Harianmomentum--Bank Indonesia (BI) beberapa hari terakhir gencar melarang toko atau merchant menggesek ganda kartu debit dan kartu kredit selain di mesin Electronic Data Captured (EDC) saat transaksi nontunai.
Menurut BI ini demi
keamanan nasabah, sudah ada regulasi dan perlu ditegakkan serta disosialisaikan
lebih gencar.
Larangan double swipe tercantum pada Peraturan Bank Indonesia
Nomor 18/40/PBI/2016. Kekuatiran BI beralasan, karena tindakan double swipe pada
mesin kasir bisa merekam data nasabah di komputer kasir. Tindakan ini berisiko,
karena data nasabah bisa disalahgunakan.
Dalam keterangannya, Kamis (7/9), pakar keamanan siber
Pratama Persadha menjelaskan bahwa pengamanan kartu debit dan kartu kredit di
tanah air masih lemah, sehingga sangat mudah sekali digandakan datanya. Jadi
bila kartu kita digesek di card reader komputer kasir, sebenarnya mereka juga
membaca sekaligus mengkopi data kartu kita.
"Kalau data kita sudah dicopy bisa dipakai untuk apa saja.
Bahkan data itu bisa kita copy ke kartu kosong. Hasil pengandaan kartu kredit
bahkan langsung bisa dipakai, sedangkan kartu debit, harus tahu PIN terlebih
dahulu. Karena itu PIN harus benar-benar kita jaga," jelas Chairman
lembaga riset keamanan siber, Communication and Information System Security
Research Center (CISSReC) ini.
Pratama menjelaskan, perlu digencarkan edukasi kepada para
nasabah, terkait keutamaan mengamankan data di kartu debit dan kartu kredit.
Ini menjadi tanggung jawab bersama pemerintah dan perbankan, agar data pribadi
masyarakat tidak mudah diambil dan disalahgunakan. Menurutnya, ini hanya satu
dari sekian banyak cara-cara mengumpulkan data pribadi masyarakat, yang
penggunaan selanjutnya sangat sulit dipertanggungjawabkan.
"Beberapa waktu lalu Bareskrim Mabes Polri menangkap
penjual data nasabah di Bogor yang memiliki hampir dua juta data dan dijual di
internet. Ini adalah fenomena gunung es, saya yakin masih banyak yang melakukan
hal serupa. Data ini terkumpul dari banyak cara, mungkin salah satunya juga
dari menggesek kartu nasabah di computer kasir," terang pria asal Cepu
Jawa Tengah ini.
Pratama menjelaskan bahwa data pribadi mutlak harus
dilindungi. Namun, secara aturan perundangan hingga kini masih tumpang tindih.
Belum ada kesepakatan aturan yang menjadi payung tentang defisini data pribadi.
Akibatnya penindakannya menjadi parsial.
Berkaca pada kasus di Bogor, penyidik mengenakan pasal
tentang Perbankan merujuk pada UU 10/1998 tentang Perbankan dan UU ITE. Kedua
UU tersebut tidak secara khusus mengatur tentang perlindungan data pribadi.
"Keberadaan UU Perlindungan Data Pribadi harus didorong
sebagai aturan yang memayungi semua jenis data pengguna. Apalagi di era
maraknya aplikasi, uang digital dan e-commerce, kebutuhan perlindungan data
pribadi sudah cukup mendesak, karena data masyarakat ini terus diambil dan
dieksploitasi sangat jauh," jelasnya.
Langkah penguatan keamanan elektronik juga menuntut perbaikan
manajemen pengamanan informasi. Harus ada standarisasi perliindungan data
pribadi. Standar ini mengatur hak dan kewajiban baik konsumen maupun penyedia
layanan elektronik.
"Badan Siber dan Sandi Negara (BSSN) bisa menjadi badan
yang mengeluarkan standar perlindungan terhadap data pribadi. Misalnya bagi
perbankan dan institusi vital nasional harus menerapkan standar pengamanan data
pribadi dengan variabel tertentu," terang mantan pejabat Lembaga Sandi
Negara ini.(wid/rmol)
Editor: Harian Momentum
E-Mail: harianmomentum@gmail.com