Kartu pembayaran berbasis chip komputer mengganti kartu magnetik stripe di hampir semua negara-negara maju di dunia. Kartu baru ini sesuai dengan  spesifikasi Europay, MasterCard, dan Visa (EMV), yang menentukan metode pengolahan dan fitur keamanan untuk kartu chip komputer yang dikeluarkan oleh MasterCard, Visa, JCB, dan American Express [1].

Gambar 1  Kartu ATM Magnetic vz Kartu ATM Chip

Kepatuhan terhadap spesifikasi memastikan interoperabilitas dimanapun emiten mengadopsi kartu berbasis EMV dan dimanapun pedagang menerimanya. Pada tahun 2011, 44,7 persen dari kartu pembayaran dan 76,7 persen dari terminal pembayaran di seluruh dunia memenuhi spesifikasi EMV (EMVCo) [2]. Semua kartu pembayaran EMV memiliki chip komputer dengan kapasitas untuk menggunakan protokol enkripsi.

Kartu chip komputer yang jauh lebih sulit untuk dipalsukan, dapat melindungi informasi yang disimpan pada chip lebih efektif, dan dapat tahan terhadap gangguan dari yang tidak berwenang. Sebuah kartu chip komputer dapat menggunakan enkripsi untuk melindungi data sensitif, dapat mengotentikasi pesan yang diterima, dan dapat mengirim pesan ke emiten yang memungkinkan emiten untuk otentikasi transaksi lebih handal daripada apa yang dapat dilakukan oleh kartu magnetic stripe[3]. Kartu pembayaran chip komputer juga dapat memodifikasi data pembayaran untuk tujuan keamanan.

Gambar 2  Chip dan Magnetic

Kapasitas chip komputer pada kartu pembayaran untuk mengenkripsi data memungkinkan proses “otentikasi data dinamis [4].” Tidak seperti kartu magnetik-strip, yang menanggung kode verifikasi statis yang tidak berubah dari satu transaksi ke yang lain, kartu pembayaran chip komputer dapat menyesuaikan kode verifikasi yang berbeda untuk setiap transaksi [5]. Salah satu jenis kartu yang mampu mengotentikasi data dinamis sudah digunakan di Amerika Serikat. Dikenal sebagai kartu contactless, kartu ini telah tertanam chip komputer yang dapat mentransfer data transaksi melalui sinyal radio jika pemegang kartu melewati kartu dekat dengan terminal pembayaran. Chip pada kartu ini menggunakan kunci enkripsi rahasia dan algoritma untuk menghasilkan perubahan kode verifikasi untuk digunakan dalam otentikasi (Smart Card Alliance).

 

Gambar 3  Inisiasi Kartu Pembayaran Berbasis Chip Komputer

 

Gambar 3 mengilustrasikan tiga tahap pengolahan pembayaran kartu chip komputer dan mengalirkan informasi yang terkait. Chip komputer menghasilkan kode verifikasi yang dinamis dengan menambahkan nomor spesifik transaksi untuk data kartu lainnya, memastikan bahwa kode verifikasi perubahan dari transaksi ke transaksi.

Mengubah kode verifikasi yang digunakan untuk otentikasi pembayaran memiliki manfaat yang sama dengan mengharuskan pengguna komputer untuk mengubah password mereka secara teratur. Jika seorang hacker mencuri password, namun pengguna mengubah password secara teratur, jendela di mana hacker dapat mengambil keuntungan dari password yang dicuri kecil. Jika seorang hacker mencuri data kartu pembayaran yang menghasilkan kode verifikasi yang dinamis, kemampuan hacker untuk menggunakan data kartu untuk penipuan yang sama terbatas [6].

Otentikasi dinamis membantu mencegah penipuan pada tingkat transaksi [7]. Itu menghentikan penipu dari membuat penipuan pembayaran hanya dengan memutar data dari kartu pembayaran yang menggunakan kode verifikasi yang sama untuk setiap transaksi. Di bawah protokol otentikasi data dinamis, pendekatan seperti itu tidak akan berhasil karena penipu tidak dapat menghasilkan kode verifikasi yang selalu berubah yang diperlukan untuk transaksi berturut-turut.

Otentikasi data dinamis juga memiliki efek umum yang membantu mengurangi semua metode penipuan kartu pembayaran. Otentikasi lemah pada kartu pembayaran magnetik-stripe memberikan penjahat dengan insentif untuk memperoleh data kartu yang dapat digunakan dalam melakukan pembayaran penipuan. Proses otentikasi kuat dimungkinkan oleh kartu chip komputer, bagaimanapun, mengurangi insentif penjahat untuk memperoleh data kartu. Akibatnya, pelanggaran data, phishing, dan serangan rekayasa sosial semuanya cenderung menurun karena penggunaan kartu chip komputer yang semakin meluas.

Pengalaman baru-baru yang dialami oleh Perancis, Belanda, dan Inggris karena mereka bergeser dari magnetic stripe ke kartu pembayaran chip komputer mengungkapkan manfaat yang dirasakan dari mengadopsi kartu pembayaran chip komputer dan tantangan yang ditimbulkan ketika penipuan bergeser ke pembayaran dengan protokol otentikasi yang relatif lemah.

 

EMV (Europay, MasterCard, Visa)

Spesifikasi EMV Integrated Circuit Card untuk sitem pembayaran adalah spesifikasi industri pembayaran global yang menjelaskan persyaratan untuk interoperabilitas antara aplikasi pembayaran konsumen berdasarkan Chip dan terminal penerimaan untuk mengaktifkan pembayaran. Spesifikasi ini dikelola oleh organisasi EMVCo [8].

Spesifikasi ini dinamakan demikian sesuai dengan nama aslinya yaitu Europay, MasterCard dan Visa, spesifikasi EMV pertama kali diterbitkan pada tahun 1996. Empat belas tahun kemudian, sekarang ada satu miliar kartu chip EMV aktif yang digunakan untuk pembayaran kredit dan debit, sudah 15,4 juta terminal EMV digunakan di seluruh dunia [8]. Gambar berikut ini merupakan Entitas yang digunakan dalam stabdart EMV.

Gambar 4  Entitas EMV

Teknologi ini bergerak dari kartu pembayaran berbasis strip magnetik ke kartu chip sekarang yang telah berlangsung selama lebih dari satu dekade. Ini pada awalnya diprakarsai oleh Europay (sekarang bagian dari MasterCard), MasterCard dan Visa, dan disingkat dengan EMV. Langkah ini sebagian besar telah didorong secara regional oleh keamanan karena penipuan, pergeseran kewajiban, dan teknologi – mis contactless, dan baru-baru ini teknologi mobile [9].

Selama dekade terakhir chip telah berevolusi berkaitan dengan kemampuan, sementara harganya telah turun, sehingga memperoleh kartu dengan co-prosesor yang terkriptografi dan interface ganda untuk kontak dan pembayaran contactless yang cukup murah. Kombinasi keamanan dan fungsi, khususnya melalui antarmuka contactless, telah membuka pintu ke ruang pasar mobile, yang sudah berada sampai disini.

Tugas utama yang terkait dengan proses penerbitan kartu EMV adalah untuk mengekstrak informasi pelanggan dari database bank, feed ke sistem persiapan data (yang menambahkan data tambahan termasuk sertifikat digital dan kunci kriptografi) dan akhirnya menulis data ke chip. Langkah terakhir disebut personalisasi [9]. Seperti yang digambarkan pda gambar di bawah ini.

 

Gambar 5 Authorization System

 

 

Mengapa EMV

EMV dirancang secara signifikan untuk meningkatkan keamanan bagi kartu pembayaran konsumen dengan menyediakan fitur yang memungkinkan untuk mengurangi penipuan pada pembayaran yang dihasilkan dari kartu palsu dan hilang dan dicuri.

Fitur yang didefinisikan oleh EMV adalah sebagai berikut [9]:

  1. Otentikasi kartu chip untuk memverifikasi bahwa kartu tersebut asli sehingga untuk melindungi terhadap penipuan palsu untuk kedua transaksi online resmi dan transaksi offline.
  2. Parameter manajemen risiko untuk menentukan kondisi di mana penerbit akan mengizinkan kartu chip yang akan digunakan dan memaksa transaksi online untuk melakukan otorisasi dalam kondisi tertentu seperti batas offline yang melebihi.
  3. Tandatangan digital data pembayaran untuk integritas transaksi.
  4. Verifikasi pemegang kartu yang lebih kuat untuk melindungi terhadap penipuan terhadap kartu yang hilang dan dicuri untuk transaksi EMV.

 

 

 

 

Referensi

  • Federal Reserve Board. 2012. “Average Debit Card Interchange Fee by Payment Card Network,” available at: http://www.federalreserve.gov/paymentsystems/ regii-average-interchange-fee.htm.
  • Federal Reserve System. 2011. “The 2010 Federal Reserve Payments Study.” April 5.
  • Goessl, Leigh. 2012. “Email scam: Fake Verizon bills duping customers.” Digital May 17. Available online at: www.digitaljournal.com/article/325056.
  • Heun, David. 2012. “MC: Pick Any Chip-Card Security You Want, as Long as It’s PIN.” American Banker. February 2. Available online at: www.americanbanker.com/issues/177_23/mastercard-visa-emv-liability-shift-chip-andpin-1046286-1.html.
  • King, Douglas A. 2012. “PIN Authentication Versus Signature Authentication.”Portals and Rails blog, Federal Reserve Bank of Atlanta (January 23). Available online at: portalsandrails.frbatlanta.org/2012/01/pin-authentication-vssignature-authentication.html
  • 2012. “MasterCard Card Identification Features.” Available online-at: www.mastercard.com/uk/merchant/en/security/datasecurityrules/card_id_sec_features.html
  • Moore, Tyler and Ross Anderson. 2012. “Economics and Internet Security: A Survey of Recent Analytical, Empirical and Behavioral Research.” Forthcoming in M. Peitz and J. Waldfogel, eds., The Oxford Handbook of the Digital Oxford University Press.
  • Cryptomathic, 2013, “EMV Key Management – Explained”, Jægergårdsgade 118, DK-8000 Aarhus C, Denmark.
  • Surat Edaran Bank Indonesia Nomor 14/23/DASP tahun 2011, 2011, “Tentang Implementasi Teknologi Chip dan Penggunaan Personal Identification Number pada Kartu ATM dan/atau Kartu Debet yang diterbitkan di Indonesia”, Jakarta.