Ini Bahaya Gesek Kartu Kredit Selain di Mesin EDC
Bank Indonesia (BI) beberapa hari terakhir gencar melarang toko atau merchant menggesek ganda kartu debit dan kartu kredit selain di mesin electronic data captured (EDC) saat transaksi nontunai. Menurut BI ini dilakukan demi keamanan nasabah. Juga sudah ada regulasi yang perlu ditegakkan serta disosialisasikan lebih gencar.
BI menyatakan bahwa larangan double swipe tercantum pada Peraturan Bank Indonesia Nomor 18/40/PBI/2016. Menurut BI, tindakan double swipe pada mesin kasir bisa merekam data nasabah di komputer kasir. Tindakan ini berisiko, karena data nasabah bisa disalahgunakan.
Menurut pengamat sekuriti Pratama Persadha, pengamanan kartu debit dan kartu kredit di tanah air masih lemah, sehingga datanya sangat mudah digandakan. Jadi bila kartu kita digesek di card reader komputer kasir, sebenarnya mereka juga membaca sekaligus meng-copy data kartu kita.
“Kalau data kita sudah di-copy bisa dipakai untuk apa saja. Bahkan data itu bisa kita copy ke kartu kosong. Hasil pengandaan kartu kredit bahkan langsung bisa dipakai, sedangkan kartu debit, harus tahu PIN terlebih dahulu. Karena itu, PIN harus benar-benar kita jaga,” jelas Chairman lembaga riset keamanan siber CISSReC (Communication and Information System Security Research Center) ini.
Pratama menjelaskan perlu digencarkan edukasi kepada para nasabah, terkait keutamaan mengamankan data di kartu debit dan kartu kredit. Ini menjadi tanggungjawab bersama pemerintah dan perbankan, agar data pribadi masyarakat tidak mudah diambil dan disalahgunakan. Menurutnya ini hanya satu dari sekian banyak cara-cara mengumpulkan data pribadi masyarakat, yang penggunaan selanjutnya sangat sulit dipertanggungjawabkan.
“Beberapa waktu lalu Bareskrim Mabes Polri menangkap penjual data nasabah di Bogor yang memiliki hampir dua juta data dan dijual di internet. Ini adalah fenomena gunung es, saya yakin masih banyak yang melakukan hal serupa. Data ini terkumpul dari banyak cara, mungkin salah satunya juga dari menggesek kartu nasabah di komputer kasir,” terang pria asal Cepu Jawa Tengah ini.
Pratama menjelaskan bahwa data pribadi mutlak harus dilindungi. Namun, secara aturan perundangan hingga kini masih tumpang tindih. Belum ada kesepakatan aturan yang menjadi payung tentang defisini data pribadi. Akibatnya penindakannya menjadi parsial. Berkaca pada kasus di Bogor, penyidik mengenakan pasal tentang Perbankan merujuk pada UU Nomor 10 Tahun 1998 tentang Perbankan dan UU ITE. Kedua UU tersebut tidak secara khusus mengatur tentang perlindungan data pribadi.
“Keberadaan UU Perlindungan Data Pribadi harus didorong sebagai aturan yang memayungi semua jenis data pengguna. Apalagi di era maraknya aplikasi, uang digital dan e-commerce, kebutuhan perlindungan data pribadi sudah cukup mendesak, karena data masyarakat ini terus diambil dan dieksploitasi sangat jauh,” jelasnya.
Pratama menambahkan bahwa langkah penguatan keamanan elektronik juga menuntut adanya perbaikan manajemen pengamanan informasi. Hal ini menurutnya menuntut adanya standardisasi perlindungan data pribadi. Standar ini mengatur hak dan kewajiban baik konsumen maupun penyedia layanan elektronik.
“Badan Siber dan Sandi Negara (BSSN) bisa menjadi badan yang mengeluarkan standar perlindungan terhadap data pribadi. Misalnya bagi perbankan dan institusi vital nasional harus menerapkan standar pengamanan data pribadi dengan variabel tertentu,” terang mantan pejabat Lembaga Sandi Negara ini.