BI dan AKKI
Tindak Lanjuti Kasus Fraud
Kartu Kredit dan Debit
Jakarta - Pihak Bank Indonesia (BI) dan Asosiasi Kartu Kredit Indonesia (AKKI)
segera menindaklanjuti dugaan pencurian data pada kartu kredit dan/atau kartu
debit di merchant Body Shop. Penelitian telah dilakukan secara bersama-sama,
termasuk dengan pihak Visa.
Direktur Departemen Perencanaan Strategis dan Hubungan Masyarakat BI Difi
Ahmad Johansyah mengatakan, penelitian dan tindak lanjut dilakukan berdasarkan
laporan dari AKKI, Visa, dan Penerbit/Acquirer Kartu Kredit.
"Permasalahan pencurian data ini hanya terjadi pada kartu dengan swipe
dan tidak terjadi pada kartu berteknologi chip. Data pada kartu kredit yang
menggunakan chip adalah terenkripsi (menggunakan kode-kode tersembunyi),"
kata Difi dalam keterangan tertulisnya kepada wartawan di Jakarta, Minggu
(24/3).
Sekadar informasi, bank Acquirer adalah penerbit kartu kredit yang
sekaligus juga melakukan pemrosesan data. Secara sederhana, bank acquirer yaitu
penerbit kartu kredit yang menempatkan mesin electronic data capture (EDC) di
sejumlah merchant. Tidak semua penerbit kartu kredit merupakan Acquirer.
Difi mengatakan, pada Kamis, 7 Maret 2013, telah dilakukan pertemuan antara
pihak bank Acquirer dengan pihak Body Shop. Agendanya yaitu menginformasikan
kasus fraud yang terjadi dengan dugaan sementara pencurian data di merchant
Body Shop pada dua mall di Jakarta. Diketahui, latar belakang merchant Body
Shop melakukan double swipe yaitu untuk kepentingan rekonsiliasi data transaksi
melalui EDC, dengan pencatatan di sistem cash register.
"Umumnya, jika dilakukan swipe, data yang terekam dari kartu kredit
adalah nomor kartu, expiry date, dan Card Verification Value (CVV) berupa 3
angka di bagian belakang kartu kredit. Sebenarnya yang diperlukan merchant
hanyalah data nomor kartu, yang dapat diperoleh melalui input data/key in,”
jelas Difi.
Kemudian, pada Kamis, 14 Maret 2013, perwakilan bank Acquirer bertemu
dengan pihak Body Shop untuk meminta penjelasan prosedur atau flow cash register
yang ada di masing-masing outlet, sehingga tersimpan di server kantor pusat.
Difi melanjutkan, antar anggota AKKI telah melakukan kesepakatan pada 20
Maret 2013, dengan beberapa poin. Pertama, membuat laporan ke pihak kepolisian.
Kedua, melakukan uji forensik. Ketiga, penghentian praktik double swipe di
merchant Body Shop.
Pihak AKKI dan Visa telah mengeluarkan media statement pada 21 Maret 2013
dan disampaikan juga kepada BI melalui Departemen Akunting dan Sistem
Pembayaran (DASP). Intinya, pernyataan tersebut menegaskan bahwa seluruh pihak
terkait sedang melakukan investigasi terhadap kasus fraud tersebut dan meneliti
kerugian yang ditimbulkan. Kemudian, tidak diketemukan kejanggalan (compromise)
pada sistem Visa Net.
"Usulan industri atau prinsipal yaitu berkoordinasi dengan Visa untuk
dapat melakukan kontrol atas industri. Kemudian, mengusulkan kepada BI untuk
menerbitkan regulasi mengenai praktik double swipe," papar Difi.
Berdasarkan Peraturan Bank Indonesia (PBI) nomor 11/11/PBI/2009 tentang
Alat Pembayaran Menggunakan Kartu (APMK) sebagaimana diubah dengan PBI nomor
14/2/PBI/2012 serta Surat Edaran (SE) Nomor 11/10/DASP dan terakhir diubah
dengan SE Nomor 14/17/DASP telah diatur beberapa hal. Pertama, Acquirer wajib
menghentikan kerja sama dengan merchant, apabila merchant melakukan kerja sama
dengan pelaku fraud. Kemudian, Acquirer melaporkan kepada asosiasi untuk
dimasukkan dalam merchant black list.
Kedua, Acquirer wajib melakukan eukasi dan pengawasan pada merchant.
Ketiga, Prinsipal (seperti Visa atau Master) wajib memastikan keamanan sistem
yang digunakan oleh penerbit dan Acquirer, serta melakukan pengawasannya.
Keempat, setiap transaksi harus dilakukan dengan memperhatikan manajemen
risiko, seperti penggunaan autentikasi minimal dua faktor (dengan kartu dan
PIN, atau kartu dan biometrik).
Kelima, penerbit kartu kredit diwajibkan memberikan alert system (sistem
peringatan) melalui pesan singkat (SMS). Keenam, kewajiban penggunaan PIN 6
digit sebagai pengganti tanda tangan pada kartu kredit dimulai pada 1 Januari
2015. Ketujuh, kewajiban penggunaan chip standard dan PIN 6 digit untuk kartu
debit mulai 1 Januari 2016. Kedelapan, BI tidak mengatur secara spesifik
larangan untuk double swipe pada merchant.
Difi mengatakan, tindak lanjut yang akan dilakukan BI yaitu segera
menyiapkan surat imbauan kepada seluruh Acquirer untuk lebih berhati-hati dalam
menjalankan kerja samanya dengan merchant.
"Itu termasuk melarang kegiatan double swipe pada merchant dalam
rangka merekam data kartu," tukas dia.
Kemudian, mengingatkan kepada Acquirer
dan penerbit mengenai pentingnya penggunaan PIN dalam setiap transaksi kartu
debit, baik di mesin ATM maupun di EDC, sebagai pengganti masih adanya pilihan
tanda tangan. BI juga segera mengundang seluruh Acquirer kartu ATM/Debit dan
Kartu Kredit dalam pertemuan konsultatif di BI.
"BI akan menegakkan ketentuan tentang kewajiban Acquirer untuk
melakukan pengawasan dan edukasi kepada merchant. Prinsipal juga wajib
melakukan pengawasan yang lebih intensif terhadap keamanan dan keandalan sistem
dan/atau jaringan seluruh penerbit dan/atau Acquirer yang menjadi anggota
prinsipal yang bersangkutan," papar Difi.
Kronologi kasus
Kasus fraud kartu debit dan kartu kredit tersebut
ternyata tidak hanya terjadi di Indonesia. Dalam waktu yang hampir bersamaan,
BI mencatat, terdeteksi fraud counterfeit kartu debit di Amerika Serikat (AS)
dan Meksiko pada Selasa, 5 Maret 2013. Kasus tersebut hanya terjadi pada kartu
kredit yang menggunaan swipe.
"Di sana telah dilakukan analisa kesamaan data histori transaksi
pengguna kartu, yaitu analisa Common Purchase Point (CPP), serta telah
dilakukan koordinasi antar penerbit," ujar Difi.
Kemudian, pada Rabu, 5 Maret 2013, dari hasil analisa dan sharing antar
bank diketahui dugaan awal tempat pencurian data adalah merchant Body Shop yang
berlokasi di dua mal di Jakarta.
Koordinasi dengan pihak Visa International telah dilakukan, yaitu untuk
pembuatan parameter Real Time Decline pada sistem VAA/VRM terhadap transaksi
yang terjadi di AS dan Meksiko untuk suspicious terminal.
Pada Kamis, 7 Maret 2013, diketahui bahwa tempat terjadinya fraud bertambah
juga di Filipina, Turki, Malaysia, Thailand, dan India. Dugaan adanya tempat
pencurian data mulai berkembang ke cabang Body Shop yang lain.
Pada Jumat hingga Minggu, 8-10 Maret 2013, sejumlah bank telah melakukan
pemblokiran dan melanjutkan analisis CPP. Hasil analisa CPP menyimpulkan dugaan
tempat pencurian data berkembang ke cabang Body Shop yang lain, yaitu di
beberapa toko di Jakarta dan satu buah di Padang, Sumatera Barat.
Senin, 11 Maret 2013, telah dilakukan koordinasi lanjutan dengan pihak Visa
International untuk pembuatan parameter Real Time Decline pada sistem VAA/VRM
untuk transaksi swipe di AS, Meksiko, Turki, Malaysia, Filipina, Thailand, dan
India.