Penggesekan ganda kartu berbahaya dan mengkhawatirkan, apa solusinya?

Pelarangan penggesekan ganda tersebut bertujuan untuk melindungi masyarakat dari pencurian data dan informasi kartu

Rappler.com

3:4:51am September 29, 2017

10:52:45am October 3, 2017

Bank Indonesia melarang dilakukannya penggesekan ganda (double swipe) dalam transaksi nontunai dalam setiap transaksi dan kartu hanya boleh digesek sekali di mesin Electronic Data Capture (EDC). Foto oleh Muhammad Adimaja/Antara

Bank Indonesia melarang dilakukannya penggesekan ganda (double swipe) dalam transaksi nontunai dalam setiap transaksi dan kartu hanya boleh digesek sekali di mesin Electronic Data Capture (EDC). Foto oleh Muhammad Adimaja/Antara

JAKARTA, Indonesia — Beberapa waktu lalu, masyarakat Indonesia dihebohkan dengan larangan penggesekan ganda (double swipe) kartu kredit dan debit oleh Bank Indonesia (BI). Penggesekan yang dimaksud adalah penggesekan kartu kredit dan debit pada dua tempat, yaitu mesin Electronic Data Capture (EDC) dan mesin kasir.

Menurut peraturan BI, penggesekan seharusnya dilakukan hanya pada mesin EDC. Sedangkan, data pribadi pemilik kartu disebut-sebut dapat tercuri jika melakukan penggesekan di mesin kasir. Hal ini pun meresahkan masyarakat. 

Herlina Rosarya (50 tahun) misalnya. Pengguna kartu kredit ini mengaku pernah mengalami penggesekan ganda saat bertransaksi. Namun, ia tidak mengetahui adanya peluang pencurian data. Ia juga mengaku tidak pernah mendapat sosialisasi apapun tentang bahaya penggesekan ganda dari pihak bank.

Baginya, adanya peluang pencurian data ini memang cukup membahayakan. Selain itu, jika tidak ditindaklanjuti lebih jauh, perkara ini justru akan mendorong kemunduran dalam bertransaksi.

“Padahal setiap orang di era ini sudah diarahkan untuk serba non-tunai. Kalau enggak secepatnya dituntaskan, maka akan terjadi kemunduran, yaitu percaya cash keras,” kata Herlina kepada Rappler.

Antisipasi kejahatan

Menanggapi hal-hal seperti yang dialami Herlina, Kepala Departemen Komunikasi BI Agusman Zainal menyebutkan bahwa yang terjadi dengan penggesekan ganda adalah penyimpanan data, bukan pencurian. Menurutnya, pencurian data hanya dapat terjadi jika ada potensi dan peluang. 

“Potensinya karena penyimpanan data yang ada di dalam kartu kredit dan debit itu yang prudent dan sangat berhati-hati itu hanya ada di industri perbankan,” kata Agusman.

""Potensi dan peluang itu yang coba kita reduksi dengan mengatur di dalam aturan bahwa dilarang. Dilarang itu artinya enggak boleh menyimpan data. Kecuali oleh pihak banknya sama yang menerbitkan mesin EDC, itu diperbolehkan."

Sedangkan, pada pihak pedagang atau retailer sudah berada di bawah tanggung jawab Kementerian Perdagangan dan memang tidak melakukan fungsi pengawasan seperti yang dilakukan BI dan Otoritas Jasa Keuangan (OJK). Meski demikian, Agusman tidak menampik bahwa setiap merchant mungkin melakukan fungsi pengawasannya masing-masing.

Pencurian data juga kemudian bisa terjadi dengan adanya peluang. Agusman menyebut, masyarakat Indonesia kerap kurang awas pada kartunya masing-masing. Misalnya, dengan membiarkan pelayan restoran membawa pergi kartu kredit atau debit saat hendak membayar bill makan. Padahal, sangat mungkin pencurian data dilakukan sepanjang kartu tersebut tidak berada di tangan sang pemilik.

Hal inilah yang digambarkannya sebagai kekurangawasan. Sebab, jika dibandingkan, tutur Agusman, masyarakat luar negeri bahkan enggan memberikan kartunya kepada kasir dan melakukan penggesekan kartu ke mesin EDC secara mandiri.

Karenanya, untuk mengurangi potensi dan peluang tersebut, BI pun mengeluarkan Peraturan Bank Indonesia No. 18/40/PBI/2016 Tentang Penyelenggaraan Pemrosesan Transaksi Pembayaran. Sebelumnya, BI juga telah mengeluarkan peraturan mengenai kegiatan pembayaran menggunakan kartu yang diatur dalam PBI No. 14/2/PBI/2012 tentang perubahan atas PBI No. 11/11/PBI/2009.

“Potensi dan peluang itu yang coba kita reduksi dengan mengatur di dalam aturan bahwa dilarang. Dilarang itu artinya enggak boleh menyimpan data. Kecuali oleh pihak banknya sama yang menerbitkan mesin EDC, itu diperbolehkan,” ucapnya.

‘Double swipe’ dibutuhkan?

Agusman juga menyatakan, penggesekan ganda pada mesin kasir terkadang memang dibutuhkan. Salah satunya adalah untuk membuka laci kassa dan pencocokan data. 

“Kalau yang untuk membuka lacinya, itu harusnya memang tidak ada penyimpanan data. Bahwa kartu yang digesek ini cocok dengan kartu di sini [yang digesek ke mesin EDC]. Sudah, habis itu hapus,” tuturnya.

Selain itu, lanjutnya, penyimpanan data tetap boleh dilakukan jika hanya untuk program loyalitas konsumen.

“Yang disimpan biasanya hanya untuk customer loyalty program. Mbak ini bulan ini sudah berapa kali belanja di sini. Berapa banyak belanjanya, itu nanti dilihat dan dilakukan riset. Berarti nanti kita harus mengiming-imingi dengan diskon ini biar nanti penjualan kita lebih meningkat lagi,” ujarnya.

Meski demikian, pihak yang ingin melakukan penyimpanan data ini harus lolos sertifikasi The Payment Card Industry Data Security Standard (PCI DSS), yaitu standar keamanan industri kartu yang diterapkan di lembaga internasional. Jika tidak lolos, pihak tersebut dilarang untuk melakukan penyimpanan data.

Pihak prinsipal seperti Visa dan Master pun berhak untuk melarang merchant yang tidak lolos sertifikasi untuk melakukan penyimpanan data. Sebab, hal ini sendiri juga menyangkut pada reputasi kedua lembaga tersebut.

Upaya meningkatkan keamanan

Dalam setiap penggesekan kartu, ada data nasabah yang tercatat dalam magnetic strap seperti nomor kartu, nama lengkap, card verification value (CVV), masa berlaku dan tanggal kedaluwarsa, dan kode servis. 

General Manajer Asosiasi Kartu Kredit Indonesia Steve Marta mengatakan, bila penggesekan dilakukan secara sembarangan dan tidak aman, bukan tidak mungkin bahwa informasi tersebut dapat dicuri dan digunakan untuk menggandakan kartu.

Menanggapi pengamanan penyalahgunaan penyimpanan data ini, BI juga telah melakukan pertemuan dengan asosiasi-asosiasi pedagang. Pertemuan ini berujung pada kesepakatan untuk menghancurkan data-data nasabah yang selama ini sudah disimpan dan tidak lagi melakukan penggesekan ganda.

Menurut Agusman, hal ini sepertinya cukup berhasil, sebab pengaduan yang disampaikan masyarakat pun menurun. 

Selain itu, BI juga tengah mengupayakan langkah peningkatan keamanan kartu berupa pemasangan chip. Pemasangan chip kini telah dilakukan pada sebagian besar kartu kredit, dan telah dalam pergerakan menjadikan seluruh kartu kredit menggunakn chip.

Ke depannya, kartu debit juga diharapkan akan memakai chip. Hal ini ditargetkan selesai pada 2021.

Pemasangan chip ini adalah langkah penting bagi BI. Sebab, data nasabah yang disimpan dalam chip disusun menggunakan kode algoritma dan dienkripsi sehingga keamanannya lebih sulit untuk ditembus.

Langkah mandiri masyarakat

Selain upaya dari Bank Indonesia, masyarakat juga diharapkan dapat melakukan langkah mandiri untuk pengamanan diri. Baik Agusman dan Steve menyampaikan hal yang serupa, yaitu meminta masyarakat untuk menolak apabila kartu kredit atau atau debit mereka akan digesek pada mesin kasir.

Selanjutnya, apabila kartu sudah terlanjur digesek pada mesin kasir, Agusman meminta masyarakat untuk tidak khawatir.

“Karena kan baru potensi. Kalau enggak ada oknum, insya Allah aman,” kata Agusman mengingatkan. Kalau tidak ada peluang, penyalahgunaan penyimpanan data tidak dapat dilakukan.

Terakhir, masyarakat dapat melapor ke pihak bank masing-masing, atau mengadu ke Bank Indonesia Contact Center (BICARA) 131. Pengadu dapat menyebutkan nama pedagang dan bank pengelola yang tercatat di mesin EDC. —Rappler.com