Double Swiping dan Risiko Pencurian Data
JAKARTA - Beberapa hari terakhir ini jagat sosmed dan berita diramaikan oleh isu rawannya praktik double swiping toko (merchant ) yang dilakukan terhadap kartu pembayaran konsumen. Kalangan perbankan dan Bank Indonesia (BI) selaku otoritas sistem pembayaran tidak ketinggalan mengecam praktik ini.
Double Swiping atau double swipe adalah istilah yang dikenal dalam dunia industri alat pembayaran menggunakan kartu (APMK) untuk menggambarkan aktivitas kasir di toko yang melakukan dua kali penggesekan kartu kredit atau kartu debet nasabah terkait pembayaran barang atau jasa yang dikonsumsinya.
Baca juga: Gesek Kartu di Mesin Kasir Berbahaya, Harus Ada Sanksi!
Penggesekan pertama dilakukan pada mesin pembaca kartu Electronic Data Captured (EDC) milik pihak acquirer (bank/lembaga selain bank) untuk tujuan proses otorisasi kartu (identifikasi, otentikasi, dan otorisasi) ke lembaga penerbit kartu pembayaran.
Penggesekan kedua dilakukan pada alat pembaca kartu (card reader/ skimmer ) milik toko yang terintegrasi dengan sistem cash register untuk tujuan rekonsiliasi pembayaran nontunai. Di Indonesia, praktik double swiping ini sudah terjadi sejak lama dan dipraktikkan oleh banyak toko, baik besar maupun kecil yang menerima pembayaran APMK menggunakan kartu kredit dan kartu debit.
Data yang tersimpan dalam magnetic stripe kartu pembayaran nasabah adalah paket komplet yang tidak terenkripsi dan tidak terjaga dengan fitur sekuriti apa pun yang meliputi antara lain data nomor kartu, nama nasabah, tanggal kedaluwarsa (expiration date ), tiga digit kode keamanan (card verification value/card verification code ), service code , dan lainnya.
Dengan demikian, double swiping yang dilakukan toko berpotensi untuk memindahkan seluruh data lengkap kartu nasabah terdapat dalam track 1 dan 2 magnetic stripe (baik data yang bersifat publik, seperti nomor kartu maupun berbagai data sensitif lain yang seharusnya bersifat rahasia dan bisa mengarah pada rekening nasabah di bank/lembaga penerbit kartu pembayaran) ke dalam hardisk computer dan atau server cash register system milik toko.
Baca juga: Gawat! Walau Berbahaya, Gesek Kartu Kredit di Mesin Kasir Masih Marak
Data yang tersimpan dalam sistem komputer toko tersebut (yang relatif tidak terstandardisasi dan tidak diawasi otoritas manapun) sangat rentan dicuri dan disalahgunakan, baik oleh oknum kasir dan atau pemilik took yangn akal atau oleh peretas komputer (hackers/crackers ).
Data “paket komplit” tadi, di tangan yang salah bisa digunakan untuk melakukan transaksi pembayaran ilegal, baik online di internet ataupun untuk membobol dana nasabah melalui penarikan dana pada mesin ATM menggunakan data nasabah yang dikonversi ke dalam kartu palsu (clone card ). Bahkan, dalam beberapa kasus terdapat aplikasi card reader cash register toko yang sangat berbahaya dari sudut pandang keamanan.
Karena data lengkap kartu kredit/ debet nasabah dalam magnetic stripe kartu pembayaran akan ditampilkan lengkap dalam kondisi tidak tersandikan (clear text) pada layar monitor kasir toko ketika transaksi pembayaran terjadi sehingga mudah di-capture oleh kasir yang nakal sebagaimana pernah beberapa kali terjadi dalam kasus fraud sistem pembayaran.
Baca juga: Jangan Anggap Remeh! Ini Bahayanya Kalau Kartu Kredit Digesek ke Mesin Kasir
Adapun terkait data PIN kartu pembayaran nasabah sebagai bagian dari kelengkapan transaksi pembayaran, pada umumnya dicuri oleh oknum kasir toko saat transaksi terjadi dengan cara diintip, direkammenggunakan kamera mini (pinhole camera), atau menggunakan malware. Akibat fraud, selain dana nasabah bisa hilang, bank penerbit pun harus berjibaku dan mengeluarkan biaya untuk pemblokiran akun nasabah dan penerbitan kartu pengganti.
Kerugian yang masif akibat praktik double swiping sebenarnya pernah menghenyak industri sistem pembayaran di Indonesia pada tahun 2013, manakala terjadi kasus pencurian ribuan data kartu pembayaran konsumen di sistem komputer sebuah toko ritel yang menimbulkan kerugian miliar rupiah bagi nasabah dan perbankan.
Tidak lama setelah insiden ini, BI mengeluarkan surat edaran yang ditujukan kepada semua bank berisi imbauan untuk menghentikan praktek double swiping oleh toko. Selanjutnya melalui Pasal 34 huruf b Peraturan Bank Indonesia No 18/ 40/PBI/2016 Tentang Penyelenggaraan Pemrosesan Transaksi Pembayaran (PBI PTP), BI telah menegaskan kembali adanya larangan penyalahgunaan data dan informasi transaksi pembayaran nasabah selain untuk tujuan pemrosesan transaksi pembayaran, misalnya terkait praktik double swipe .
Dalam praktik internasional (bestpractice), doubleswiping juga dilarang keberadaannya tidak saja oleh bank sentral di berbagai negara, tapi juga oleh perbankan dan berbagai asosiasi sistem pembayaran. Bahkan di Australia, double swiping tidak saja dilarang namun dikembangkan juga budaya bahwa kasir toko dilarang untuk memegang dan menggesek atau men-deep-in kartu pem-bayaran nasabah.
Dalam kaitan perlindungan konsumen, berdasarkan merchant agreement, pihak acquiring bisa menghentikan kerja sama dengan pihak toko yang melakukan berbagai aktivitas yang dilarang atau membahayakan integritas dan atau kerahasiaan data keuangan nasabah, antara lain praktek double swiping ini.
Bahkan, pihak acquiring dapat memasukkan nama toko yang membandel dalam daftar hitam toko (merchant black list ). Tentu dalam kaitan penghentian praktik double swiping, seluruh acquiring institution yang memiliki mesin EDC di toko, terutama di toko-toko berskala besar, harus kompak untuk menghentikan praktek double swiping ini.
Iwan Setiawan, SH, LLM, PHD
Peneliti Senior/Pengamat Sistem Pembayaran Bank Indonesia Institute
(Rizkie Fauzian)
