HAKI (Hak Atas Kekayaan Intelektual) Dalam Teknologi Informasi dan Komunikasi

Dalam menciptakan suatu kepemilikan, suatu hasil karya yang baru, perlu adanya pendefinisian sifat dan hakikat kepemilikannya. Kekayaan Intelektual (Intelectual Property) merupakan hasil pemikiran dan budidaya manusia yang perlu mendapat perlindungan hukum dari pembajakan maupun tindakan ilegal lainnya.

Yang termasuk dalam HAKI :

1. Hak Cipta (Copyright)
2. Merek Dagang (trademarks)
3. Paten (patent)
4. Desain produk Industri (industrial design)
5. Indikasi geografi (geographical indication)
6. Desain tata letak sirkuit tepadu/layout desain (topography of integrated circuits)
7. Perlindungan informasi yang dirahasiakan (protection of undisclosed information)

Bentuk-bentuk ciptaan yang dilindungi oleh UU Hak Cipta:

• Buku, program komputer, pamflet, perwajahan (layout) karya tulis yang diterbitkan , dan semua hasil karya tulis lain.
• Ceramah, kuliah, pidato, dan ciptaan lain yang sejenis dengan itu.
• Alat peraga yang dibuat dengan kepentingan pendidikan dan ilmu pengetahuan
• Lagu atau musik dengan atau tanpa teks.
• Drama atau drama musikal, tari, koreografi, pewayangan dan pantomim.
• Seni rupa dalam segala bentuk seperti seni lukis, gambar, seni ukir, seni kaligrafi, seni pahat, seni pahat, seni patung, kolase dan seni terapan.
• Arsitektur
• Peta
• Seni batik
• Fotografi
• Sinematografi
• Terjemahan, tafsir, saduran, bunga rampai, database, dan karya lain dari hasil pengalihwujudan.
• Buku, CD-ROM, dan tape/kaset adalah bentuk fisik yang mempunyai Paten dan Hak Cipta.

1.      Hak Cipta Perangkat Lunak

Hak Cipta merupakan hak eksklusif bagi Pencipta atau Pemegang Hak Cipta untuk mengumumkan atau memperbanyak ciptaannya, yang timbul secara otomatis setelah suatu ciptaan dilahirkan tanpa mengurangi pembatasan menurut peraturan perundang-undangan yang berlaku. (Undang-Undang Hak Cipta No. 19 tahun 2002 Pasal 2).

Perangkat lunak adalah sekumpulan perintah yang ditulis oleh bahasa pemrograman yang dimengerti oleh komputer sehingga perangkat lunak tersebut mampu menginstruksikan perintah tertentu yang akan dikerjakan oleh komputer.

Perangkat lunak dan komputer tidak dapat dipisahkan karena komputer akan bekerja apabila ada perangkat lunak yang ditulis oleh seorang pemrograman (programmer). Menciptakan perangkat lunak bukan merupakan pekerjaan yang mudah karena banyak sekali aturan-aturan dan kemampuan intelektual yang dibutuhkan dari seorang analis sistem (system analyst) dan pemrograman. Oleh karena itulah, dengan berlakunya Undang-Undang Hak Cipta, hasil kerja seorang analis sistem dan pemrograman dapat dilindungi.

2.      Undang-Undang Hak Cipta

Undang-undang yang melindungi hak cipta seseorang adalah Undang-Undang No. 19 Tahun 2002 yang terdiri atas 15 bab dan 78 pasal.

Pasal 2

(1)   Hak Cipta merupakan hak eksklusif bagi Pencipta atau Pemegang Hak Cipta untuk mengumumkan atau memperbanyak ciptaannya, yang timbul secara otomatis setelah suatu ciptaan dilahirkan tanpa mengurangi pembatasan menurut peraturan perundang-undangan yang berlaku.

Pasal 49

(1) Pelaku memiliki hak eksklusif untuk memberikan izin atau melarang pihak lain yang tanpa persetujuannya membuat, memperbanyak, atau menyiarkan rekaman suara dan / atau gambar petunjukannya

(2)   Produsen rekaman suara memiliki hak ekskulisif untuk memberikan izin atau melarang pihak lain yang tanpa persetujuannya memperbanyak dan / atau menyewakan karya rekaman suara atau rekaman bunyi.

 Pasal 72

(1)   Barangsiapa dengan sengaja dan tanpa hak melakukan perbuatan sebagaimana dimaksud dalam pasal 2 ayat (1) atau pasal 49 ayat (1) dan ayat (2) dipidana dengan pidana penjara masing-masing paling singkat 1 (satu) bulan dan / atau denda paling sedikit Rp. 1.000.000,00 (satu juta rupiah), atau pidana penjara paling lama 7 (tujuh) tahun dan / atau denda paling banyak Rp. 5.000.000.000,00 (lima miliar rupiah)

(2)   Barang siapa dengan sengaja, menyiarkan, ,memamerkan, mengedarkan atau menjual kepada umum  suatu ciptaan atau barang hasil pelanggaran Hak Cipta atau Hak Terkait sebagaimana  dimaksud pada ayat (1) dipidana dengan pidanan penjara paling lama 5 (lima) tahun dan / atau denda paling banyak Rp. 500.000.000,00 (lima juta rupiah).

(3)   Barangsiapa dengan sengaja dan tanpa hak memperbanyak penggunaan untuk kepentingan komersial suatu Program Komputer dipidana dengan pidana penjara paling lama 5 (lima) tahun dan / atau denda paling banyak Rp. 5000.000.000,00

Aturan Pengutipan dan Penyalinan yang tidak melanggar undang-undang:

• Pengutipan ciptaan pihak lain sampai sebanyak-banyaknya 10% (sepuluh persen) dari kesatuan yang bulat tiap ciptaan yang dikutip sebagai bahan untuk menguraikan masalah yang dikemukakan.
• Pembuatan salinan cadangan suatu program komputer atau komputer program oleh pemilik program komputer atau komputer program yang dilakukan semata-mata untuk digunakan sendiri (undang-undang no. 7  tahun 1987)

 3.      Penghargaan Terhadap Kreativitas Orang Lain

Penghargaan Terhadap Kreativitas Orang Lain dapat dilakukan dengan:

• Menggunakan software yang asli atau dengan membeli nomor lisensi.
• Tidak melakukan duplikasi, membajak ataupun menyalin tanpa seizin perusahaan atau pemilik
•  Tidak menggunakan untuk tindakan kriminal atau kejahatan
• Tidak memodifikasi (mengubah), mengurangi atau menambah hasil karya tanpa seizin perusahaan atau pemilik.

CONTOH KASUS

Perkara gugatan pelanggaran hak cipta logo cap jempol pada kemasan produk mesin cuci merek TCL bakal berlanjut ke Mahkamah Agung setelah pengusaha Junaide Sasongko melalui kuasa hukumnya mengajukan kasasi. “Kita akan mengajukan kasasi ke Mahkamah Agung (MA), rencana besok (hari ini) akan kami daftarkan,” kata Angga Brata Rosihan, kuasa hukum Junaide. Meskipun kasasi ke MA, Angga enggan berkomentar lebih lanjut terkait pertimbangan majelis hakim yang tidak menerima gugatan kliennya itu. “Kami akan menyiapkan bukti-bukti yang nanti akan kami tunjukan dalam kasasi,” ujarnya. Sebelumnya, majelis hakim Pengadilan Niaga Jakarta Pusat mengatakan tidak dapat menerima gugatan Junaide terhadap Nurtjahja Tanudi-sastro, pemilik PT Ansa Mandiri Pratama, distributor dan perakit produk mesin cuci merek TCL di Indonesia.

Pertimbangan majelis hakim menolak gugatan tersebut antara lain gugatan itu salah pihak (error in persona). Kuasa hukum tergugat, Andi Simangunsong, menyambut gembira putusan Pengadilan Niaga tersebut. Menurut dia, adanya putusan itu membuktikan tidak terdapat pelanggaran hak cipta atas peng-gunaan logo cap jempol pada produk TCL di Indonesia. Sebelumnya, Junaide menggugat Nurtjahja karena menilai pemilik dari perusahaan distributor dan perakit produk TCL di Indonesia itu telah menggunakan logo cap jempol pada kemasan mesin cuci merek TCL tanpa izin. Dalam gugatanya itu. penggugat menuntut ganti rugi sebesar Rp 144 miliar.

Penggugat mengklaim pihaknya sebagai pemilik hak eksklusif atas logo cap jempol. Pasalnya dia mengklaim pemegang sertifikat hak cipta atas gambar jempol dengan judul garansi di bawah No.-C00200708581 yang dicatat dan diumumkan untuk pertama kalinya pada 18 Juni 2007. Junaide diketahui pernah bekerja di TCL China yang memproduksi AC merek TCL sekitar pada 2000-2007. Pada 2005. Junaide mempunya ide untuk menaikkan kepercayaan masyarakat terhadap produk TCL dengan membuat gambar jempol yang di bawahnya ditulis garansi. Menurut dia, Nurtjahja telah melanggar Pasal 56 dan Pasal 57 UU No. 19 tahun 2002 tentang Hak Cipta. Untuk itu Junaide menuntut ganti rugi materiel sebesar Rpl2 miliar dan imateriel sebesar Rp 120 miliar.

Konsep Dasar Sistem Informasi Manajemen (SIM)

 

KONSEP DASAR MANAJEMEN

Sistem Informasi Manajemen (SIM) dapat diartikan sebagai suatu alat yang mendukung para pengambil keputusan dalam melaksanakan fungsi-fungsi manajemen( perencanaan, pengorganisasian, pelaksanaan dan pengendalian), sedemikian rupa sehingga tercapai suatu keputusan yang didasarkan kepada pendekatan sistem. Jadi dapat diartikan, SIM adalah interelasi atau interaksi komponen komponen atau subsistem subsistem yang saling berhubungan dan terintegrasi dimana diperlukan suatu pengambilan (collect), proses (process), penyimpanan (store) dan diseminasi (diseminatin) informasi untuk mendukung pengambilan keputusan (decision making) serta pengawasan (control) dari organisasi. Sistem Informasi manajemen juga dapat menggambarkan visualisasi dari organisasi.

  Ada tiga aktifitas dalam SIM dalam memproduksi kebutuhan informasi suatu organisasi, yaitu masukan (input), proses (processing) dan keluaran (output). Sistem Informasi juga diperlukan umpan balik (feed back), dimana keluaran yang dikembalikan untuk membantu mereka dalam mengevaluasi atau mengkoreksi fase masukan. Saat ini banyak pimpinan yang menyadari bagaimana informasi dapat menunjang kompetisi di lingkungan usaha terutama dalam menghadapi era globalisasi yang tergantung bagaimana kemampuan mereka dalam menjalankan organisasi secara global. Hari ini, sistem informasi menyediakan komunikasi dan kekuatan analisa yang diperlukan suatu organisasi untuk penyelenggaraan perdagangan (trading) dan pengelolaan aktifitas atau usaha dalam sekala global. Secara umum komponen Sistem Informasi Manajemen terdiri dari: Perangkat Keras (hardware), Piranti Lunak (software), jaringan (networking), Data, Sumber Daya Manusia (Brainware), Prosedur (Procedure).

Tujuan sistem Informasi Manajemen

Tujuan SIM adalah Menyediakan informasi yang dipergunakan dalam perencanaan, pengendalian, pengevaluasian serta dalam pengambilan keputusan. Pada dasarnya sistem informasi manajemen ialah berhubungan dengan laporan di masa datang. Lain dengan sitem informasi akuntansi yang lebih menekankan pada laporan masa lalu. Contoh pengambilan keputusan seperti suatu perusahaan yang memperkirakan keadaan ekonomi di masa datang.

Apabila keadaan ekonomi makin memburuk maka dampak masayarakat terhadap daya beli juga menurun. Hal ini membuat manajer perusahaan harus berpikir bagaimana mengatur biaya-biaya produksi yang harus dikeluarkan. Apabila perusahaan menjual barang maka harus dipikirkan berapa harga barang yang dapat ditawarkan serta berapa harga perolehan yang harus diperkirakan. Sehingga peranan manajer disini sangat besar dalam mengambil keputusan manajemen bagi perusahaan SIM yang baik adalah SIM yang mampu menyeimbangkan biaya dan manfaat yang akan diperoleh artinya SIM akan menghemat biaya, meningkatkan pendapatan serta tak terukur yang muncul dari informasi yang sangat bermanfaat.

Organisasi harus menyadari apabila mereka cukup realistis dalam keinginan mereka, cermat dalam merancang dan menerapkan SIM agar sesuai keinginan serta wajar dalam menentukan batas biaya dari titik manfaat yang akan diperoleh, maka SIM yang dihasilkan akan memberikan keuntungan dan uang.Secara teoritis komputer bukan prasyarat mutlak bagi sebuah SIM, namun dalam praktek SIM yang baik tidak akan ada tanpa bantuan kemampuan pemrosesan komputer. Prinsip utama perancangan SIM : SIM harus dijalin secara teliti agar mampu melayani tugas utama. Tujuan sistem informasi manajemen adalah memenuhi kebutuhan informasi umum semua manajer dalam perusahaan atau dalam subunit organisasional perusahaan. SIM menyediakan informasi bagi  pemakai dalam bentuk laporan dan output dari berbagai simulasi model matematika

DATA >> INFORMASI >> PENGETAHUAN

Sistim Informasi Manajemen kini tidak lagi berkembang dalam bidang usaha saja, tapi sudah digunakan dalam berbagai bidang, dari mulai pendidikan, kedokteran, indistri, dan masih banyak lagi. Ini menandakan bahwa Informasi yang akurat dan cepat dibutuhkan di berbagai bidang.

Ada banyak teknologi yang mendukung SIM baik secara online atau offline. Tapi dasar dari aplikasi yang digunakan pada Sistiem Informasi Manajemen adalah aplikasi databese. sistem ini harus mampu mengolah data yang dikumpulkan pada database menjadi sebuah produk informasi yang dibutuhkan penggunanya. Sistim ini juga harus bisa membagi informasi yang diproduksinya menjadi beberapa tingkatan, sehingga setiap tingkatan hanya mendapatkan informasi yang mereka butuhkan.

Pada sebuah Instansi, manajemen selalu terlibat dalam serangkaian proses manajerial, yang pada intinya berkisar pada penentuan: tujuan dan sasaran, perumusan strategi, perencanaan, penentuan program kerja, pengorganisasian, penggerakan sumber daya manusia, pemantauan kegiatan operasional, pengawasan, penilaian, serta penciptaan dan penggunaan sistem umpan balik. Masing-masing tahap dalam proses tersebut pasti memerlukan berbagai jenis informasi dalam pelaksanaannya.

Penentuan Tujuan dan Sasaran
Dapat dinyatakan secara aksiomatis bahwa suatu organisasi dibentuk dan dikelola untuk mencapai suatu tujuan yang telah ditetapkan sebelumnya. Dalam rangka penentuan juga pencapaian tujuan tersebut maka dibutuhkan informasi-informasi yang dapat memberikan gambaran kasar atau global tentang kecenderungan-kecenderungan yang mungkin terjadi, baik secara internal organisasi itu sendiri maupun pada lingkungan di mana organisasi bergerak. Informasi-informasi yang dibutuhkan tersebut secara eksternal dapat mencakup bidang politik, keamanan, ekonomi, sosial budaya, serta arah perkembangan ilmu pengetahuan dan teknologi. Secara internal informasi yang diperlukan adalah tentang produk yang akan dihasilkan dikaitkan dengan kemampuan organisasi dalam penyediaan dan penguasaan berbagai sarana, prasarana, dana dan sumber daya manusia.

Perumusan Strategi
Keseluruhan upaya pencapaian tujuan dan berbagai sasaran organisasi memerlukan strategi yang mantap dan jelas. Salah sat instrumen ilmiah yanng umum digunakan dalam penentuan strategi organisasi ialah analisis SWOT, yaitu Strengths (Kekuatan), Weakness (Kelemahan), Opportunities (Peluang),  dan Threats (Ancaman). Agar analisis SWOT benar-benar ampuh sebagai instrumen pembantu dalam penentuan dan pelaksanaan strategi organisasi, diperlukan informasi menngenai kekuatan, kelemahan, peluang serta ancaman yang mungkin dihadapi oleh organisasi tersebut.

Perencanaan
Strategi yang telah dirumuskan dan ditetapkan memerlukan penjabaran melalui penelenggaraan fungsi perencanaan. Karena perencanaan merupakan salah satu hal yang penting dalam organisasi, perlu diketahui secepat mungkin berbagai resiko dan faktor-faktor yang dapat menjadi penyebab kegagalan pelaksanaan tujuan dan strategi organisasi. Informasi-informasi yang dibutuhkan dalam proses perencanaan adalah 5 W 1 H, yaitu what(apa), when(kapan), where(di mana), who(siapa), why(mengapa), dan how(bagaimana).

Penyusunan Program Kerja
Penyusunan program kerja merupakan rincian sistematis dari rencana kerja jangka waktu menengah. Keenam pertanyaan di atas harus terjawab dalam penyusunan program kerja dimana ia harus bersifat kuantitatif, menyatakan secara jela dan konkrit hasil yang diharapkan, standar kinerja jelas, mutu hasil pekerjaan ditetapkan secara pasti, dan program kerja disusun sedemikian rincinya sehingga dapat dijadikan pedoman dalam penyelenggaraan kegiatan operasional.

Pengorganisasian
Organisasi dapat didefinisikan sebagai sekelompok orang yang terikat secara formal dan hierarkis serta bekerja sama untuk mencapai tujuan tertentu yang telah ditetapkan sebelumnya. Organisasi dapat menjadi wadah dimana sekelompok orang bergabung dan menempati wilayah-wilayah tertentu untuk melakukan berbagai kegiatan yang menjadi tanggung jawabnya. Organisasi dapat pula menjadi tempat berinteraksi antar anggota organisasi tersebut maupun dengan anggota organisasi lainnya.

Tolok ukur keberhasilan suatu organisasi tidak dilihat secara inkremental dari apa yang dicapai oleh masing-masing satuan kerja melainkan dari sudut pandang yang bersifat holistik dalam arti keberhasilan organisasi secara keseluruhan.Penyelesaian tugas yang menjadi tanggung jawab fungsional satuan kerja tertentu memerlukan interaksi, interdependensi dan interrelasi dengan semua satuan kerja lainnya. Dan tentunya proses seperti ini memerlukan suatu sistem informasi yang baik.

Penggerakan SDM
Penggerakan Sumber Daya Manusia (SDM) merupakan fungsi yang teramat penting dalam manajemen sekaligus paling sulit.Penggerakan SDM yang tepat dan efektif memerlukan informasi yang handal. Misalnya, informasi tentang klasifikasi jabatan, informasi tentang uraian dan analisis pekerjaan,informasi tentang standar mutu yang diterapkan dalam manajemen, dan berbagai informasi lainnya yang memungkinkan satuan kerja yang mengelola SDM dalam organisasi menyelenggarakan berbagai fungsinya dengan baik.

Penyelenggaraan Kegiatan Operasional
Penyelenggaraan kegiatan operasional merupakan bagian yang sangat penting dari keseluruhan proses manajerial dan bahkan merupakan tes apakah sebuah organisasi berjalan di atas “rel” yang benar atau tidak. Hal ini dikarenakan manajemen bersifat situasional dimana penerapan prinsip-prinsip manajemen harus diterapkan secara universal dengan memperhitungkan faktor situasi, kondisi, ruang dan waktu.Manajemen juga berorientasi pada hasil optimal dari segi produk, efisiensi dan efektivitas kerja.Sehingga penyelenggaraan kegiatan operasional yang baik dan tepat hanya akan terwujud bila didukung dengan berbagai informasi yang tepat pula.

Pengawasan
Pengawasandiperlukan atas pertimbangan bahwa penyelenggaraan seluruh kegiatan operasional memungkinkan terjadi kesalahan yang berarti dapat berakibat pada tidak terwujudnya tingkat efisiensi, efektivitas dan produktivitas yang diharapkan. Oleh karena itu, kegiatan pengawasan jelas memerlukan sekaligus menghasilkan informasi tentang penyelenggaraan berbagai kegiatan operasionalyang sedang terjadi.

Penilaian
Seperti halnya dalam pengawasan, informasi dalam proses penilaian juga sangat dibutuhkan. Informasi ini dapat diperoleh melalau berbagai wawancara, penyebaran kuesioner kepada pihak-pihak lain yang dianggap mengetahui pengetahuan mendalam tentang seluruh proses manajerial, dan teknik-teknik lainnya yang dipandang perlu dan tepat digunakan.

Sistem Umpan Balik
Semua informasi yang diperoleh—terutama dari hasil penilaian—diumpanbalikkan kepada berbagai pihak yang berkaitan dengan manajerial organisasi, termasuk kepada para pemodal, pemilik saham, manajemen puncak, para pimpinan satuan usaha, dan lainnya. Hal ini penting dilakukan supaya manajerial organisasi yang bersangkutan tetap menghasilkan efektivitas, efisiensi serta produktivitas yang tinggi sehingga tujuan awal organisasi dapat terwujud secara maksimal.

Penjelasan di atas membuktikan bahwa informasi sangat dibutuhkan dalam pengembangan suatu organisasi. Untuk membangun informasi yang handal dibutuhkan Sistem Informasi Manajemen (SIM) yang mampu menampung dan mengolah data serta menghasilkan informasi yang tepat dan akurat setiap saat. Tanpa dukungan SIM yang tangguh, maka akan sulit organisasi yang baik akan terwujud, karena SIM menolong lembaga-lembaga bidang apapun dalam mengintegrasikan data, mempercepat dan mensistematisasikan pengolahan data, meningkatkan kualitas informasi, mendorong terciptanya layanan-layanan baru, meningkatkan kontrol, meng-otomatisasi-kan sebagian pekerjaan rutin, menyederhanakan alur registrasi atau proses keuangan, dan lain sebagainya.

Keamanan Transaksi dalam Kegiatan E-commerce

Internet adalah hal yang sudah tidak asing lagi bagi banyak orang. Jutaan orang di seluruh dunia setiap harinya menggunakan internet. Banyak kemudahan yang diberikan internet dalam berkomunikasi di zaman ini. Hal ini membuat banyak orang memanfaatkan kemudahan didalamnya untuk mengambil keuntungan.

Bisnis online akhir-akhir ini banyak dilakukan orang sebagai salah satu bidang mata pencaharian. Di dalam e-commerce atau bisnis online ada banyak pertukaran informasi dan komunikasi di jaringan internet yang merupakan jaringan komunikasi publik terbesar abad ini. Transaksi data merupakan hal yang umum terjadi di dalamnya. Keamanan terhadap transaksi data itulah yang menjadi hal terpenting di dalam e-commerce. Keamanan dalam berbisnis online adalah syarat yang sangat penting bagi kenyamanan penggunanya.

Pengamanan yang minim akan sangat merugikan baik pihak pertama maupun pihak kedua dalam proses perniagaan di internet. Banyak kasus yang bisa diambil sebagai contoh untuk menunjukkan bahwa aspek keamanan merupakan hal vital dalam proses jual-beli di internet. Seperti Kasus Clearing BRI Yogyakarta (25 Juni 1984), ini merupakan kasus kejahatan melalui komputer yang pertama di Indonesia yang dibawa ke Mahkamah Agung. Selain itu juga ada kasus pembobolan situs KPU, kasus Klik BCA, sampai dengan Redirecting DNS situs resmi presiden Susilo Bambang Yudhoyono.

Belajar dari pengalaman yang pernah terjadi, keamanan berinternet kemudian menjadi sorotan penting bagi para penyedia layanannya. Segala hal yang berkaitan dengan keamanan dalam berbisnis via internet inilah yang akan banyak dibahas dalam kesempatan kali ini.

E-commerce

           Sebelum membahas detil topik keamanan dalam melakukan e-commerce, pada bagian ini akan dijelaskan pengantar seputar e-commerce. E-commerce adalah penyebaran, pembelian, penjualan, pemasaran barang dan jasa melalui sistem elektronik khususnya internet. Dalam e-commerce  transfer dana juga dilakukan secara elektronik, demikian juga pertukaran datadilakukan melalui jaringan elektronik, sistem manajemen inventori otomatis, dan sistem pengumpulan data otomatis.

Industri teknologi informasi melihat kegiatan e-commerce ini sebagai aplikasi dan penerapan dari e-business yang berkaitan dengan transaksi komersial, seperti: transfer dana secara elektronik, SCM (supply chain management), e-pemasaran (e-marketing), atau pemasaran online (online marketing), pemrosesan transaksi online (online transaction processing), pertukaran data elektronik (electronic data interchange /EDI), dll. E-commerce merupakan bagian dari e-business, di mana cakupan e-bussiness lebih luas, tidak hanya sekedar perniagaan melalui internet tetapi mencakup juga pengkolaborasian mitra bisnis, pelayanan nasabah, lowongan pekerjaan, dll melalui jaringan komputer yang ada.

Dalam pembahasan mengenai keamanan dalam ber-e-commerce ada istilah digital signature dan sertifikat digital. Penjelasan lebih lanjut dan keterkaitannya akan dijelaskan pada bagian berikutnya.

Digital Signature

Banyak orang yang apabila baru pertama kali mendengar kata digital signature kemudian membayangkan tentang tanda tangan manusia yang di-digital-kan. Digital signature yang dimaksud dalam pembahasan tentang keamanan internet ini bukanlah seperti itu. Digital signature merupakan sebuah kode digital yang dapat ditempelkan pada pesan yang dikirim secara elektronis. Tanda atau kode inilah yang menjadi identitas dari pengirim pesan.

Digital signature adalah suatu sistem pengamanan yang menggunakan public key cryptography system. Digital signature bukanlah proses meng-scan tanda tangan manusia yang sudah ada kemudian menempelkannya pada dokumen baru. Digital signature yang dimaksud disini adalah proses memberikan ciri khas pada pesan atau dokumen yang akan dikirim via internet. Seperti halnya tanda tangan tertulis, tujuan tanda tangan digital adalah untuk menjamin bahwa yang mengirimkan pesan itu memang benar-benar orang yang seharusnya.

Sebelum membahas lebih lanjut mengenai digital signature, akan dibahas terlebih dahulu mengenai sistem kriptografi. Kriptografi berasal dari bahasa Yunani yang terdiri dari kata kryptos yang berarti tersembunyi dan grafo yang berarti tulis. Secara umum kriptografi adalah seni dan ilmu untuk menjaga kerahasiaan berita. Sandi adalah kata yang identik dan populer yang banyak dikenal oleh banyak orang yang terkait erat dengan kriptografi. Sandi di zaman sekarang banyak digunakan dalam banyak bidang untuk melakukan pengamanan.

Kriptografi sebenarnya sudah banyak digunakan sejak ratusan tahun yang lalu. Dahulu teknik ini juga digunakan untuk mengamankan informasi yang akan dikirim kepada orang lain. Namun penggunaannya masih secara tradisional, misalnya morse.

Pada kriptografi ada beberapa istilah yang sering dipakai yaitu, enkripsi, dekripsi, ciphertext (hasil sandi), message (objek yang akan disandi), kunci, algoritma penyandian, dan bit. Di Indonesia hal-hal seputar kriptografi banyak dipelajari di Lembaga Sandi Negara.

Enkripsi adalah proses untuk menyandikan data-data atau informasi sehingga tidak dapat dibaca oleh orang yang tidak berhak. Dekripsi adalah proses untuk membuka data tersebut. Kunci adalah alat yang digunakan untuk mengenkripsi ataupun mendekripsi data. Seangkan bit adalah ukuran panjang kunci yang digunakan. Biasanya kunci yang digunakan ukuran besar, misal 128 bit, agar sulit untuk dipecahkan.

Terdapat dua macam cara dalam melakukan enkripsi yaitu dengan menggunakan kriptografi simetris (lebih dikenal sebagai secret key crypthography) dan kriptografi asimetris (lebih dikenal sebagai public key crypthography). Digital signature sendiri menggunakan kriptografi asimetris untuk mengenkripsi (encrypt) objek yang akan dikirim.

Secret key crypthografi atau kriptografi simetris, menggunakan kunci yang sama dalam melakukan enkripsi dan dekripsi terhadap suatu pesan. Sedangkan pada public key crypthography, atau dikenal juga sebagai kriptografi simetris, digunakan dua kunci: satu kunci digunakan untuk melakukan enkripsi dan kunci yang lain digunakan untuk melakukan dekripsi terhadap pesan tersebut. Kedua kunci tersebut mempunyai hubungan secara matematis sehingga suatu pesan yang dienkripsi dengan suatu kunci hanya dapat didekripsi dengan kunci pasangannya. Untuk membuat kunci itu digunakan salah satu algoritma yang terbaik yang dikenal selama ini yaitu RSA (dinamakan sesuai dengan nama penciptanya Rivest, Shamir, Adleman).

Untuk menjelaskan proses penggunaan digital signature khususnya dalam keterkaitannya dengan e-commerce, maka berikutnya akan dijelaskan dengan contoh atau ilustrasi. Dimisalkan ada seorang pengguna (user) bernama Kiki yang mempunyai dua buah kunci, yaitu sebuah kunci privat (privat key) dan juga sebuah kunci publik (public key).

 

 

Kemudian Kiki dapat menyebarluaskan kunci publik miliknya. Tetapi kunci privatnya disimpan untuk dirinya sendiri. Dimana kunci itu digunakan untuk mengenkripsi data.

 

Misalkan Taufiqur ingin mengirimkan pesan berkaitan dengan informasi penyerahan dana untuk pembelian sebuah mobil. Oleh karena itu, Kiki wajib memberikan kunci publiknya kepada Taufiqur agar dia bisa mengenkripsi pesan penting yang akan dikirimkan. Dan kemudian kiki dapat mendekripsi pesannya dengan menggunakan kunci privatnya.

Kemudian untuk menandai pesan yang akan dikirim oleh Taufiqur tersebut, Taufiqur bisa menambahkan digital signature. Untuk menambahkan digital signature tersebut dia juga harus memiliki kunci publik dan kunci privat milik Taufik. Cara membuat digital signature:

Setelah digital signature tersebut tercipta kemudian Taufiqur bisa memasukkannya ke dalam pesan yang akan dikirim kepada Kiki untuk menandai bahwa pesan itu berasal darinya. Setelah itu, kemudian keseluruhan pesan dihash dan dienkripsi dengan kunci publik milik kiki lalu bisa dikirim melalui internet.

 

Setelah pesan diterima oleh Kiki, Kiki bisa membuka pesan itu dengan menggunakan kunci privat miliknya dan menghash ulang pesan itu dengan software yang sama dengan waktu Taufiqur menghash pesan tersebut. Dan apabila Kiki ingin memastikan bahwa pengirim pesan adalah Taufiqur maka dia dapat membuka signaturenya dengan kunci publik milik Taufiqur.

Demikian mereka bisa yakin bahwa pesan aman karena hanya mereka berdua saja yang memiliki kunci masing-masing. Teknik ini akan sulit untuk digagalkan karena selama perjalanan, seorang cracker akan sulit membuka kunci yang merupakan formasi sandi yang panjang dan rumit

.

Digital Certificate

Setelah mengerti mengenai digital signature pada bagian berikut ini akan dijelaskan mengenai digital certificate. Sama pentingnya dengan digital signature, digital certificate juga biasa digunakan dalam sistem pengamanan dalam ber-e-commerce.

Digital Certificate atau sertifikat digital adalah file yang terproteksi oleh password yang berisi berbagai macam informasi/identitas mengenai file tersebut, yang terdiri dari nama,  alamat email pemegang sertifikat, kunci enkripsi yang dapat digunakan untuk memverifikasi tanda tangan digital pemegang, nama perusahaan yang mengeluarkan sertifikat, dan periode validitas sertifikat.

Digital sertifikat adalah sebuah identitas yang dimiliki oleh suatu individu dalam internet sehingga tidak memungkinkan terjadinya duplikasi identitas. Satu individu hanya mungkin memiliki sebuah personal certification.  Ketika melakukan transaksi dalam E-commerce, maka Personal Certification inilah yang akan menjadi dasar kepercayaan suatu individu bahwa pihak yang akan melakukan transaksi  benar-benar pihak yang ada/real dan bertanggung jawab terhadap transaksi yang akan dilakukan. Untuk itu, Personal Certification inilah yang akan menjadi dasar kepercayaan suatu individu terhadap pihak yang akan melakukan transaksi. Adapun untuk organisasi dapat dianggap sebagai asosiasi beberapa individu dengan seorang individu yang menjadi pimpinan sekaligus penanggung jawab setiap transaksi yang dilakukan organisasi tersebut.

Teknologi digital certificate didasarkan pada teori kriptografi kunci publik. Dalam sistem kriptografi kunci publik, setiap pemohon memiliki dua kunci yang saling melengkapi yaitu sebuah kunci privat dan kunci publik dimana berfungsi hanya ketika mereka ditempatkan bersama-sama. Sertifikat digital ini bisa juga disebut dengan sebuah  kartu elektronik atau berupa surat kepercayaan  ketika melakukan bisnis atau transaksi melalui internet.  Surat kepercayaan ini dikeluarkan  oleh otoritas sertifikasi (CA). Surat kepercayaan yang dikeluarkan oleh CA ini berisi nama, nomor seri, tanggal kadaluarsa, salinan kunci publik pemegang sertifikat (digunakan untuk mengenkripsi pesan dan tanda tangan digital), dan tanda tangan digital yang disahkan oleh CA sehingga penerima dapat memverifikasi file bahwa file tersebut nyata dan asli.

Otoritas sertifikat (certification authority) ini memiliki beberapa tanggung jawab dalam memverifikasi data, diantaranya:

• Pemberian sertifikat kepada pengaju(pemohon) yang telah memenuhi kriteria.
• Mengelola sertifikat (misalnya, pendaftaran, memperbarui, dan mencabut mereka).
• Menyimpan kunci publik dan kunci private  dengan cara yang sangat aman.
• Memverifikasi bukti yang diajukan oleh pemohon.
• Menyediakan sarana dan prasarana untuk pendaftaran.
• Bertanggung jawab atas kesalahan-kesalahan yang terjadi saat verifikasi  data.
• Mensahkan tanda tangan digital.

Digital sertifikat ini juga mempunyai batas waktu pemakaian. Digital sertifikat ini akan berakhir satu tahun setelah diterbitkan. Namun, ada software yang dapat berfungsi untuk memperlama masa pakainya lebih dari satu tahun. Untuk menghindari berhentinya software yang digunakan, agar digital sertifikat tidak berakhir setiap waktu, perusahaan telah menyediakan layanan pencapan. Ketika Anda menandatangani kode, kode hash yang akan dikirimkan ke sertifikasi otoritas (CA akan dicap. Setelah software Anda telah dicap, maka Anda tidak perlu khawatir lagi tentang digital sertfikat anda berakhir.

Aspek Keamanan E-commerce

Aspek keamanan biasanya seringkali ditinjau dari tiga hal, yaitu Confidentiality, Integrity, dan Availability. Biasanya ketiga aspek ini sering disingkat menjadi CIA. Namun dalam makalah ini diusulkan aspek lain yaitu aspek non-repudiation yang dipelukan untuk transaksi elektronik. Penjabaran dari masing-masing aspek tersebut akan dibahas secara singkat pada bagian ini¹.

·         Confidentiality

Confidentiality merupakan aspek yang menjamin kerahasiaan data atau informasi. Sistem yang digunakan untuk mengimplementasikan e-procurement harus dapat menjamin kerahasiaan data yang dikirim, diterima dan disimpan. Bocornya informasi dapat berakibat batalnya proses pengadaan.

Kerahasiaan ini dapat diimplementasikan dengan berbagai cara, seperti misalnya menggunakan teknologi kriptografi dengan melakukan proses enkripsi (penyandian, pengkodean) pada transmisi data, pengolahan data (aplikasi dan database), dan penyimpanan data (storage). Teknologi kriptografi dapat mempersulit pembacaan data tersebut bagi pihak yang tidak berhak.

Seringkali perancang dan implementor dari sistem informasi atau sistem transaksi elektronik lalai dalam menerapkan pengamanan. Umumnya pengamanan ini baru diperhatikan pada tahap akhir saja sehingga pengamanan lebih sulit diintegrasikan dengan sistem yang ada. Penambahan pada tahap akhir ini menyebabkan sistem menjadi tambal sulam. Akibat lain dari hal ini adalah adanya biaya yang lebih mahal daripada jika pengamanan sudah dipikirkan dan diimplementasikan sejak awal.

Akses terhadap informasi juga harus dilakukan dengan melalui mekanisme otorisasi (authorization) yang ketat. Tingkat keamanan dari mekanisme otorisasi bergantung kepada tingkat kerahasiaan data yang diinginkan.

·         Integrity

Integrity merupakan aspek yang menjamin bahwa data tidak boleh berubah tanpa ijin pihak yang berwenang (authorized). Untuk aplikasi e-procurement, aspek integrity ini sangat penting. Data yang telah dikirimkan tidak dapat diubah oleh pihak yang berwenang. Pelanggaran terhadap hal ini akan berakibat tidak berfungsinya sistem e-procurement. Secara teknis ada banyak cara untuk menjamin aspek integrity ini, seperi misalnya dengan menggunakan messange authentication code, hash function, digital signature.

·         Availability

Availability merupakan aspek yang menjamin bahwa data tersedia ketika dibutuhkan. Dapat dibayangkan efek yang terjadi ketika proses penawaran sedang dilangsungkan ternyata sistem tidak dapat diakses sehingga penawaran tidak dapat diterima. Ada kemungkinan pihak-pihak yang dirugikan karena tidak dapat mengirimkan penawaran, misalnya.

Hilangnya layanan dapat disebabkan oleh berbagai hal, mulai dari benca alam (kebakaran, banjir, gempa bumi), ke kesalahan sistem (server rusak, disk rusak, jaringan putus), sampai ke upaya pengrusakan yang dilakukan secara sadar (attack). Pengamanan terhadap ancaman ini dapat dilakukan dengan menggunakan sistem backup dan menyediakan disaster recovery center (DRC) yang dilengkapi dengan panduan untuk melakukan pemulihan (disaster recovery plan).

·         Non-repudiation

Non-repudiation merupakan aspek yang sangat penting dalam transaksi elektronik. Aspek ini seringkali dilupakan. Aspek non-repudiation menjamin bahwa pelaku transaksi tidak dapat mengelak atau menyangkal telah melakukan transaksi.

Dalam sistem transaksi konvensional, aspek non-repudiation ini diimplementasikan dengan menggunakan tanda tangan. Dalam transaksi elektronik, aspek non-repudiation dijamin dengan penggunaan tanda tangan digital (digital signature), penyediaan audit trail (log), dan pembuatan sistem dapat diperiksa dengan mudah (auditable). Implementasi mengenai hal ini sudah tersedia, hanya perlu diaktifkan dan diakui saja. Dalam rancangan Cyberlaw Indonesia – yang dikenal dengan nama RUU Informasi dan Transaksi Elektronik – tanda tangan digital diakui sama sahnya dengan tanda tangan konvensional.

Standar Pengamanan

Dalam upaya untuk memenuhi aspek-aspek tersebut di atas, sistem perlu dirancang dan diimplementasikan sesuai dengan standar yang berlaku. Ada beberapa standar yang dapat diikuti, mulai dari standar yang sifatnya formal (seperti ISO 17799) sampai ke standar yang sifatnya lebih praktis dan operasional (yang sering disebut best practice).

·         Evaluasi Secara Berkala

Untuk membuktikan aspek-aspek tersebut sistem informasi perlu diuji secara berkala. Pengujian atau evaluasi ini sering disebut dengan istilah audit, akan tetapi bukan audit keuangan. Untuk menghindari kerancuan ini biasanya sering digunakan istilah assesement.

Evaluasi secara berkala bisa dilakukan dalam level yang berbeda, yaitu dari level management (non-teknis) dan level teknis. Masing-masing level ini dapat dilakukan dengan menggunakan metodologi yang sudah baku. Evaluasi untuk lebel non-teknis biasanya dilakukan dengan menggunakan metoda evaluasi dokumen. Metoda ini yang banyak dilakukan oleh auditor Indonesia. Namun, metoda ini belum cukup. Dia harus dilengkapi dengan evaluasi yang levelnya teknis sebab seringkali kecukupan dokumen belum dapat memberikan perlindungan. Sebagai contoh, seringkali auditor hanya mencatat bahwa sistem memiliki firewall sebagai pelindung jaringan. Akan tetapi jarang yang melakukan evaluasi teknis sampai menguji konfigurasi dan kemampuan firewall tersebut.

Untuk level teknis, ada metodologi dalam bentuk checklist seperti yang telah kami kembangkan di INDOCISC dengan menggunakan basis Open-Source Security Testing Methodology (OSSTM). Sayangnya di Indonesia tidak banyak yang dapat melakukan evaluasi secara teknis ini sehingga cukup puas dengan evaluasi tingkat high-level saja. Sekali lagi, evaluasi secara teknis harus dilakukan untuk membuat evaluasi menyeluruh.

Masalah Pengamanan Sistem

Salah satu kunci keberhasilan pengaman sistem informasi adalah adanya visi dan komitmen dari pimpinan puncak. Upaya atau inisiatif pengamanan akan percuma tanpa hal ini.

Ketidak-adaan komitmen dari puncak pimpinan berdampak kepada investasi pengamanan data. Pengamanan data tidak dapat tumbuh demikian saja tanpa adanya usaha dan biaya. Sebagai contoh, untuk mengamankan hotel, setiap pintu kamar perlu dilengkapi dengan kunci. Adalah tidak mungkin menganggap bahwa setiap tamu taat kepada aturan bahwa mereka hanya boleh mengakses kamar mereka sendiri. Pemasangan kunci pintu membutuhkan biaya yang tidak sedikit, terlebih lagi jika menggunakan kunci yang canggih. Pengamanan data elektronik juga membutuhkan investmen. Dia tidak dapat timbul demikian saja. Tanpa investasi akan sia-sia upaya pengamanan data. Sayangnya hal ini sering diabaikan karena tidak adanya komitmen dari pimpinan puncak.

Jika komitmen dari pucuk pimpinan sudah ada, masih ada banyak lagi masalah pengamanan sistem informasi. Masalah tersebut adalah (1) kesalahan desain, (2) kesalahan implementasi, (3) kesalahan konfigurasi, dan (4) kesalahan operasional.

Ø  Kesalahan desain terjadi pada tahap desain dimana keamanan seringkali diabaikan atau dipikirkan belakangan (after thought). Sebagai contoh ada sebuah sistem informasi yang menganggap bahwa sistem operasi akan aman dan juga jaringan akan aman sehingga tidak ada desain untuk pengamanan data, misalnya dengan menggunakan enkripsi. Kami menemukan beberapa sistem seperti ini. Akibatnya ketika sistem operasi dari komputer atau server yang bersangkutan berhasil dijebol, data dapat diakses oleh pihak yang tidak berwenang. Demikian pula ketika jaringan yang digunakan untuk pengiriman data berhasil diakses oleh pihak yang tidak berwenang, maka data akan kelihatan dengan mudah.

Ø  Kesalahan implementasi terjadi pada saat desain diimplementasikan menjadi sebuah aplikasi atau sistem. Sistem informasi diimplementasikan dengan menggunakan software. Sayangnya para pengembang software seringkali tidak memiliki pengetahuan mengenai keamanan sehingga aplikasi yang dikembangkan memiliki banyak lubang keamanan yang dapat dieksploitasi⁴.

Ø  Kesalahan konfigurasi terjadi pada tahap operasional. Sistem yang digunakan biasanya harus dikonfigurasi sesuai dengan kebijakan perusahaan. Sebagai contoh, pemilik sistem membuat kebijakan bahwa yang dapat melihat dokumen-dokumen tertentu adalah sebuah unit tertentu. Namun ternyata konfigurasi dari sistem memperkenankan siapa saja mengakses dokumen tersebut. Selain salah konfigurasi, ada juga permsalahan yang disebabkan karena ketidak-jelasan atau ketidak-adaan kebijakan (policy) dari pemilik sistem sehingga menyulitkan bagi pengelola untuk melakukan pembatasan.

Ø  Kesalahan penggunaan terjadi pada tahap operasional juga. Kadang-kadang karena sistem terlalu kompleks sementara sumber daya yang disediakan sangat terbatas maka dimungkinkan adanya kesalahan dalam penggunaan. Sebagai contoh, sistem yang seharusnya tidak digunakan untuk melakukan transaksi utama (misalnya sistem untuk pengembangan atau development) karena satu dan lain hal digunakan untuk production. Hal ini menyebabkan tidak adanya pengamanan yang sesungguhnya. Selain itu ketidak-tersediaan kebijakan juga menyebabkan sistem digunakan untuk keperluan lain. Sebagai contoh, sistem email di kantor digunakan untuk keperluan pribadi.

Kesalahan-kesalahan di atas dapat menimbulkan celah lubang keamanan. Celah ini belum tentu menimbulkan masalah, sebab bisa saja memang celah ada akan tetapi tidak terjadi eksploitasi. Namun celah ini merupakan sebuah resiko yang harus dikendalikan dalam sebuah manajemen keamanan.

Manajemen Keamanan Transaksi Elektronik

Jika melihat masalah-masalah keamanan seperti diutarakan di atas, mungkin kita akan merasa takut untuk menjalankan transaksi elektronik. Sebetulnya masalah keamanan di dunia maya (cyberspace) memiliki prinsip yang sama dengan masalah keamanan di dunia nyata. Masalah keamanan ini dapat kita minimisasi sehingga e-procurement dapat diterima seperti halnya procurement konvensional.

Prinsip dasar dari penanganan atau management keamanan transaksi elektronik adalah meminimalkan dua hal:

• meminimalkan potensi (probabilitas) terjadinya masalah yang ditimbulkan oleh keamanan;
• meminimalkan dampak yang terjadi jika masalah tersebut terjadi

Hal yang pertama terkait dengan masalah pencegahan atau preventif. Sementara itu hal yang kedua terkait dengan bagaimana menangani masalah jika terjadi.

Untuk meminimalkan potensi terjadinya masalah dapat dilakukan sebuah security audit dan peningkatan pengamanan. Sebagai contoh, untuk meminimalkan potensi masalah keamanan dari sisi jaringan, dipasang sebuah firewall. Lubang-lubang keamanan yang ditemukan dari proses audit kemudian ditutup.

Sementara untuk meminimalkan dampak dapat dilakukan kajian sebagai bagian dari business impact analysis dan kemudian mengimplementasikan langkah-langkah untuk meminimalkan dampak. Sebagai contoh, apa akibatnya jika server yang digunakan untuk transaksi e-procurement tidak dapat diakses (rusak, terputus)? Berapa biaya yang hilang dari ketidak-tersediaan layanan tersebut? Hal ini dapat dikonversikan ke dalam bentuk finansial. Untuk meminimalkan dampak misalnya dapat diimplementasikan sistem ganda (redundant) dan disaster recovery.