka jendela peramban, yang muncul saat Anda mencoba masuk atau mendaftar. Pastikan gembok itu tidak berada pada laman itu sendiri … ini mungkin menandakan situs yang menipu. Alamat web harus dimulai dengan ‘https://’. ‘S’ adalah singkatan dari ‘secure’ (aman). Tetapi harap ingat, bahwa ini hanya menunjukkan bahwa tautan antara Anda dan pemilik situs aman, dan bukan berarti situs itu sendiri asli. Oleh karenanya, Anda harus periksa alamat tautan secara seksama apakah terdapat kesalahan pengejaan yang samar, kata atau karakter tambahan dan ketidakwajaran lainnya.
  • Gunakan kata sandi yang kuat dan pastikan kerahasiaannya tetap terjaga oleh pemilik kata sandi.
  • Terapkan aturan penggunaan yang ketat untuk karyawan yang memegang kartu pembayaran perusahaan –termasuk perlindungan PIN dan kata sandi dan pencegahan anti-cloning.
  • Harap ingat bahwa penggunaan kartu kredit menawarkan perlindungan lebih baik dibandingkan menggunakan kartu debit atau pembayaran langsung.
  • Dapatkan pemahaman yang benar dari bank Anda terkait letak tanggung jawab atas kerugian jika terjadi penipuan. Baca syarat dan ketentuan mereka dan jika ragu, tanyakan kepada manajer bisnis bank Anda.

Kriteria kepatuhan PCI DSS Penjual dan level PCI

  • Persyaratan kepatuhan bergantung pada level aktivitas penjual.
  • Ada empat level, berdasarkan jumlah transaksi kartu kredit/debit per tahun.
  • Walau merek pembayaran yang menentukan level kepatuhan untuk merek mereka sendiri, acquirer (institusi keuangan yang memroses transaksi debit dan kredit mewakili penerbit kartu kredit) yang biasanya bertanggung jawab menentukan level persyaratan validasi kepatuhan penjual mereka.
  • Level kepatuhan ditentukan sebagaimana yang tercantum di bawah ini dan biasanya merujuk ke jumlah transaksi untuk setiap merek pembayaran dalam satu tahun.
  • Apakah volume transaksi hanya berlaku untuk transaksi e-commerece atau untuk pembayaran yang diproses melalui semua kanal diputuskan secara terpisah oleh setiap merek pembayaran tapi umumnya, semua transaksi disertakan.

Kriteria Level 1

Penjual dengan lebih dari 6 juta transaksi per tahun, atau penjual yang sebelumnya datanya telah terlanggar
Persyaratan Validasi Level 1
Audit Keamanan Onsite Tahunan (ditinjau oleh QSA atau Audit Internal jika ditanda tangani oleh pejabat perusahaan penjual dan disetujui sebelumnya oleh acquirer) dan pemindaian keamanan jaringan per kwartal

Kriteria Level 2
Penjual dengan 1 juta hingga 6 juta transaksi per tahun
Persyaratan Validasi Level 2
Kuesioner Penilaian Mandiri Tahunan
Pemindaian per kwartal oleh Approved Scanning Vendor (ASV)

Kriteria Level 3
Penjual dengan 20.000 hingga 1.000.000 transaksi per merek pembayaran
Persyaratan Validasi Level 3
Pemindaian per kwartal oleh Approved Scanning Vendor (ASV)
Kuesioner Penilaian Mandiri Tahunan

Kriteria Level 4
Penjual dengan 20.000 transaksi ecommerce atau hingga 1.000.000 transaksi non-ecommerce per merek pembayaran

Persyaratan Validasi Level 4
Kuesioner Penilaian Mandiri Tahunan

Pemindaian per kwartal oleh Approved Scanning Vendor (mungkin disarankan atau diwajibkan, tergantung pada kriteria kepatuhan acquirer)

Situs Web yang aman

Penyediaan situs web yang aman untuk pembayaran memastikan keamanan dan ketenangan pelanggan. Sebagian besar orang yang belanja dan membayar barang dan jasa di dunia maya kini mengenali pentingnya simbol gembok dalam kerangka jendela peramban, yang muncul ketika mereka mencoba login atau mendaftar – dan alamat yang dimulai dengan ‘https://’.

Hal ini menunjukkan bahwa pemilik situs web mempunyai sertifikat digital yang diterbitkan oleh pihak ketiga yang dipercaya, seperti VeriSign atau Thawte, yang menunjukkan bahwa informasi yang dikirimkan secara daring dari situs web Anda telah terenkripsi dan dilindungi agar tidak dicegat dan dicuri oleh pihak ketiga, melalui penggunaan teknologi SSL (lihat penjelasan di bawah).

Anda juga bisa mendapatkan sertifikat Extended Validation (atau EV-SSL), yang menunjukkan bahwa otoritas penerbit telah melakukan memeriksa bisnis Anda dengan teliti.

SSL

SSL (Secure Sockets Layer) adalah teknologi keamanan standar untuk membuat tautan terenkripsi antara server dan klien – biasanya server web (situs web) dan peramban, atau mail server dan mail client seperti Microsoft Outlook.

SSL memungkinkan informasi sensitif seperti nomor kartu kredit, nomor jaminan sosial, dan kredensial login untuk dikirimkan secara aman. Umumnya, data yang dikirim antara peramban dan web server web dikirimkan dalam teks biasa … sehingga terdapat kerentanan orang menguping/melihat. Jika seorang penyerang dapat mencegat semua data yang dikirimkan antara peramban dan server web, mereka dapat melihat dan menggunakan informasi tersebut.

 

Jargon Buster

A Glossary of terms used in this article:

Vulnerability (kerentanan)

Setiap cacat produk, proses atau tindakan administratif, atau eksposur fisik yang membuat komputer rentan terhadap serangan oleh pengguna yang berniat jahat.

SSL

Secure Socket Layer, suatu sistem enkripsi yang mengamankan komunikasi internet.

PIN

Personal Identification Number atau Nomor Identifikasi Pribadi

Padlock (gembok)

Suatu simbol di peramban web yang menunjukka bahwa koneksi terenkripsi (SSL) digunakan untuk berkomunikasi dengan suatu situs yang mempunyai sertifikat yang valid. Biasanya diiringin dengan ‘https’ pada awal baris alamat.

Network (jaringan)

Sejumlah komputer yang saling terhubung, bersama-sama dengan infrastruktur yang menghubungkannya.

Encrypted (terenkripsi / Enkripsi)

Proses mengkonversi data menjadi teks sandi (sejenis kode) untuk mencegah data tersebut dipahami oleh pihak yang tidak berwenang.

Client (klien)

Suatu aplikasi atau sistem yang mengakses suatu layanan yang disediakan oleh server – biasanya mengacu ke komputer pribadi di suatu jaringan.

Browser (peramban)

Suatu program yang memungkinkan pengguna membaca dan bernavigasi pada laman di Internet, seperti Internet Explorer dari Microsoft, Firefox dari Mozilla, Chrome dari Google, dan Safari dari Apple.