Professional Documents
Culture Documents
591 1298 1 SM
591 1298 1 SM
Naskah diterima 13 Oktober 2015, diedit 21 Oktober 2015, disetujui 29 Oktober 2015
Abstract
The Trend of e-commerce in Indonesia is growing and developing rapidly. It is driven from demographic trends that exist in Indonesia. If the
electronic transaction business can be well managed business that will be a huge benefit to the economy. Currently e-commerce ecosystem in
Indonesia is still unfavorable. One of the obstacles in electronic transactions, namely related payments. This problem arises because the consumer
electronics business in Indonesia has yet to feel the ease and security in electronic transactions that affect their beliefs and attitudes. Related to this,
online businesses have started offering payment solutions that enable customers. Therefore it takes an electronic transaction conducive ecosystem to
support such solutions. In this case the Government is obliged to facilitate electronic transactions conducive ecosystem. In addition, the
implementation of the strategy also needed institutional electronic certificate to encourage the growth Ecosystem transasksi Electronic System
Operator reliability and performance as well as facilitate the Government in managing electronic certificate policy. This study aims to provide advice
to the government in the form of an implementation strategy ecosystems electronic transactions. The study was conducted using Soft System. Results
of this study provide advice to the Government related to the availability of infrastructure and institutional electronic certificates in electronic
transaction systems ecosystem as well as focus on the enforcement of existing regulations.
Abstrak
Tren perdagangan elektronis di Indonesia tumbuh dan berkembang cepat. Hal ini didorong dari tren demografis yang ada di
Indonesia. Apabila bisnis transaksi elektronik dapat dikelola dengan baik akan menjadi bisnis yang memberikan keuntungan sangat besar bagi
perekonomian. Saat ini ekosistem e-commerce di Indonesia masih kurang kondusif. Salah satu kendala dalam transaksi elektronik,
yaitu terkait pembayaran. Permasalahan ini timbul karena para konsumen bisnis elektronik di Indonesia belum merasakan kemudahan
dan keamanan dalam bertransaksi secara elektronik sehingga mempengaruhi kepercayaan dan sikap mereka. Terkait dengan hal
tersebut, para pelaku bisnis online sudah mulai menawarkan solusi pembayaran yang memudahkan konsumen. Oleh karena itu
dibutuhkan sebuah ekosistem transaksi elektronik yang kondusif untuk mendukung solusi tersebut. Dalam hal ini Pemerintah
berkewajiban untuk memfasilitasi ekosistem transaksi elektronik yang kondusif. Di samping itu, dibutuhkan juga strategi implementasi
kelembagaan sertifikat elektronik untuk mendorong tumbuh kembangnya Ekosistem Penyelenggara Sistem Transaksi Elektronik yang
terpercaya dan handal serta memudahkan Pemerintah dalam mengelola kebijakan sertifikat elektronik. Kajian ini bertujuan untuk
memberikan saran kepada pemerintah berupa strategi implementasi ekosistem transaksi elektronik. Kajian ini dilakukan dengan
menggunakan metode Soft System. Hasil kajian ini memberikan saran kepada Pemerintah terkait ketersediaan infrastruktur dan
kelembagaan sertifikat elektronik dalam ekosistem sistem transaksi elektronik serta fokus terhadap penegakkan hukum yang telah ada.
15
Jurnal Penelitian dan Pengembangan Komunikasi dan Informatika
Volume 6 No. 2 November 2015 ISSN: 2087-0132
16
Ekosistem Penyelenggaraan Sertifikat Elektronik Dalam Sistem Perdagangan Elektronik
Ahmad Budi Setiawan
perusahaan, dan dapat diaplikasikan hampir di setiap jenis harga barang kepada acquiring merchant bank
hubungan bisnis. E-commerce mengijinkan produsen untuk yang ditujukan kepada e-merchant.
menjual produk-produk dan jasa secara online. Calon 5. Setelah proses pembayaran selesai kemudian
pelanggan atau konsumen dapat menemukan website diikuti dengan proses pemenuhan prestasi oleh
produsen,membaca dan melihat produk-produk, memesan pihak e-merchant berupa pengiriman barang
dan membayar produk-produk secara online. Pada website sesuai dengan kesepakatan mengenai saat
whatis.com terdapat pengertian e-commerce yaitu penyerahan dan spesifikasi barang.
berhubungan dengan pembelian dan penjualan barang
atau jasa melalui internet khususnya World Wide Web.
17
Jurnal Penelitian dan Pengembangan Komunikasi dan Informatika
Volume 6 No. 2 November 2015 ISSN: 2087-0132
terdaftar dalam daftar Lembaga Sertifikasi Keandalan salah satu algoritma kriptografi asimetris, yaitu
yang diterbitkan oleh Menteri (Pasal 62 PP PSTE). algoritma RSA. Adapun untuk standar tanda tangan
digital digunakan standar algoritma hashing, yaitu MD5,
SHA dengan panjang kunci (key length) 1024 bit.
(Choudhury, Bhatnagar, & Haque, 2002).
Konsep Soft Systems Methodology
18
Ekosistem Penyelenggaraan Sertifikat Elektronik Dalam Sistem Perdagangan Elektronik
Ahmad Budi Setiawan
usaha untuk menyimpulkan bahwa model sistem yang model audit Manajemen Sumber Daya Manusia (SDM),
dibangun merupakan representasi yang sah dari realitas dengan menggunakan metodologi sistem lunak (SSM).
yang dikaji sehingga dapat dihasilkan kesimpulan yang Penelitian dilakukan dalam dua tahap. Tahap pertama
meyakinkan dan valid (Eriyatno, 2012). Validasi yang adalah merancang model audit, menggunakan Strategic
digunakan dalam penelitian ini adalah face validity. Face Assumption Surfacing and Testing (SAST), dan Interpretatif
validity, yaitu pengukuran validitas dengan meminta Structural Modeling (ISM), melalui Focus Group Discussion
pendapat para pakar yang berpengetahuan tentang sistem, (FGD).
apakah model yang diajukan telah berperilaku yang wajar. Ketiga, terkait dengan Sertifikat Elektronik,
Teknik ini dapat digunakan dalam menentukan apakah penelitian yang pernah dilakukan oleh Ahmad Budi
logika dalam model konseptual dianggap benar dan Setiawan sebelumnya adalah Studi Standardisasi Sertifikat
hubungan input-output model beroperasi secara wajar. elektronik dan Keandalan Dalam Penyelenggaraan Sistem
Proses validasi dilakukan menggunakan pendapat pakar, Transaksi Elektronik (Setiawan, 2014). Dalam
untuk mengetahui kesesuaian dan kelayakan model serta penelitian tersebut juga menggunakan pendekatan Soft
kebenaran logika dan teori dalam model konseptual, yang System Methodology dengan tools Strategic Assumption
menjelaskan hubungan input-output model secara masuk Surfacing and Testing (SAST) sebagai alat analisa untuk
akal. Pemodelan sistem yang bertujuan menghasilkan model menentukan standar berikut kebijakan yang diambil oleh
kebijakan (policy model) adalah konvergensi dari logical para pemangku-kepentingan (stakeholder) dalam system
thinking process (Dettmer, 2007) dan soft system transaksi elektronik.
methodology-SSM (Checkland dan Poulter, 2006). Melalui
SSM learning models dirancang suatu model aktivitas yang Kerangka Kerja Penelitian
berorientasi tujuan (Purposeful Activity Models, PAM). Dalam konteks Soft System Methodology, menurut
Model aktivitas tersebut dapat diwujudkan ke dalam bentuk Jackson (2003), sistem adalah suatu keutuhan yang komplek di
model kelembagaan, model manajerial, atau model
mana kefungsiannya tergantung pada bagian-bagian dan
finansial. Input pemodelan system dapat diperoleh dari interaksi antar bagian tersebut. Pemikiran sistematis dalam
berbagai analisis, seperti Analytical Network Process (ANP),
konteks penyelesaian permasalahan yang kompleks adalah
Analytical Heirarchy Process (AHP), atau Interpretative
pemikiran mengenai hubungan keterkaitan, konteks/
Structural Modeling (ISM) serta matriks kebijakan lainnya.
lingkungan dengan memberikan penekanan yang lebih pada
Penelitian yang Pernah Dilakukan hubungan interaksi dari masing-masing unsur atau bagian-
bagian secara utuh daripada masing-masing unsur dan bagian-
Penelitian yang pernah dilakukan dan relevan bagian tersebut namun secara terpisah dan lebih fokus pada
sebagai pembanding dalam penelitian ini, yaitu: pendekatan proses sebagai pendekatan dalam pemecahan
Pertama, penelitian yang dilakukan oleh Agus permasalahan yang kompleks. Konsep pemecahan masalah
Riyanto, Eriyatno, Bomer Pasaribu, Agus Maulana kompleks dengan pendekatan sistem lunak dapat diilustrasikan
dengan judul penelitian “Perancangan Model Integrasi dalam Gambar 5 berikut ini.
Manajemen Kebijakan Outsourcing dalam Perspektif
Hubungan Industrial”, Tahun 2014 (Riyanto, Eriyatno,
Pasaribu, Maulana, 2014). Penelitian tersebut bertujuan
untuk merancang model integrasi manajemen kebijakan
outsourcing dalam perspektif hubungan industrial untuk
menciptakan harmonisasi aspek sosial budaya, ekonomi,
dan hukum. Penelitian tersebut dilakukan dengan Metode
Soft System Methodology (SSM). Data dikumpulkan
melalui Focus Group Discussion (FGD), In Depth Interview
(IDI) dan survei pakar. Teknik analisis menggunakan
analisis CATWOE (Customer, Actor, Transformation, World Gambar 5. Skema Kerangka Kerja Penelitian
view, Owner, Environment Constraint),Business Process
Management (BPM), Analytical Network Process (ANP), 1) Fase Masukan
Strategic Assumption Surfacing and Testing (SAST). Model
Fase ini dilakukan inventarisasi permasalahan yang
dirancang melalui SSM Learning Model yang bertujuan
muncul dalam kaitan implementasi sebuah standarisasi.
untuk merancang Purposeful Activity Models (PAM).
Adanya kebijakan yang akan dikeluarkan dan disertai
Kedua, penelitian berikutnya adalah yang dilakukan dengan permaslahan yang akan muncul jika kebijakan
oleh Willy Susilo, Eriyatno, M. Joko Affandi dan D. Agus tersebut diimplementasikan akan dianalisis lebih lanjut.
Goenawan (Susilo, Eriyatno, Affandi, Goenawan, 2011). Analisis yang dilakukan melibatkan seluruh faktor yang ada
Judul penelitian tesebut adalah “Rancang Bangun Model pada lingkungan dimana kebijakan tersebut akan
Audit Manajemen Sumber Daya Manusia, Menggunakan diimplementasikan. Dalam rangka inventarisasi
Pendekatan Sistem”. Penelitian ini menggunakan permasalahan dapat juga dilakukan studi perbandingan dan
metodologi sistem lunak (Soft System Methodology). juga studi terhadap literature yang terkait.
Tujuan dari penelitian tersebut adalah untuk merancang
19
Jurnal Penelitian dan Pengembangan Komunikasi dan Informatika
Volume 6 No. 2 November 2015 ISSN: 2087-0132
2) Proses Transformasi
Merupakan proses sintesis dan sinergi data/
informasi/pengetahuan untuk memahami permasalahan
secara komprehensif. Pemahaman permasalahan secara
komprehensif dapat melibatkan berbagai stakeholder
atau yang mewakilkan yang terlibat dalam lingkungan
implementasi kebijakan secara terpadu. Proses tersebut
dilakunan dengan Soft System Methodology (SSM).
3) Fase Keluaran
Fase tersebut adalah pemahaman terhadap Gambar 6. Alur Kerangka Kerja Penelitian
permasalahan dan tersedianya keputusan terhadap
pemecahan sebuah permasalahan. Hasil dalam fase ini
dapat berupa rekomendasi, strategi ataupun model yang
HASIL PENELITIAN DAN PEMBAHASAN
dijadikan kerangka berpikir dalam penyelesaian
permasalahan. Terhadap hasil fase tersebut dilakukan
Model Penyelenggara Sertifikat Elektronik
umpan balik/verifikasi berupa penilaian dari ahli/pakar
yang berkompeten. Penyelenggara Sertifikat Elektronik atau Certification
Authority (CA) dapat dihubungkan dengan menggunakan
Metode Penelitian dua arsitektur dasar atau hibrida (gabungan dari dua model
a. Pendekatan Penelitian dasar). Kedua model dasar tersebut antara lain: (1) hirarkis
Penelitian ini menggunakan pendekatan Soft dan (2) cross-certified atau lintas-sertifikat (shared trust).
System Methodology (SSM), yaitu sebuah pendekatan Dalam model hirarkis, tingkat tertinggi (atau “Root”) PSrE
holistik di dalam melihat aspek-aspek riil dan konseptual atau dikenal dengan PSrE induk dikerahkan dan bawahan
di masyarakat. SSM melihat setiap yang terjadi sebagai PSrE dapat diatur untuk berbagai bisnis unit, domain atau
Human Activity System, karena serangkaian aktivitas komunitas minat. Root CA memvalidasi bawahan PSrE, yang
manusia dapat disebut sebagai sebuah sistem, yaitu pada gilirannya masalah sertifikat untuk menurunkan
setiap aktivitas-aktivitas tersebut saling berhubungan tingkat CA atau langsung ke pelanggan. PSrE induk memiliki
dan membentuk suatu ikatan. Untuk memperoleh data persyaratan keamanan yang lebih ketat daripada PSrE
dan informasi dilakukan penelitian langsung di lapangan bawahan. Meskipun sulit bagi penyerang untuk mengakses
dengan metode wawancara melalui wawancara PSrE induk (yang dalam beberapa implementasi hanya
mendalam (deep interview) dan survei pakar. secara online dalam peristiwa langka bahwa ia harus
Berdasarkan kepakaran yang dimiliki, dapat digali mengeluarkan, memperbarui, atau mencabut sertifikat
asumsi yang paling signifikan berpengaruh terhadap hal- PSrE CA bawahan), salah satu kelemahan model ini adalah
hal yang penting dan kritikal dalam proses penyusunan bahwa PSrE induk merupakan titik tunggal kegagalan.
maupun perumusan program, kegiatan dan inisiatif. Kepatuhan terhadap kebijakan yang ditetapkan dapat diuji
Pemeringkatan asumsi dilakukan berdasarkan: melalui audit dari bawahan PSrE dan, dalam beberapa
1) Seberapa penting pengaruh asumsi tersebut kasus, Otoritas Pendaftaran (Registartion Authority).
terhadap keberhasilan atau kegagalan penerapan Gambar berikut menggambarkan struktur dan hubungan
kebijakan standardisasi sertifikasi elektronik dan antar otoritas sertifikasi dan pelanggan yang beroperasi
sertifikasi keandalan di model hirarkis.
2) Seberapa jauh keyakinan bahwa asumsi tersebut
dapat dibenarkan
b. Tahapan Penelitian
Metode SSM yang digunakan dalam merancang
bangun model adalah SSM Learning Models yang bertujuan
mendesain Purposeful Activity Models (PAM) dengan
menerapkan logical thinking process (Dettmer, 2007).
Penelitian ini dilaksanakan dalam beberapa tahapan, yaitu
(1) studi pustaka (studi literatur) untuk menentukan
ruang lingkup penelitian, (2) survei pengumpulan data di Gambar 7. CA Model Hirarkis
beberapa lokasi yang ditentukan serta survei pakar untuk
mengakuisisi pengetahuan thinking respondent secara Dalam model alternatif, PSrE model cross-
purposive sampling (Cooper dan Schindler, 2008). bersertifikat yang dibangun di atas model “peer-to-peer”.
Tahap survei pakar yang dilakukan melalui Daripada menyebarkan PSrE induk (Root CA) secara
wawancara mendalam dan diskusi terfokus (FGD). umum, kepercayaan lintas sertifikasi saham Model
Gambar berikut ini adalah skema motode penelitian yang antara CA diketahui satu sama lain. Cross-certification
dilakukan: adalah proses di mana dua CA menyatakan kepercayaan
sertifikat yang lain. Jika dua PSrE, PSrE 1 dan PSrE 2, dalam
20
Ekosistem Penyelenggaraan Sertifikat Elektronik Dalam Sistem Perdagangan Elektronik
Ahmad Budi Setiawan
model cross-sertifikasi, PSrE 1 menciptakan dan digital bisnis telah berkembang. Usulan model bisnis PSrE di
menandatangani sertifikat yang berisi kunci publik dari Indonesia adalah tampak seperti Gambar 9.
PSrE 2 (dan sebaliknya). Akibatnya, pengguna baik domain
PSrE yakin bahwa setiap PSrE mempercayai pelanggan lain PSrE induk
dan oleh karena itu dalam setiap domain dapat memercayai (root CA)
satu sama lain. PSrE model Cross-bersertifikat tidak tunduk
pada titik tunggal kegagalan dalam model hirarkis. Namun,
jaringan hanya sekuat terlemah CA, dan membutuhkan
kebijakan yang terus-menerus. Pada model cross- PSrE Pemerintah PSrE Swasta
bersertifikat, untuk membangun dan mempertahankan PSrE Pemerintah
PSrE Pemerintah
PSrE Swasta
PSrE Swasta
sebuah komunitas kepercayaan, audit dapat dilakukan PSrE Pemerintah PSrE Swasta
21
Jurnal Penelitian dan Pengembangan Komunikasi dan Informatika
Volume 6 No. 2 November 2015 ISSN: 2087-0132
bukan tanda tangan pasangan kunci. Kemudian pelanggan tanda tangan elektronik untuk memastikan identitas dan
menghasilkan bukti identitas sesuai dengan yang berlaku status subjek hukum pemilik tanda tangan tersebut
sertifikat persyaratan kebijakan dan menunjukkan bahwa ia selama keberlakuan tanda tangan elektronik. Tujuan
memegang kunci pribadi yang sesuai dengan kunci utama yang diperankan PSrE yaitu menerbitkan
repository tanpa mengungkapkan kunci pribadi. Hal ini sertifikat elektronik atas tanda tangan elektronik.
biasanya dilakukan dengan menandatangani data secara Dengan demikian, identitas dan status subjek hukum
digital menggunakan kunci pribadi, dengan tanda tangan pemilik tanda tangan dipastikan ketika diterbitkannya
digital milik pelanggan kemudian diverifikasi oleh PSrE. sertifikat elektronik. Secara umum bentuk organisasi
Setelah hubungan antara orang dan sebuah kunci repository PSrE harus memiliki elemen-elemen, antara lain:
diverifikasi, PSrE mengeluarkan sertifikat. PSrE secara
digital menandatangani setiap sertifikat yang mengeluarkan 1. Berbentuk badan hukum Indonesia dan beroperasi di
dengan kunci pribadi untuk menyediakan sarana untuk Indonesia, serta memiliki izin operasi PSrE dari
menetapkan keaslian dan integritas sertifikat. Menteri Komunikasi dan Informatika berdasarkan
pertimbangan dan usulan dari TPPSE;
Selanjutnya PSrE memberitahukan pelanggan dari 2. Memiliki peran cross border, berarti hukum
penerbitan sertifikat dan memberikan pelanggan nasional mengatur keberadaan PSrE yang ada
kesempatan untuk meninjau isi sertifikat sebelum sebagai subjek hukum di Indonesia dan hukum
dipublikasikan. Dengan asumsi pelanggan setujui nasional mengakui eksistensi keberadaan PSrE
keakuratan sertifikat, pelanggan akan menerbitkan internasional yang eksis sesuai hukum tempat
sertifikat dan/atau memiliki PSrE yang menerbitkannya domisili PSrE tersebut;
dan membuatnya tersedia untuk pengguna lain.
Repositori adalah database sertifikat elektronik yang 3. Sebagai subjek hukum, PSrE sebagai pihak ketiga
tersedia secara online. Repositori dapat dipertahankan terpercaya yang memberikan kepastian/
oleh PSrE atau pihak ketiga yang dikontrak untuk tujuan pengesahan identitas pelanggan dan pengesahan
itu, atau oleh pelanggan, atau oleh pihak lain. Pelanggan pasangan kunci publik dan kunci pribadi;
dapat memperoleh sertifikat dari pelanggan lain dan 4. Layanan PSrE terbuka dan dapat diakses oleh
informasi status sertifikat dari repository. Sebagai contoh, seluruh aplikan (pemohon) yang membutuhkan
jika sertifikat pelanggan yang dicabut, repository PSrE;
akan menunjukkan bahwa sertifikat pelanggan telah 5. Independen dan tidak memihak;
dicabut dan tidak boleh diandalkan. Kemampuan untuk 6. Memiliki fungsi manajemen dalam sistem
memperbarui repository biasanya disimpan oleh PSrE. operasinya sesuai kriteria sertifikasi SNI yang
Pelanggan dan pihak lain akan mengakses secara read-only dipersyaratkan dan memenuhi persyaratan/
access ke repository. Karena sertifikat yang tersimpan dalam kesesuaian standar manajemen (ISO/IEC 27001:
repository digital ditandatangani oleh CA, maka 2005, Information Technology - Security Technique
Information Security Management System
mereka tidak dapat melakukan tindakan kejahatan dengan
Requirement), yaitu:
cara mengubah tanpa deteksi, bahkan jika ada orang yang a. Policy Authority yang bertanggung jawab
hack ke dalam repository. Gambar berikut menggambarkan menetapkan kebijakan tertulis Certificate Policy
hubungan antara pelanggan dan fungsi RA dan CA. (CP) dan Certification Practice Statement
(CPS), serta melakukan management review
untuk mengevaluasi dan melakukan perbaikan
terhadap pelaksanaan CPS;
b. Registration Authority yang bertanggung
jawab memverifikasi data identitas pemegang
sertifikat dan memvalidasi kebenarannya;
c. Certificate Issuer bertanggung jawab
menerbitkan kunci kriptografi atau
memvalidasi kunci kriptografi apabila kunci
tersebut diterbitkan oleh pihak lain, serta
melaksanakan pembuatan, pembubuhan tanda
tangan PSrE dan publikasi serta pemeliharaan
Sertifikat Digital (SD);
d. Repository Service yang bertanggung jawab
mempublikasikan CP, CPS, SD dan revocation
status bulletin, baik melalui repository yang
Gambar 10. Relasi antara CA dengan RA dimiliki oleh PSrE maupun oleh pihak lain;
e. Revocation Management yang bertanggung
Penyelenggara Sertifikat Elektronik untuk jawab mengawasi penyalahgunaan SD,
Meningkatkan Keamanan Transaksi Elektronik menyelidiki kebenaran pengaduan yang
Penyelenggara Sertifikasi Elektronis (PSrE), menurut diterima, menentukan langkah-langkah yang
UU ITE, adalah subjek hukum yang berfungsi sebagai pihak harus dilakukan sehubungan dengan
ketiga yang layak dipercaya untuk menyelenggarakan pembekuan atau pembatalan SD, serta
menyusun revocation status bulletin.
22
Ekosistem Penyelenggaraan Sertifikat Elektronik Dalam Sistem Perdagangan Elektronik
Ahmad Budi Setiawan
7. Status personal badan hukum PSrE tunduk Keberadaan PSrE harus diawasi secara intensif
sepenuhnya kepada hukum Indonesia; karena produk-produk PSrE memiliki nilai evidence.
8. Personal CA harus orang yang kompeten, Pengawasan PSrE diperlukan untuk mendapat kepastian
memenuhi kualifikasi dan terlatih, hukum dan melindungi kepentingan masyarakat dari risiko
bersertifikat/lisensi untuk kriteria teknis tertentu, kerugian akibat perbuatan PSrE yang tidak bertanggung
menguasai teknis SNI terkait, komunikatif lisan jawab. Dalam implementasinya, pengawasan PSrE
dan tertulis, bebas dari konflik kepentingan. dilakukan oleh sebuah Tim ad-hoc yang dibentuk oleh
PSrE merupakan institusi yang menyediakan Kementerian Komunikasi dan Informatika. Tim Pengawas
sertifikat digital (Penyelengara Sertfikasi Elektronik/ Penyelenggara Sertifikat Elektronik (TPPSE), secara umum
Certification Authority) untuk memfasilitasi sistem bertugas mengawasi, mengendalikan, berfungsi sebagai
keamanan transaksi online (Internet) dengan Digital PSrE induk (Root CA) dan memberikan pertimbangan serta
Signature dan Public Key Encryption. Selain tujuan utama mengusulkan penerbitan atau pencabutan izin operasi PSrE
tersebut, PSrE dapat menyediakan pelayanan-pelayanan kepada Menteri Komunikasi dan Informatika.
lainnya yang bertujuan untuk menunjang penyelenggaraan PSrE induk adalah sebuah lembaga/unit yang berfungsi
tanda tangan elektronik agar mampu mengikuti evolusi menandatangani kunci publik (digital certificate) CA,
teknologi, misalnya dengan menyediakan jasa time stamping, mengatur dan menjalankan proses cross PSrE. Berdasarkan
PP PSTE Pasal 61, dijelaskan bahwa Penyelenggara
jasa pembuatan kunci publik, pengarsipan elektronis dan
lain-lainnya. Sebagai pihak ketiga terpercaya, PSrE dapat sertifikasi elektronik yang beroperasi di Indonesia wajib
memberikan jaminan keamanan meliputi: memperoleh pengakuan dari Menteri. Pengakuan
1. Memiliki kebijakan keamanan (Security Policy) sebagaimana dimaksud, terdiri atas tingkatan, yaitu; (a).
terdaftar, (b). tersertifikasi; atau (c). berinduk. Adapun yang
yang memadai;
dimaksud dengan “penyelenggara sertifikasi elektronik
2. Memiliki prosedur dan mekanisme yang dapat yang memperoleh pengakuan status berinduk” adalah
mendeteksi jika terjadi masalah keamanan dan penyelenggara sertifikasi elektronik yang menerbitkan
mengatasinya dengan menyempurnakan prosedur
Sertifikat Elektronik dengan menggunakan Tanda Tangan
dan mekanisme tersebut;
Elektronik Root Certification Authority yang dikeluarkan
3. Memiliki peraturan-peraturan dan tanggung oleh Menteri. Terdapat 2 (dua) jenis pengawasan yang
jawab yang dapat menjadi acuan bahwa harus dilakukan terhadap PSrE yaitu pengawasan teknis
operasional PSrE telah dijalankan dengan benar; dan pengawasan operasional. Agar pengawasan PSrE
4. Memiliki prosedur dan media untuk efektif, pengawasan teknis dan pengawasan operasional
berkomunikasi dengan para pengguna; harus merupakan suatu kesatuan pengawasan yang
5. Menjalankan peraturan dan prosedur secara menyeluruh.
konstan sesuai dengan level kepercayaan yang
A. Pengawasan Teknis
telah ditetapkan;
6. Kualitas dari prosedur operasional dan layanan yang Pengawasan Teknis bersifat preventif, yaitu
diberikan telah di sertifikasi oleh Lembaga Sertifikasi pelaksanaan penilaian kesesuaian oleh LS- PSrE untuk
– PSrE (LS-PSrE); membuktikan bahwa suatu PSrE telah memenuhi
7. Menuangkan dengan jelas hak dan tanggung jawab persyaratan yang ditetapkan. Penilaian kesesuaian yang
PSrE dan penggunaannya dalam kontrak dilakukan LS- PSrE merupakan suatu kombinasi fungsi
berlangganan; pengujian dan audit serta evaluasi dan pengambilan
keputusan yang diterapkan bagi kategori PSrE. Produk
8. Memiliki pemahaman yang jelas antara PSrE penilaian kesesuaian ini adalah Certificate of Conformity
dengan penggunanya atas tanggung jawab masing- (sertifikat kesesuaian) dan Mark of Conformity (tanda
masing pihak; kesesuaian). Penilaian kesesuaian mempunyai fungsi
9. Sesuai dengan peraturan perundangan yang berlaku; seleksi, determinasi, peninjauan dan pengesahan serta
10. Telah mengidentifikasikan dengan jelas kemung- pengawasan.
kinan adanya ancaman keamanan dan cara 1. Fungsi seleksi dalam penilaian kesesuaian akan
mengatasinya; digunakan untuk:
11. Melakukan penilaian risiko (Risk Assesment)
a. Membuktikan kemampuan PSrE memenuhi
secara berkala;
persyaratan, antara lain PSrE sesuai dengan
12. Memiliki organisasi dan sumber daya manusia kriteria penilaian CP, CPS, PKI-Key Management
(SDM) yang sesuai dengan layanan PSrE dan level Life Cycle, SD Management Life Cycle, manajemen
kepercayaan yang telah ditetapkan; operasi PSrE, dan tanggung jawab organisasi;
13. Level kepercayaan dari PSrE dapat diturunkan b. Penentuan metode audit serta pengujian
kepada sebuah Sub PSrE namun tetap dapat fasilitas dan proses pembuatan SD;
dilakukan proses pengecekan dan klarifikasi;
c. Pengumpulan informasi yang relevan untuk
14. Kondisi bahwa PSrE selalu dimonitor dan diawasi pelaksanaan fungsi determination.
oleh Tim Pengawas Penyelenggara Sertifikat
Elektronik-TPPSE agar tetap sesuai dengan 2. Fungsi determinasi dalam penentuan kesesuaian
dapat berupa kombinasi sejumlah kegiatan yaitu:
peraturan yang telah ditetapkan.
23
Jurnal Penelitian dan Pengembangan Komunikasi dan Informatika
Volume 6 No. 2 November 2015 ISSN: 2087-0132
a. Audit serta pengujian fasilitas dan proses Analisa Implementasi Ekosistem Sertifikat
pembuatan SD serta teknologi appraisal Elektronik
teknologi yang dipergunakan;
b. Pengujian sampel SD; Metode SSM berfokus untuk menciptakan sistem
aktivitas dan hubungan manusia dalam sebuah organisasi
c. Audit teknik keamanan teknologi informasi
(TI) dan sistem manajemen; atau kelompok dalam rangka mencapai tujuan bersama.
Berpikir dengan sistem merupakan suatu bidang
d. Audit sistem manajemen mutu yang
diterapkan pada semua lingkup jasa PSrE. transdisiplin yang muncul sebagai respon terhadap
keterbatasan dari pendekatan teknikal dalam proses
3. Fungsi peninjauan dan pengesahan, yaitu:
reduksi untuk memecahkan masalah. Pemikiran sistem
a. Evaluasi semua informasi dan data yang dalam konteks pemecahan masalah yang kompleks adalah
dihasilkan oleh fungsi determinasi; pemikiran mengenai keterkaitan, konteks/ lingkungan
b. Pengambilan keputusan; dengan memberikan penekanan lebih pada hubungan
c Penerbitan SD atau tanda kesesuaian; interaksi dari unsur-unsur/bagian-bagian secara utuh
4. Fungsi pengawasan diperlukan untuk memastikan daripada unsur-unsur/bagian-bagian secara terpisah dan
bahwa PSrE mampu memelihara dan lebih fokus pada proses sebagai pendekatan dalam
mengendalikan produk agar tetap sesuai dengan pemecahan permasalahan yang kompleks.
persyaratan serta dapat berupa kombinasi Dalam langkah pengembangan model, dapat diawali
sejumlah kegiatan, tergantung pada skema yang dengan menggunakan pendekatan rich picture untuk
diterapkan, seperti: menstrukturkan situasi permasalahan atau suatu kondisi
a. Pengujian atau inspeksi sampel SD; berkaitan dengan standarisasi sertifikat elektronik dan
b. Inspeksi sampel SD yang telah beredar; sertifikat keandalan dalam penyelenggaraan system
transaksi elektronik, baik dari aspek standarisasi, peran
c. Audit dan pengujian ulang fasilitas dan proses kelembagaan, hubungan lintas pemangku kepentingan,
pembuatan SD;
proses transformasi, cara pandang dan ekosistem.
d. Audit Keamanan TI dan Sistem Manajemen Kompleksitas perihal tujuan, fungsi dan peran para
Mutu yang diterapkan. pemangku kepentingan (stakeholder) dalam implementasi
Dalam hal ini fungsi pengawasan tidak perlu standarisasi sertifikat elektronik dan keandalan dapat
dilakukan secara komprehensif sebagaimana saat dirancang rich picture seperti ditunjukan pada Gambar 11.
penilaian awal. berikut ini.
B. Pengawasan Operasional
24
Ekosistem Penyelenggaraan Sertifikat Elektronik Dalam Sistem Perdagangan Elektronik
Ahmad Budi Setiawan
terstruktur, dan komprehensif implementasinya dalam Berdasarkan rich picture dan analisis dengan proses
perspektif sistem transaksi elektronik. Mengacu pada CATWOE, dihasilkan rumusan root definition (RD) sebagai
kajian yang telah dilakukan sebelumnya (Setiawan, berikut: “Sistem transaksi elektronik terpadu melibatkan
2014), hasil analisis teridentifikasi pihak yang peran pihak yang terkait, dalam merencanakan implementasi
berkepentingan, kebutuhan para pihak, aktivitas untuk standarisasi transaksi elektronik yang efektif pada masing-
pencapaian tujuan serta kendala yang dapat diantisipasi masing pihak, dan melakukan pengelolaan aktivitas secara
dalam model, seperti ditunjukkan pada Tabel berikut ini. tepat dan efesien, serta melakukan pengendalian yang baik
dan terintegrasi dengan membangun komunikasi dan
Tabel 1. melaksanakan kebijakan UU dan regulasi terkait serta
Hasil Analisis Proses CATWOE pada Sistem standarisasi untuk membangun sistem transaksi elektronis
Transaksi Elektronik yang terpercaya agar tercipta iklim bisnis yang harmonis
dan kondusif”. Untuk menemukan solusi dirancang model
Cutomer aktivitas dalam purposefull activity model (PAM) yang
1. Industi keuangan dan Perbankan strukturnya telah didiskusikan dengan pakar dan para
pemangku kepentingan. Aktivitas yang dibangun dalam
2. Perusahaan penyedia jasa model untuk resolusi konflik dengan integrasi
telekomunikasi/ISP/ Operator kelembagaan dalam sistem transasksi eektronik serta
3. Pelaku bisnis yang menggunakan optimalisasi fungsi pengendaliannya. Pemahaman
transaksi elektronik terhadap regulasi dan standarisasi terkait lainnya dalam
Actor - Owner implementasi kebijakan standarisasi sertifikasi sistem
1. Pelaku bisnis yang menggunakan elektronik dapat meningkatkan keamanan dan
transaksi elektronik (PSE) harmonisasi iklim bisnis dengan transaksi elektronik.
2. Industi keuangan dan Perbankan Integrasi Ekosistem Sertifikasi Elektronik
3. Perusahaan penyedia jasa
telekomunikasi/ISP/ Operator Model manajemen terintegrasi melibatkan beberapa
sektor pemerintah yang terkait dan mengintegrasikan
4. Pemerintah, selaku Regulator setiap pihak pemangku kepentingan (stakeholder), yang
Transformation terdiri dari unsur pemerintah, Penyelenggara Sistem
1. pemerintah melaksanakan UU yang terkait, dan Elektronik, komunitas yang menaungi Penyelenggara
komitmen pada perlindungan keamanan Sistem Elektronik, Lembaga Audit dan Akreditasi serta
informasi dalam transaksi elektronik serta Lembaga Sertifikasi Penyelenggara Sistem Elektronik, serta
melakukan audit kepatuhan masyarakat. Pemangku kepentingan dari unsur pemerintah,
2. menyediakan infrastruktur dan kelembagaan: setidaknya terdapat 3 (tiga) instansi yang terlibat, yaitu:
Lembaga Penyelenggara Sertifikat Elektronik Kementerian Kominfo, BI dan OJK serta Kementerian
(PSrE) atau certificate of authority (CA) Perdagangan. Unsur pemerintah mengeluarkan berbagai
3. membangun iklim kesadaran pada masyarakat regulasi yang terkait dengan penyelenggaraan ekosistem
mengenai pentingnya keamanan informasi perdagangan sistem elektronik dengan memanfaatakan
dalam transaksi elektronik sertifikat elektronik. Regulasi yang dikeluarkan bersifat
4. membangun pusat data dan DRP (Disaster mengikat kepada setiap entitas yang terlibat dalam
Recovery Plan) ekosistem setiap entitas yang terlibat dalam ekosistem
5. melibatkan komunitas dan profesional perdagangan elektronik. Mengingat adanya keterkaikan
dalam hal regulasi yang dikeluarkan, maka harus ada
6. mengembangkan inkubator industri CA di
Indonesia yang menggunakan standarisasi koordinasi antar masing-masing instansi terkait.
milik bangsa Regulasi yang dikeluarkan dapat berupa Undang-
World View Undang, Peraturan Pemerintah dan juga Regulasi Teknis
1. Penerapan standar dan kebijakan yang tepat (standard). Standard teknis Penyelenggaraan Sistem
Transaksi Elektronik, Sertifikat Elektronik dan Sertifikat
2. Kesejahteraan, keamanan dan keberlanjutan bisnis Keandalan dapat merujuk pada standardisasi yang sudah
PSE
ada dan berlaku secara umum. Namun demikian, harus
3. Iklim usaha kondusif dilakukan penyesuaian terhadap kondisi yang ada. Lembaga
4. Terciptanya Kelembagaan PSrE audit dan akreditasi berperan dalam mengaudit untuk
sebagai penyelenggara CA memberikan penilaian (assess) terhadap Penyelenggara
Environment Constraint Sertifikasi Elektronik. Tujuan dilakukannya audit dan
1. Kurangnya komunitas dan asosiasi di bidang TI penilaian adalah untuk menilai kepatuhan setiap entitas
yang terlibat dalam ekosistem perdagangan elektronik
2. Masih tingginya e-literacy di masyarakat
terhadap regulasi dan standar yang berlaku. Lembaga Audit
3. Rendahnya kesadaran masyarakat akan dan Akreditasi melakukan kegiatan audit berdasarkan
transaksi elektronik yang aman regulasi dan standar yang dikeluarkan oleh Pemerintah.
4. Kebijakan/regulasi dan standarisasi yang sudah Setelah dilakukan proses audit dan penilaian, maka
ada tidak didukung dengan tumbuhnya dikeluarkan akreditasi terhadap institusi Penyelenggara
ekosistem bisnsis PSrE yang kondusif Sertifikasi Elektronik. Akreditasi tersebut dapat
membuktikan bahwa Penyelenggara Sertifikasi
25
Jurnal Penelitian dan Pengembangan Komunikasi dan Informatika
Volume 6 No. 2 November 2015 ISSN: 2087-0132
Elektronik (PSrE) layak untuk memberikan layanan Adanya model ekosistem sertifikat elektronik dalam
kepada Penyelenggara Sistem Elektronik. Penyelenggara transaksi elektronik dapat memperjelas tata hubungan
Sistem Transaksi Elektronik (PSTE) memberikan layanan dan kewajiban serta tanggung jawab dari masing-masing
secara langsung kepada masyarakat dan konsumen yang stakeholder. Lebih lanjut, berdasarkan hasil analisis
ingin melakukan transaksi secara elektronik atau on-line. menggunakan dalam kajian yang telah dilakukan, maka
Dalam penelitian sebelumnya (Setiawan, 2014), telah dapat diusulkan langkah-langkah yang dapat ditempuh
diusulkan integrasi Ekosistem Sertifikat Elektronik oleh para stakeholder secara hierarkis tabel di bawah ini
seperti pada gambar berikut ini. menunjukkan saran dan usulan langkah-langkah untuk
stakeholder berdasarkan resume hasil analisis penelitian.
Hasil analisis penelitian menunjukkan bahwa
terdapat 4 (empat) langkah usulan direktif dalam tata kelola
sistem transaksi elektronik yang dikaitkan dengan isu
strategis pada masing-masing tingkatan. Regulasi yang
harus diacu dalam pengembangan ekosistem antara lain
seperti: UU 11/2008 tentang ITE, PP PSTE, UU 36/1999
tentang Telekomunikasi dan PP 52/2000, ISO/SNI 19-7125-
2005. Sementara itu pada tingkatan strategik, terkait
dengan penyediaan kebijakan teknis untuk sertifikasi
elektronik dan ekosistem bisnis yang kondusif. Adapun
pada tingkatan taktikal mengatur hal-hal koordinasi tingkat
kebijakan dan operasional pada tingkatan lebih dasar dan
pada tingkatan teknis dan operasional lebih fokus mengatur
pada hal-hal ketersediaan infrastruktur dan dukungan
teknis operasional.
Tabel 2.
Resume Penelitian Untuk Usulan Direktif Bagi Pemangku Kebijakan
26
Ekosistem Penyelenggaraan Sertifikat Elektronik Dalam Sistem Perdagangan Elektronik
Ahmad Budi Setiawan
27
Jurnal Penelitian dan Pengembangan Komunikasi dan Informatika
Volume 6 No. 2 November 2015 ISSN: 2087-0132
Dettmer, H. W. (2007). The Logical Thinking Process: a Riyanto, Agus., Eriyatno., Pasaribu, Bomer., Maulana, Agus.
Systems Approach to Complex Problem Solving. (2014). Perancangan Model Integrasi Manajemen
Milwaukee, Wisconsin (US): ASQ Quality Press. Kebijakan Outsourcing dalam Perspektif Hubungan
Eriyatno. (2013). Ilmu Sistem: Meningkatkan Integrasi dan Industrial. Jurnal Manajemen Teknologi. Vol.13,
Koordinasi Manajemen. Jilid Dua, Edisi pertama. No.1, pp. 79-93. Unit Research and Knowledge,
Larasati L, editor. Surabaya (ID): Penerbit Guna School of Business and Management - Institut
Widya. Teknologi Bandung (SBM-ITB).
Eriyatno, & Sofyar, F. (2007). Riset Kebijakan:Metode Setiawan, Ahmad Budi., Studi Standardisasi Sertifikat
Penelitian untuk Pascasarjana. Bogor (ID): IPB Press. Elektronik dan Keandalan dalam Penyelenggaraan
Fleischmann, Amy. (1995). Personal Data Security: Sistem Transaksi Elektronik. (2014). Buletin Pos dan
Divergent Standards in the European Union and Telekomunikasi Vol. 12 No. 2, pp. 119-134.
the United States. Fordham International Law Sumber Lain
Journal. Volume 19, Issue 1. Article 7.
Flood Jackson. (1991). Creative Problem Solving:Total Departemen Komunikasi dan Informatika. (2006). Naskah
Systems Interventions. Wiley & Sons, Chichester,UK. Akademik Rancanan Undang-Undang Informasi dan
GIAC Security Essentials Certification (GSEC). (2004). Transaksi Elektronik. Jakarta: Indonesia.
Information security management system (BS7799- International Organization for Standardization/
2:2002) implementation overview. GSEC Practical International Electrotechnical Commission.
Requirements (v.1.4). SANS Institute. (2000). International Standard ISO/IEC 17799:
Jackson, M. C. (2003). System Thinking: Creative Holism Information technology - Code of practice for
for Managers”. John Wiley & Sons, New York. information security management. Geneva: ISO.
JTC 1 TAG. (2002). Frequently Asked Questions: International Organization for Standardization/
International Standard ISO/IEC 17799:2000 Code International Electrotechnical Commission. (1996)
of Practice for Information Security Management. International Standard ISO/IEC TR 13335-1:1996
US. http://www.jtc1tag.org/ Guidelines for the management of IT security - Part 1:
Mason, M. (1981). Challenging Strategic Planning Concepts and models for IT Security. Geneva: ISO.
Assumptions. Chichester (GB): John Wiley & Son.
Susilo, Willy., Eriyatno, Affandi, M. Joko., Goenawan, Agus.
(2011). Rancang Bangun Model Audit Manajemen
Sumber Daya Manusia, Menggunakan Pendekatan
Sistem. Jurnal Manajemen IKM, vol. 6. No. 2, pp. 133-
142.
Ramakrishnan, Prasanna, CISSP. (2004). “Information
Security Management Systems.” The CISSP and SSCP
Open Study Guides Website. CISSP and SSCP.