Secure Electronic Transaction (SET)

Posted by Endarto Jati on 15.30


Secure Electronic Transaction (SET)

Pada tahun 1996, Visa dan MasterCard membangun protocol SET. Protokol ini dirancang untuk menyediakan transaksi elektronik yang dapat dipercaya. Keamanan diberikan pada seluruh pihak yang terlibat dalam transaksi elektronik. SET merupakan sebuah open standard, yang saat ini ditangani oleh SETCo LLC.

Empat komponen SET
SET merupakan protokol yang melibatkan banyak pihak. Ada empat komponen yang terlibat di dalam SET, yaitu:
a. Pembeli yang merupakan pemegang kartu kredit
b. Penjual
c. Certificate Authority (CA) Pihak yang berwenang untuk mengeluarkan sertifikat digital
d. Payment Gateways

Pihak yang bertugasi memproses kartu pembayaran (dalam hal ini kartu kredit) dan pembayaran transaksi. Biasanya Payment Gateways dijalankan oleh pihak yang mengeluarkan kartu kredit atau biasa disebut issuer, yakni bank. Untuk komunikasi yang terjadi antar komponen, SET menyediakan perangkat lunak khusus untuk masing-masing komponen.

1. SET Business Plan

Pihak issuer yang sebagai perancang SET menetapkan tujuh kebutuhan bisnis yang harus dipenuhi SET sebagai protokol transaksi elektronik. Kebutuhan tersebut tertuang dalam SET business plan yang menyatakan bahwa SET seharusnya:
a. Memungkinkan kerahasiaan informasi pembayaran dan informasi transaksi.
b. Menjamin integritas semua data yang terkirim
c. Menyediakan otentikasi terhadap pembeli sebagai pemegang kartu kredit untuk akun kartu pembayaran yang sah
d. Menyediakan otentikasi terhadap penjual yang mampu melayani transaksi elektronik melalui hubungannya dengan sebuah institusi keuangan yang terkait
e. Menjamin penggunaan layanan keamanan dan rancangan system terbaik untuk melindungi seluruh pihak yang terlibat transaksi
f. Menghindari ketergantungan terhadap mekanisme keamanan lain dan mencegah penggunaan mekanisme lain tersebut
g. Memfasilitasi dan mendukung pengugunaan perangkat lunak dan penyedia jaringan yang bervariasi.

2. Langkah-langkah Operasi SET

2.1. Mendapatkan sertifikat digital

SET menginginkan otentikasi yang jelas terhadap semua pihak yang berpartisipasi dalam transaksi elektronik.
Langkah-langkah operasi SET, pihak pembeli, penjual, dan Payment Gateway berhubungan dengan CA untuk mengajukan permohonan sertifikat.
Pesan awal dikirimkan oleh pembeli melalui paket perangkat lunak yang khusus dikeluarkan oleh SET. Pesan CInitReq menandakan apa yang pembeli inginkan, melakukan registrasi sertifikat digital, atau jika pembeli telah memiliki sertifikat, mendapatkan sertifikat tersebut.

Pihak CA akan merespon dengan memberikan pesan CInitRes yang berisi form pendaftaran atau sertifikat digital milik pembeli dan CRL, sehingga pembeli mengetahui jika sertifikatnya sudah kadaluwarsa.
Proses yang dialami oleh penjual dan Payment Gateway tidak berbeda dengan proses mendapatkan sertifikat digital untuk pembeli.

2.2. Melakukan transaksi pembelian

Setelah pembeli menetapkan hati dan memilih produk yang akan dibeli, proses transaksi pembelian pun dimulai. Pada saat pembeli menekan tombol beli, pada saat itu juga perangkat lunak di pihak pembeli, yang biasa dipanggil (wallet) mengirimkan pesan PInitReq kepada penjual. Pesan ini memberitahukan kepada penjual akan terjadi transaksi pembelian. Penjual merespon melalui pesan PInitRes yang berisi sertifikat yang berisi kunci public penjual dan Payment Gateways, Berikutnya, pihak pembeli memasukkan instruksi pembayaran (payment instruction/PI) dan informasi pembelian (order information/OI). informasi pembelian berisi keterangan mengenai produk yang dibeli. Sedangkan instruksi pembayaran berisi informasi keuangan seperti data kartu kredit dan total harga yang harus dibayar. Informasi pembayaran dienkripsi menggunakan kunci publik Payment Gateway dan informasi pembelian dienkripsi dengan kunci publik penjual. Dengan cara ini, semua pihak hanya mendapatkan informasi yang mereka butuhkan saja. Kedua informasi tersebut dikirim dalam satu pesan PReq.

Bagian yang cukup rumit adalah pemakaian dual digital signature untuk pesan ini. Setelah informasi pembayaran dan informasi pembelian masing-masing di-hash oleh pembeli dan dijadikan satu. Hasil hash gabungan itu kemudian di-hash sekali lagi. Hasilnya menjadi dual signature khas SET. Dual signature digunakan untuk menunjukkan ada dua item dalam satu pesan tersebut sehingga tidak ada informasi yang dapat hilang di tengah perjalanan. Setelah mendapatkan pesan Preq, penjual dapat mendekripsi informasi pembelian dan mengekstrak informasi pembayaran. Tanda tangan yang diberikan sekaligus menjadi bukti keabsahan pembeli. Transaksi hanya dilanjutkan bila verifikasi sertifikat pembeli berhasil. Jika transaksi berlanjut, penjual akan mengirimkan PRes yang berisi kode mengenai langkah-langkah yang dilak kan penjual sebelum meresponi transaksi lebih lanjut.

Pihak penjual mempunyai hak untuk menunda transaksi. Apabila ini terjadi, pembeli dapat mencoba untuk melanjutkan transaksi dengan mengirimkan InqReq yang berisi identitas transaksi yang tertunda. Pesan InqRes akan dikirimkan jika penjual hendak melanjutkan transaksi kembali. Pesan InqReq mungkin saja dikirimkan berulang kali sebelum penjual memberikan respon.

2.3. Pengesahan transaksi

Untuk mengesahkan transaksi, penjual mengirim AuthReq kepada Payment Gateway. Pesan ini berisi informasi pembelian yang telah di-hash oleh penjual dan pesan PReq yang dikirimkan oleh pembeli. Payment Gateway dapat mendekripsikan informasi pembayaran dan
membandingkan nilai hash informasi pembelian dan nilai hash yang dikirimkan penjual. Apabila terjadi kecocokan, Payment Gateway yakin jika pembeli dan penjual telah sepakat mengenai pembelian yang dilakukan.

Tugas Payment Gateway yang lain adalah melakukan pengesahan transaksi sesuai dengan kebijakan yang dimiliki oleh issuer kartu kredit. Jika segalanya sudah beres, Payment Gateway memberikan pesan AuthRes untuk penjual. Setelah mendapat izin tersebut, penjual melakukan langkah terakhir untuk menutup pembelian yang telah dilakukan.