Waspada Gesek Ganda Pencuri Data
- ANTARA FOTO/Muhammad Adimaja
VIVA.co.id – Dering telepon dan pesan pendek dari nomor tak jelas sering didapat sejumlah nasabah kartu kredit akhir-akhir ini. Bahkan, dari nomor tersebut langsung tahu data nama nasabah yang ingin ditawarkan sejumlah produk yang mengatasnamakan kerja sama sejumlah bank nasional di Indonesia.
Hal tersebut dirasakan oleh Dini (30 tahun) seorang karyawan swasta di bilangan Sudirman Jakarta. Ketika itu dirinya mendapat telepon dari nomor tak terdaftar dan langsung mengetahui siapa yang dihubungi.
Dari telepon tersebut dia ditawari sejumlah produk yang sebetulnya tidak dibutuhkan olehnya. Lalu, ia lantas menanyakan dari mana nomor telepon dan namanya diketahui karena merasa sering terganggu telepon tersebut.
"Ya sering sekali telepon penawaran datang, dan tahu data yang saya miliki kartu kredit dari salah satu bank, padahal saya tak pernah berikan izin sebarkan data dari bank bersangkutan," jelas Dini kepada VIVA.co.id, Rabu 6 September 2017.
Kejadian tersebut tentunya menjadi satu kasus kecil dari mudahnya data-data nasabah kartu kredit di Tanah Air bisa tersebar. Bahkan, beberapa kasus lain nyatanya bisa mengkloning kartu kredit dari kasus pencurian data yang dijual ke luar negeri.
Sekretaris Perusahaan PT Bank Mandiri Tbk, Rohan Hafas, menyebutkan, kebocoran data nasabah khususnya kartu kredit dan debit di Tanah Air bisa disebabkan berbagai hal, seperti kebiasaan masyarakat dalam melakukan transaksi.
Dia mengatakan, ada beberapa perilaku masyarakat yang bisa membuat data nasabah bocor ke publik. Salah satunya adalah konsumen yang sering berbelanja ke mal atau toko modern yang membayar pakai kartu debit atau kartu kredit.
Dalam praktiknya, lanjut Rohan, salah satu yang bisa membuat kebocoran data yaitu dilakukannya gesek kedua pada kartu setelah gesek di mesin Electronic Data Capture (EDC). Hal itu kerap dilakukan si kasir.
"Tapi setelah itu, si kasir biasanya gesek lagi di keyboard komputer atau mesin cash register, nah itu tidak boleh. Jangan mau, karena itu merekam data nasabah di komputer atau hard disk PC mereka," ujar dia, Sabtu 26 Agustus 2017.
Menurut dia, ketika semua data masuk dalam hard disk kasir, maka data-data tersebut akan sangat mudah tersebar luas. Terlebih ketika hard disk tersebut berpindah tempat dan kemudian diunduh dengan bebas, sehingga data terbawa.
Senada, Direktur Bank Central Asia (BCA), Santoso, saat berbincang dengan VIVA.co.id mengatakan, keputusan suatu toko menggesek ganda (double swipe) adalah untuk memudahkan rekonsiliasi transaksi pembayaran nasabah dengan bank. Namun tanpa disadari, hal itu justru berisiko terhadap keamanan data.
Santoso mengaku pernah menemukan kasus dalam dua atau tiga tahun terakhir, di mana pada saat itu terjadi kasus pembobolan kartu kredit dengan jumlah yang relatif cukup besar. Setelah ditelusuri, penyebab utamanya adalah karena double swipe yang dilakukan kasir toko.
“Mungkin dikira selesai, tapi datanya ternyata dicuri. Karena di mesin cash register itu tidak ada antivirus, dan ada aplikasi kecil yang dimasukkan pembobol ke dalam komputer. Tanpa disadari, aplikasi tersebut menangkap data kartu, dan dikirim ke luar negeri,” kata Santoso, Rabu 6 September 2017.
Pada akhirnya, data yang telah terekam tersebut digandakan oleh pihak tak bertanggung jawab dengan membuat kartu baru dengan profil nasabah yang sama. Apalagi, belum ada kewajiban bagi pengguna kartu kredit menggunakan enam digit personal identification number dalam setiap transaksi.
Untuk itu, berbagai macam kejadian tersebut tentunya harus jadi pelajaran konsumen. Sebab, selama ada isu kebocoran data nasabah, perbankan lah yang disorot karena ditengarai sebagai pihak yang membocorkan data.
Selanjutnya...Larangan Bank Indonesia
Larangan Bank Indonesia
Kasus penggesekan ganda kartu kredit maupun debit di luar EDC sebenarnya sudah diatur oleh Bank Indonesia sejak tahun lalu. Bahkan, dalam aturan itu Bank Indonesia dengan tegas melarang gesek ganda di luar EDC.
Pengaturan mengenai penggesekan ganda kartu nontunai itu pun telah tercantum dalam Peraturan Bank Indonesia No. 18/40/PBI/2016 tentang Penyelenggaraan Pemrosesan Transaksi Pembayaran.
Dalam aturan itu, dalam setiap transaksi, kartu hanya boleh digesek sekali di mesin EDC, dan tidak dilakukan penggesekan lainnya, termasuk di mesin kasir.
Selain itu, pada Pasal 34 huruf b, Bank Indonesia melarang penyelenggara jasa sistem pembayaran menyalahgunakan data dan informasi nasabah maupun data dan informasi transaksi pembayaran selain untuk tujuan transaksi pemrosesan pembayaran. Tercakup di dalamnya adalah larangan pengambilan data melalui mesin kasir di pedagang.
Dari aturan itu, masyarakat pun diminta berkontribusi menghindari praktik penggesekan ganda dengan senantiasa menjaga kehati-hatian dalam transaksi nontunai, dan tidak mengizinkan pedagang melakukan penggesekan ganda.
Apabila masyarakat mengetahui atau mengalami praktik penggesekan ganda, masyarakat dapat melaporkan ke Bank Indonesia Contact Center (BICARA) 131, dengan menyebutkan nama pedagang dan nama bank pengelola yang dapat dilihat di stiker mesin EDC.
Atas kasus tersebut Gubernur Bank Indonesia Agus Martowardojo pun meminta pelaku industri perbankan untuk tidak ragu menindak tegas para toko atau merchant yang menggesek ganda atau double swipe dalam transaksi nontunai. Apalagi, hal ini berkaitan dengan kerahasiaan data nasabah.
“Kami minta bank menindak, atau kami yang menindak nanti. Laporkan sama BI, biar kami ambil tindakan,” tegas Agus, di Jakarta, Selasa 5 September 2017.
Agus menjelaskan, dalam setiap transaksi nontunai, baik itu melalui kartu debit maupun kredit, hanya diperbolehkan untuk menggesekkan satu kali di mesin EDC. Artinya, keputusan merchant menggesek dua kali telah menyalahi aturan yang berlaku.
“Kalau seandainya swipe dua kali, profil data tentang pemegang kartu bisa bocor. Mesti diyakini, tidak terus dilakukan,” katanya.
Selain itu, mantan Menteri Keuangan itu menuturkan, konsumen atau pemilik kartu kredit maupun debit memiliki hak untuk menolak, apabila merchant akan melakukan double swipe. Aksi gesek ganda itu jelas menyalahi aturan yang telah ditetapkan oleh bank sentral.
Direktur BCA Santoso menambahkan, terkait kasus gesek tersebut tentu sangat jauh sekali dengan apa yang sudah diterapkan di Amerika Serikat. Di mana AS justru sangat melarang merchant atau toko memegang kartu nasabahnya.
Negara tersebut justru menerapkan self service atau melayani secara mandiri jika nasabah ingin melakukan transaksi pembayaran kartu kredit di mesin EDC. Dan hanya dibantu ketika nasabah tersebut mengalami keterbatasan.
"Di Indonesia aturan itu tidak ada karena fasilitas terbatas, satu EDC digunakan beberapa merchant dan perilaku masyarakatnya susah karena harus jalan-jalan," tegasnya.
Selanjutnya...Jangan Gesek Kartu Sembarangan
Jangan Gesek Kartu Sembarangan
Dalam upaya mengurangi kasus gesek ganda pada kartu kredit Asosiasi Kartu Kredit Indonesia (AKKI) mengimbau kepada seluruh nasabah waspada terhadap kebiasaan yang berakibat fatal. Apalagi, dalam beberapa waktu terakhir, kepolisian membongkar sindikat pelaku jual beli data nasabah perbankan.
General Manager AKKI Steve Marta mengungkapkan, ada beberapa kebiasaan yang perlu diwaspadai pengguna kartu kredit, agar data yang dimilikinya tidak tersebar dan disalahgunakan. Misalnya, seperti menggesekkan kartu selain ke mesin Electronic Data Capture (EDC).
“Kalau kartu di-swipe dua kali, data berpotensi tidak terjaga dan bisa digandakan. Jadi tidak boleh asal swipe sembarangan, tanpa dijaga keamanannya,” kata Steve saat berbincang dengan VIVA.co.id, Jakarta, Rabu 30 Agustus 2017.
Steve menjelaskan, merchant tidak bisa begitu saja menggesek kartu nasabah selain di mesin EDC. Selain karena alasan keamanan, perlu adanya sertifikasi dari institusi terkait yang bisa mempertanggungjawabkan kerahasiaan data nasabah yang terekam.
Selain itu, ada satu hal penting lainnya yang harus dicermati para pemilik kartu kredit, agar data pribadinya tidak tersebar ke pihak yang tidak bertanggung jawab. Yakni, dengan berhati-hati dalam melakukan transaksi menggunakan fasilitas wi-fi publik.
“Bisa juga dari sambungan telepon, dicuri datanya melalui tapping. Kemudian wi-fi, karena transaksi melalui wi-fi ini tidak terjaga,” katanya.
Sementara itu, Ketua Asosiasi Pengusaha Ritel Indonesia (Aprindo), Roy Nicholas Mandey, menjelaskan langkah gesek yang dilakukan seluruh anggota peritel di Indonesia selama ini sebenarnya adalah cash register.
Menurut dia, proses yang dilakukan di cash register itu hanyalah upaya untuk memvalidasi data, nomor kartu yang sama dengan pemilik kartu. Biasanya itu dilakukan pada kartu kredit.
Dengan demikian, nasabah dalam proses transaksi kasir bisa mengetahui dan memvalidasi sama tidak nomor kartunya dengan yang ada di EDC. Dan bila terjadi rekonsiliasi dan tidak sesuai bisa ditelusik dengan mudah.
"Jadi tujuannya jika ada transaksi yang tidak sesuai bisa kita trace dan tinggal melihat data kartu yang tergesek di EDC dengan yang tergesek di cash register, jadi tak ada salahnya, gitu kan," jelas Mandey kepada VIVA.co.id.
Untuk itu, Mandey mengklaim bahwa apa yang sudah dilakukan peritel saat ini tidak menyalahi aturan karena tidak bermaksud meng-capture data dan itu juga menjadi bisnis inti peritel untuk mengintip data nasabah.
"Kami ini kan hanya betul-betul dagang, tapi kita perlu validasi supaya itu tadi, faktor keamanan dari transaksi itu sendiri. Nah kalau BI rise up kembali masalah ini, tentu suatu hal yang wajar," tegasnya.
Ia pun menjamin bahwa anggota Aprindo yang mencapai 35 ribu toko seluruh Indonesia tidak akan melakukan pencurian data. Dan hingga saat ini belum ada pelaporan pada asosiasi atas hal itu.
Selain itu, jika ternyata ada kasus seperti itu, dirinya akan bertanggung jawab. Karena hal itu bisa saja dilakukan oleh peritel lokal, daerah yang tidak menjadi anggota Aprindo atau peritel lain yang tak mengerti aturan BI.
Mandey menambahkan, saat ini ada lima format ritel menurut Undang-undang Perdagangan, yaitu minimarket, supermarket, hypermarket departement store dan ada kulakan. "Dari semua ritel brandnya tentu macam-macam dan tak semua masuk dalam wadah Aprindo," ujarnya. (one)