Kartu Debit. Aman gak ya?

Sampai sekarang saya masih belum mengerti tentang cara pengamanan kartu debit. Ini pernah ditulis oleh Primus di sini. Saat ini saya menggunakan kartu debit BNI. Seingat saya, dua tahunan yang lalu, cara pembayarannya adalah: pengguna harus memasukkan PIN sebelum approval. Beberapa waktu setelahnya, tiba-tiba hal ini berubah. Otentikasi menggunakan PIN dihilangkan dan diganti dengan pembubuhan tanda tangan. Bedanya, PIN dimasukkan sebelum pembayaran, sedangkan pembubuhan tanda-tangan dilakukan setelah proses pembayaran terjadi. Jadi, pembubuhan tanda-tangan bukan merupakan proses otentikasi.

Beberapa waktu lalu saya mengunjungi sebuah toko yg lama tidak saya kunjungi, ternyata toko tersebut masih menggunakan PIN untuk otentikasi. Tampaknya, BNI menyerahkan pilihan mekanisme PIN atau tanda tangan kepada pihak toko atau retailer. Hal yang sama sepertinya juga dilakukan oleh bank-bank lainnya.

Wah, jadi khawatir juga, nih. Kalau kartu ATM/debit saya tercuri trus bagaimana, dong?

Jadi, permasalahannya adalah: Apakah PIN merupakan mekanisme pengamanan yang wajib (mandatory) untuk kartu ATM dan kartu debit?

Hingga saat ini, sebagian besar kartu ATM dan kartu debit di Indonesia masih menggunakan teknologi magnetic strip. Seluruh data yang dipergunakan dalam proses transaksi disimpan di dalam magnetic strip dalam bentuk plaintext (tidak terenkripsi). Jadi, penyerang dapat dengan mudah membaca data-data tersebut hanya dengan menggunakan alat pembaca kartu magnetik. Selanjutnya, dengan mudah pula penyerang tersebut membuat kartu debit palsu.

Di sinilah fungsi utama PIN. Meskipun data-data dalam kartu dapat di-cloning, kita masih memiliki satu faktor keamanan lagi, yaitu PIN. Account kita masih tetap aman selama PIN tersimpan dengan aman.

Jadi bagaimana dengan transaksi kartu debit tanpa PIN?

Dalam kasus ini berarti tidak ada mekanisme otentikasi dengan faktor ‘what you know’ (yaitu PIN). Yang ada adalah faktor ‘what you have’ (yaitu kartu magnetik itu sendiri), yang tidak aman berdasarkan penjelasan sebelumnya . Jadi transaksi dengan kartu debit tanpa PIN tidak aman.

Jadi mengapa hal ini masih tetap dijalankan? Menurut saya ada beberapa sebab:

  1. Penggunaan signature justru bertujuan untuk menghindari ter-expose atau terbukanya PIN yang terlampau sering. PIN hanya dipergunakan di ATM, tidak di supermarket. Jadi kemungkinan terjadinya pencurian PIN menjadi lebih kecil.
  2. Kemudahan. Kita dapat meminjamkan kartu debit kepada orang lain (istri, anak, saudara, bahkan teman) tanpa perlu memberitahukan PIN kita. Orang yang menggunakan kartu yg bukan miliknya juga tidak perlu lagi mengingat-ingat PIN.
  3. Perhitungan manajemen risiko dari bank penyelenggara menyatakan bahwa prosentase fraud yang terjadi karena penyalahgunaan kartu debit tanpa PIN sangat kecil (terhadap seluruh nilai transaksi yang terjadi)

Ada sebab yg lain?

Bagi saya, tidak menggunakan PIN dalam transaksi kartu debit sama saja menghilangkan faktor keamanan utama kartu debit.

Kita bahas kembali tiga hal di atas.

Nomor satu dapat diatasi dengan penghalang pandangan di sekitar terminal POS (point of sales). Tentu tidak sebesar ruang ATM. Hanya sekedar mencegah orang mengintip PIN yang sedang kita ketikkan. Penempatan terminal juga harus diperhatika. Hal ini sebenarnya tidak susah untuk dilakukan. Pengguna juga berhak untuk menolak/membatalkan transaksi jika merasa tidak aman.

Nomor dua, menyalahi prinsip utama penggunaan kartu ATM dan kartu debit. Kartu ini hanya boleh dipergunakan oleh orang yang memiliki seluruh faktor otentikasi (ada dua, seperti yang dijelaskan di atas). Kemudahan? Sebenarnya bank penyelenggara menyediakan kemudahan tersebut dengan cara memindahkan risiko keamanan kepada pengguna. Tingkat keamanan diturunkan, risiko tanggung sendiri. Sebagai pengamanan, bank juga menetapkan batas maksimal transaksi yang dapat dilakukan tiap hari. Namun, batas ini dihitung berdasarkan perhitungan manajemen risiko fraud yang akan ditanggung oleh bank, bukan risiko yang akan kita tanggung. Sekali lagi, risiko tanggung sendiri. Mau?

Untuk nomor tiga, saya tidak memiliki bukti statistik penyalahgunaan kartu debit tanpa PIN. Mungkin rekan-rekan blogger punya? Saya menduga cukup besar.

Yang membuat saya lebih pusing lagi, seingat saya, BNI tidak pernah memberitahukan perubahan cara transaksi tersebut, apalagi menjelaskan risiko-risiko baru yang akan muncul. Menurut saya, bank penyelenggara wajib menjelaskan hal-hal seperti ini. Atau saya saja yang kelewat. Pembaca yang lain bagaimana?

Catatan: risiko penggunaan tanda tangan pada kartu kredit berbeda dengan kartu debit. Ini karena pada kartu kredit kita masih dapat menolak membayar tagihan karena menduga ada fraud. Untuk debit, uang kita sudah berpindah ke account merchant. Bisa gitu ditarik lagi?

7 pemikiran pada “Kartu Debit. Aman gak ya?

  1. wuah saya baru kehilangan kartu debit, baru saja sejam sudah kecurian via mesin edisi merchant yang tanpa PIN…
    karena saya menggunakan kartu debit istri saya, bank sepertinya tidak mau tahu

  2. gw kehilangan 25jt, di bank inisial M
    sprtnya 1 hari cukup klo baca2 artikel diatas untuk kloning kartu atau buat KTP aspal
    krn gw kehilangan baru sadar 1 hari, dihari berikutnya ATM udah di pakai transaksi Debit
    amblaslah 25 jt

    jd dlm 1 hari, mereka mungkin pakai clone kartu + tanda tangan baru di kartu baru
    atau mereka pakai KTP palsu dgn TTD yg sama dgn yg di kartu ATM

    gw jg baru tau, KACAU bgt debit boleh gak pakai PIN, gw baru tahu model begini, krn dulu2 klo debit selalu pakai PIN…

    KACAU bgt bank2 sekarang

  3. iya samaa sy jg br ngalamin kmrn,atm hilang cm krn masi ragu2 antara hilang ato kselip ditas (b’hub suka gonta-ganti tas) jd sy blm niat laporin ato blokir dlu,oalah tnyata bsk paginya rek udh kedebet 400rb di sebuah spbu yg menggunakan merchant bank lain ktnya yg tdk perlu pin hnya butuh tanda tgn..
    jd rada2 trauma wlwpun jumlahnya kecil tp masa sgitu gampangnya uang qt yg udh simpan n hrsnya aman diambil orgšŸ˜¦

  4. What’s Going down i am new to this, I stumbled upon this I have found It positively useful and it has aided me out loads. I am hoping to give a contribution & aid other customers like its helped me. Good job.

  5. Attractive section of content. I just stumbled upon your website and in acxession capital to assert that I acquire actually enjoyed account your blog
    posts. Any way I’llbe subscribing to your feeds and even I
    achievement you access consistently quickly.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s