PayPal Inc. adalah perusahaan dalam jaringan
yang menyediakan jasa transfer uang melalui surat
elektronik, menggantikan metode lama yang masih menggunakan kertas, seperti
cek dan wesel pos. PayPal juga
menyediakan jasa untuk para pemilik situs e-commerce, lelangan, dan jenis usaha
lain. Markas perusahaan ini terletak di San Jose, California,
Amerika
Serikat.
As seen on:
Akun Paypal
- Akun Personal
Dengan akun tipe ini Anda sudah dapat mengirim dan
menerima uang dan melakukan penjualan dengan eBay. Pada tipe ini, Anda bisa
menerima pembayaran dari akun Paypal lain, namun tidak bisa menerima pembayaran
dari credit atau debit card. Tidak ada biaya untuk setiap transaksi yang Anda
lakukan pada tipe ini. Ada limit berapa banyak uang yang dapat Anda terima per
bulannya. Jika Anda merencanakan ingin berjualan produk dalam jumlah yang
besar, tipe personal tidak cocok buat Anda.
- Akun Premier
Tipe ini hampir sama dengan akun Personal, bedanya
pada tipe ini Anda bisa menerima pembayaran dari credit card, debit card dan rekening
bank. Anda juga bisa menggunakan fasilitas shopping cart dan tool laporan
pembayaran (payment reporting tool) Akun Premier cocok digunakan untuk penjual
amatiran yang ingin menjual produknya secara reguler. Jika saat ini Anda
memiliki akun personal, Anda dapat melakukan upgrade ke akun Premier.
- Akun Business
Tipe Akun Business cocok digunakan untuk bisnis yang
berskala besar atau online store. Pada tipe ini Anda diperbolehkan
menggunakannya pada nama bisnis Anda, dan menggunakan laporan dan tool eBay
tanpa adanya persyaratan mengenai jenis transaksi. Anda akan dikenakan biaya
dalam menggunakan akun tipe ini. Jika saat ini Anda memiliki akun Personal atau
Premier, Anda dapat melakukan upgrade ke akun Business.
PayPal tidak mengenakan biaya pada pembeli dalam
mengirimkan uang ke penjual. PayPal akan mengenakan biaya kepada Anda sebagai
penjual (penerima uang) sebesar 1.9% hingga 2.9% dari jumlah uang yang
diterima. Saat pertama kali mendaftar, saya menggunakan akun Personal.
Contoh layanan e-Commerce
Contoh layanan
e-Commerce yang paling mudah ditemukan di Indonesia adalah OLX (dulu TokoBagus),
Tokopedia, dan Blibli.
Masing-masing
memiliki model bisnis yang berbeda. Itulah sebabnya mereka tidak bisa
dibandingkan satu dengan lainnya. Ada 5 macam model bisnis e-commerce yang
paling umum dilakukan komunitas bisnis di Indonesia. Yaitu:
1. Classifieds/Listing/Iklan baris
Ini adalah
model bisnis e-commerce paling sederhana yang cocok digunakan di negara-negara
berkembang. Dua kriteria yang biasa diusung model bisnis ini: Website yang
bersangkutan tidak memfasilitasi kegiatan transaksi online Penjual individual
dapat menjual barang kapan saja, dimana saja secara gratis Tiga situs iklan
baris yang terkenal di Indonesia ialah Tokobagus, Berniaga, dan OLX. Kaskus
selaku forum online terbesar di Indonesia juga bisa dibilang masih menggunakan
model bisnis iklan baris di forum jual belinya. Ini dikarenakan Kaskus tidak
mengharuskan penjualnya untuk menggunakan fasilitas rekening bersama atau
escrow. Jadi transaksi masih dapat terjadi langsung antara penjual dan pembeli.
Metode transaksi yang paling sering digunakan di situs iklan baris ialah metode
cash on delivery atau COD.
Cara mencari
uang: iklan premium.
Jenis
penjual: situs iklan baris seperti ini cocok bagi penjual yang hanya ingin
menjual sekali-kali saja, seperti barang bekas atau barang yang stoknya
sedikit.
2. Marketplace C2C (Customer to Customer)
Ini adalah
model bisnis dimana website yang bersangkutan tidak hanya membantu mempromosikan
barang dagangan saja, tapi juga memfasilitasi transaksi uang secara online.
Berikut ialah indikator utama bagi sebuah website marketplace: Seluruh
transaksi online harus difasilitasi oleh website yang bersangkutan Bisa
digunakan oleh penjual individual Kegiatan jual beli di website marketplace
harus menggunakan fasilitas transaksi online seperti layanan escrow atau
rekening pihak ketiga untuk menjamin keamanan transaksi. Penjual hanya akan
menerima uang pembayaran setelah barang diterima oleh pembeli. Selama barang
belum sampai, uang akan disimpan di rekening pihak ketiga. Apabila transaksi
gagal, maka uang akan dikembalikan ke tangan pembeli.
Tiga situs
marketplace di Indonesia yang memperbolehkan penjual langsung berjualan barang
di website ialah Tokopedia, Bukalapak, dan Lamido. Ada juga situs marketplace
lainnya yang mengharuskan penjual menyelesaikan proses verifikasi terlebih
dahulu seperti Blanja dan Elevenia.
Cara mencari
uang: layanan penjual premium, iklan premium, dan komisi dari setiap transaksi.
Jenis
penjual: situs marketplace seperti ini lebih cocok bagi penjual yang lebih
serius dalam berjualan online. Biasanya sang penjual memiliki jumlah stok
barang yang cukup besar dan mungkin sudah memiliki toko fisik.
3. Shopping mall
Model bisnis
ini mirip sekali dengan marketplace, tapi penjual yang bisa berjualan disana
haruslah penjual atau brand ternama karena proses verifikasi yang ketat.
Satu-satunya situs online shopping mall yang beroperasi di Indonesia ialah
Blibli.
Cara mencari
uang: komisi dari penjual.
4. Toko
online B2C (Business to Consumer)
Model bisnis
ini cukup sederhana, yakni sebuah toko online dengan alamat website (domain)
sendiri dimana penjual memiliki stok produk dan menjualnya secara online kepada
pembeli. Beberapa contoh toko online di Indonesia ialah Bhinneka, Lazada
Indonesia, BerryBenka, dan Bilna 1. Tiket.com, yang berfungsi sebagai platform
jualan tiket secara online, juga bisa dianggap sebagai toko online. Keuntungan
dari memiliki toko online Anda sendiri ialah Anda memiliki kebebasan penuh
disana. Anda dapat merubah jenis tampilan sesuka Anda dan dapat membuat blog
untuk memperkuat SEO toko online Anda.
Bagi Anda
yang tertarik untuk membuka sebuah toko online secara mudah, Anda dapat coba
menggunakan Shopify, Jejualan, Pixtem, Jarvis Store, dan Klakat.
Cara mencari
uang: berjualan barang demi dapatkan profit.
Jenis
penjual: model bisnis ini cocok bagi mereka yang serius berjualan online dan
siap mengalokasikan sumber daya mereka untuk mengelola situs mereka sendiri.
5. Toko
online di media sosial
Banyak
penjual di Indonesia yang menggunakan situs media sosial seperti Facebook dan
Instagram untuk mempromosikan barang dagangan mereka. Uniknya lagi, sudah ada
pemain-pemain lokal yang membantu penjual berjualan di situs Facebook yakni
Onigi dan LakuBgt. Ada juga startup yang mengumpulkan seluruh penjual di
Instagram ke dalam satu website yakni Shopious. Membuat toko online di Facebook
atau Instagram sangatlah mudah, sederhana, dan asiknya gratis! Tapi penjual
tidak dapat membuat templatenya sendiri. Di Indonesia, channel BBM pun juga
sering digunakan sebagai media jual beli barang. Jenis penjual: penjual yang
ingin memiliki toko online sendiri tapi tidak ingin repot.
As seen on:
http://id.techinasia.com/5-model-bisnis-ecommerce-di-indonesia/
As seen on:
http://id.techinasia.com/5-model-bisnis-ecommerce-di-indonesia/
Keamanan pada e-Commerce
Akses terhadap
informasi juga harus dilakukan dengan melalui mekanisme otorisasi (authorization)
yang ketat. Tingkat keamanan dari mekanisme otorisasi bergantung kepada tingkat
kerahasiaan data yang diinginkan.
Integrity
Integrity merupakan aspek yang menjamin
bahwa data tidak boleh berubah tanpa ijin pihak yang berwenang (authorized).
Untuk aplikasi e-procurement, aspek integrity ini sangat penting. Data yang telah
dikirimkan tidak dapat diubah oleh pihak yang berwenang. Pelanggaran terhadap
hal ini akan berakibat tidak berfungsinya sistem e-procurement.
Secara teknis ada
banyak cara untuk menjamin aspek integrity ini, seperi misalnya dengan
menggunakan messange authentication code, hash function, digital
signature.
Availability
Availability merupakan aspek yang menjamin
bahwa data tersedia ketika dibutuhkan. Dapat dibayangkan efek yang terjadi
ketika proses penawaran sedang dilangsungkan ternyata sistem tidak dapat
diakses sehingga penawaran tidak dapat diterima. Ada kemungkinan pihak-pihak
yang dirugikan karena tidak dapat mengirimkan penawaran, misalnya.
Hilangnya layanan
dapat disebabkan oleh berbagai hal, mulai dari benca alam (kebakaran, banjir,
gempa bumi), ke kesalahan sistem (server rusak, disk rusak, jaringan putus),
sampai ke upaya pengrusakan yang dilakukan secara sadar (attack). Pengamanan
terhadap ancaman ini dapat dilakukan dengan menggunakan sistem backup dan
menyediakan disaster recovery center (DRC) yang dilengkapi dengan
panduan untuk melakukan pemulihan (disaster recovery plan).
Non-repudiation
Non-repudiation merupakan aspek yang sangat
penting dalam transaksi elektronik. Aspek ini seringkali dilupakan. Aspek
non-repudiation menjamin bahwa pelaku transaksi tidak dapat mengelak atau
menyangkal telah melakukan transaksi.
Dalam sistem
transaksi konvensional, aspek non-repudiation ini diimplementasikan dengan
menggunakan tanda tangan. Dalam transaksi elektronik, aspek non-repudiation
dijamin dengan penggunaan tanda tangan digital (digital signature),
penyediaan audit trail (log), dan pembuatan sistem dapat diperiksa
dengan mudah (auditable). Implementasi mengenai hal ini sudah tersedia,
hanya perlu diaktifkan dan diakui saja. Dalam rancangan Cyberlaw Indonesia –
yang dikenal dengan nama RUU Informasi dan Transaksi Elektronik – tanda tangan
digital diakui sama sahnya dengan tanda tangan konvensional.
Standar
Pengamanan
Dalam upaya untuk
memenuhi aspek-aspek tersebut di atas, sistem perlu dirancang dan
diimplementasikan sesuai dengan standar yang berlaku. Ada beberapa standar yang
dapat diikuti, mulai dari standar yang sifatnya formal (seperti ISO 17799)
sampai ke standar yang sifatnya lebih praktis dan operasional (yang sering
disebut best practice).
Evaluasi Secara
Berkala
Untuk membuktikan
aspek-aspek tersebut sistem informasi perlu diuji secara berkala. Pengujian
atau evaluasi ini sering disebut dengan istilah audit, akan tetapi bukan audit keuangan.
Untuk menghindari kerancuan ini biasanya sering digunakan istilah assesement.
Evaluasi secara
berkala bisa dilakukan dalam level yang berbeda, yaitu dari level management
(non-teknis) dan level teknis. Masing-masing level ini dapat dilakukan dengan
menggunakan metodologi yang sudah baku. Evaluasi untuk lebel non-teknis
biasanya dilakukan dengan menggunakan metoda evaluasi dokumen. Metoda ini yang
banyak dilakukan oleh auditor Indonesia. Namun, metoda ini belum cukup. Dia
harus dilengkapi dengan evaluasi yang levelnya teknis sebab seringkali
kecukupan dokumen belum dapat memberikan perlindungan. Sebagai contoh,
seringkali auditor hanya mencatat bahwa sistem memiliki firewall sebagai
pelindung jaringan. Akan tetapi jarang yang melakukan evaluasi teknis sampai
menguji konfigurasi dan kemampuan firewall tersebut.
Untuk level
teknis, ada metodologi dalam bentuk checklist seperti yang telah kami
kembangkan di INDOCISC dengan menggunakan basis Open-Source Security Testing
Methodology (OSSTM). Sayangnya di Indonesia tidak banyak yang dapat melakukan
evaluasi secara teknis ini sehingga cukup puas dengan evaluasi tingkat
high-level saja. Sekali lagi, evaluasi secara teknis harus dilakukan untuk
membuat evaluasi menyeluruh.
Masalah Pengamanan Sistem
Salah satu kunci
keberhasilan pengaman sistem informasi adalah adanya visi dan komitmen dari
pimpinan puncak. Upaya atau inisiatif pengamanan akan percuma tanpa hal ini.
Ketidak-adaan
komitmen dari puncak pimpinan berdampak kepada investasi pengamanan data.
Pengamanan data tidak dapat tumbuh demikian saja tanpa adanya usaha dan biaya.
Sebagai contoh, untuk mengamankan hotel, setiap pintu kamar perlu dilengkapi
dengan kunci. Adalah tidak mungkin menganggap bahwa setiap tamu taat kepada
aturan bahwa mereka hanya boleh mengakses kamar mereka sendiri. Pemasangan
kunci pintu membutuhkan biaya yang tidak sedikit, terlebih lagi jika
menggunakan kunci yang canggih. Pengamanan data elektronik juga membutuhkan
investmen. Dia tidak dapat timbul demikian saja. Tanpa investasi akan sia-sia
upaya pengamanan data. Sayangnya hal ini sering diabaikan karena tidak adanya
komitmen dari pimpinan puncak.
Jika komitmen dari
pucuk pimpinan sudah ada, masih ada banyak lagi masalah pengamanan sistem
informasi. Masalah tersebut adalah (1) kesalahan desain, (2) kesalahan implementasi,
(3) kesalahan konfigurasi, dan (4) kesalahan operasional.
Kesalahan
desain terjadi
pada tahap desain dimana keamanan seringkali diabaikan atau dipikirkan
belakangan (after thought). Sebagai contoh ada sebuah sistem informasi
yang menganggap bahwa sistem operasi akan aman dan juga jaringan akan aman
sehingga tidak ada desain untuk pengamanan data, misalnya dengan menggunakan
enkripsi. Kami menemukan beberapa sistem seperti ini. Akibatnya ketika sistem
operasi dari komputer atau server yang bersangkutan berhasil dijebol, data
dapat diakses oleh pihak yang tidak berwenang. Demikian pula ketika jaringan
yang digunakan untuk pengiriman data berhasil diakses oleh pihak yang tidak
berwenang, maka data akan kelihatan dengan mudah.
Kesalahan
implementasi terjadi
pada saat desain diimplementasikan menjadi sebuah aplikasi atau sistem. Sistem
informasi diimplementasikan dengan menggunakan software. Sayangnya para
pengembang software seringkali tidak memiliki pengetahuan mengenai keamanan
sehingga aplikasi yang dikembangkan memiliki banyak lubang keamanan yang dapat
dieksploitasi4.
Kesalahan
konfigurasi
terjadi pada tahap operasional. Sistem yang digunakan biasanya harus
dikonfigurasi sesuai dengan kebijakan perusahaan. Sebagai contoh, pemilik
sistem membuat kebijakan bahwa yang dapat melihat dokumen-dokumen tertentu
adalah sebuah unit tertentu. Namun ternyata konfigurasi dari sistem
memperkenankan siapa saja mengakses dokumen tersebut. Selain salah konfigurasi,
ada juga permsalahan yang disebabkan karena ketidak-jelasan atau ketidak-adaan
kebijakan (policy) dari pemilik sistem sehingga menyulitkan bagi pengelola
untuk melakukan pembatasan.
Kesalahan
penggunaan
terjadi pada tahap operasional juga. Kadang-kadang karena sistem terlalu
kompleks sementara sumber daya yang disediakan sangat terbatas maka
dimungkinkan adanya kesalahan dalam penggunaan. Sebagai contoh, sistem yang
seharusnya tidak digunakan untuk melakukan transaksi utama (misalnya sistem
untuk pengembangan atau development) karena satu dan lain hal digunakan
untuk production. Hal ini menyebabkan tidak adanya pengamanan yang
sesungguhnya. Selain itu ketidak-tersediaan kebijakan juga menyebabkan sistem digunakan
untuk keperluan lain. Sebagai contoh, sistem email di kantor digunakan untuk
keperluan pribadi.
Kesalahan-kesalahan
di atas dapat menimbulkan celah lubang keamanan. Celah ini belum tentu
menimbulkan masalah, sebab bisa saja memang celah ada akan tetapi tidak terjadi
eksploitasi. Namun celah ini merupakan sebuah resiko yang harus dikendalikan
dalam sebuah manajemen keamanan.
Manajemen Keamanan Transaksi Elektronik
Jika melihat
masalah-masalah keamanan seperti diutarakan di atas, mungkin kita akan merasa
takut untuk menjalankan transaksi elektronik. Sebetulnya masalah keamanan di
dunia maya (cyberspace) memiliki prinsip yang sama dengan masalah
keamanan di dunia nyata. Masalah keamanan ini dapat kita minimisasi sehingga e-procurement
dapat diterima seperti halnya procurement konvensional.
Prinsip dasar dari
penanganan atau management keamanan transaksi elektronik adalah meminimalkan
dua hal:
- meminimalkan potensi (probabilitas) terjadinya masalah yang ditimbulkan oleh keamanan;
- meminimalkan dampak yang terjadi jika masalah tersebut terjadi
Hal yang pertama
terkait dengan masalah pencegahan atau preventif. Sementara itu hal yang kedua
terkait dengan bagaimana menangani masalah jika terjadi.
Untuk meminimalkan
potensi terjadinya masalah dapat dilakukan sebuah security audit dan
peningkatan pengamanan. Sebagai contoh, untuk meminimalkan potensi masalah
keamanan dari sisi jaringan, dipasang sebuah firewall. Lubang-lubang keamanan
yang ditemukan dari proses audit kemudian ditutup.
Sementara untuk
meminimalkan dampak dapat dilakukan kajian sebagai bagian dari business
impact analysis dan kemudian mengimplementasikan langkah-langkah untuk
meminimalkan dampak. Sebagai contoh, apa akibatnya jika server yang digunakan
untuk transaksi e-procurement tidak dapat diakses (rusak, terputus)? Berapa
biaya yang hilang dari ketidak-tersediaan layanan tersebut? Hal ini dapat
dikonversikan ke dalam bentuk finansial. Untuk meminimalkan dampak misalnya
dapat diimplementasikan sistem ganda (redundant) dan disaster recovery.
As seen on: