saiful hidayat sosialiasi pp 82 di medan - pemanfaatan penyelengara sertifikasi elektronik dan...
DESCRIPTION
Materi Sosialisasi Peraturan Pemerintah Nomor 82 tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik - Pemanfaatan Penyelengara Sertfikasi Elektroni dan Lembaga Sertfikasi Keandalan untuk meningkatkan keamanan transaksi elektronikTRANSCRIPT
Saiful Hidayat
Ex. KOORDINATOR SUB TIM LSK TIM ANTAR DEPARTEMEN DALAM RANGKA
PENYUSUNAN PERATURAN PEMERINTAH TENTANG PENYELENGGARAAN SISTEM DAN TRANSAKSI ELEKTRONIK
Ka. Proyek Indonesia Incoporated
PT. Telekomunikasi Indonesia, Tbk.
Sosialisasi PP No : 82 Tahun 2012 Tentang Penyelengara Sistem dan Transaksi Elektronik Santika Premiere Dyandra Hotel, Medan 21 Januari 2013
Curriculum Vitae : SAIFUL HIDAYAT Education : - MT in Information System and Technology, ITB - S1 in Telecomunication, Unibraw Working Experiences : - 2004-2006 : PT. Telekomunikasi Indonesia, Tbk
: Manager e-Solution Divisi Multimedia
- 2006 – 2007 : PT. Finnet (Telkom Group) : General Manager of Operation
- 2007 – 2010 : PT. Telekomunikasi Indonesia, Tbk : Head of IT Service Strategy
- 2010 – 2011 : PT. Admedika (Telkom Group) : Director Of Business Development
- 2011 – 2012 : PT. Telekomunikasi Indonesia, Tbk : Project Director Of Ehealth Business Project
- 2013 – 2012 : PT. Telekomunikasi Indonesia, Tbk
: Project Director Of Indonesia Incorporated Project Goverment Team : - 2006 – 2008 : Kementrian Komunikasi dan Informatika
: Tim Antar Departemen Penyusunan UU ITE - 2008 – 2012 : Kementrian Komunikasi dan Informatika
: Tim Antar Departemen Penyusunan PP PSTE
LATAR BELAKANG
CONTOH PEMANFAATAN SrE dan SK
PERAN PSrE dan LSK dalam TRANSAKSI ELEKTRONIK SESUAI UU ITE DAN PP PSTE
Q & A
Latar Belakang
Latar Belakang Realitas Internet Ø Bisnis dan transaksi
elektronik (e-‐Business , e-‐Government, e-‐Commerce, e-‐procurement) adalah suatu trend yang menjanjikan
Ø Adanya Isu Trust pada transaksi elektronik (melalui Internet) dalam lingkup nasional, regional, dan global
“On the Internet nobody knows you are a dog”
Kunci Keberhasilan e-‐Transac7on
Enterprise
Access
Benefit
Community
• Coverage • Speed • Aplikasi • Security
• Increase Efficiency • Expand Market • Flexibility • Real Hme customer response
• People Networks • Culture & Mindset • Business Model & Business Process • Environment
Rule and Policy
Empat Kriteria Keamanan Informasi dan Transaksi Elektronik ( K O I N (
• Confiden7ality (Kerahasiaan) “Pesan saya hanya bisa terbaca oleh penerima yang berhak”
• Authen7city (Oten7tas) “Saya adalah benar adanya”
• Integrity (Integritas) “informasi terkirim dan diterima 7dak berubah
• Non-‐Repudia7on (Nir-‐sangkal) “Saya 7dak dapat mengelak apa yang telah saya lakukan”
PERAN PSrE dan LSK dalam TRANSAKSI ELEKTRONIK SESUAI UU ITE DAN PP PSTE
Sistem Eletronik
TTE Tanda tangan elektronik
SE
Penyelenggara SerHfikasi elektronik
Lembaga Ser7Iasi Keandalan
Payment GW/Switching
Penyelengara Agent Elektronik
Pengelola Nama Domain (registry)
Penyelengaraan Sistem.Elektronik Sistem Elektronik
Penyelenggaran Transaksi Elektronik
Penyelengara DC & DRC
TTE
adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, dan/atau meyebarkan Informasi Elektronik
“Trusted” e-‐Business, e-‐Government,e-‐Commerce, etc
• Pelaku usaha yang menawarkan produk melalui Sistem Elektronik harus menyediakan informasi yang lengkap dan benar berkaitan dengan syarat kontrak, produsen, dan produk yang ditawarkan (Pasal 9) UU ITE
• Pelaku Usaha dapat diserHfikasi oleh Lembaga SerHfikasi Keandalan. (Pasal 10) UU ITE
• SerHfikasi Keandalan: -‐ buk7 pelaku usaha melakukan perdagangan secara layak
-‐ logo serHfikasi (trust mark)
Penyelenggaraan Sistem Elektronik (termasuk PSrE dan LSK)
Kewajiban Penyelengara (pasal 15)
Syarat Minimum (Pasal 16)
Andal
Aman
Bertanggung Jawab
Kecuali : Force Major
Menampilkan kembali IE &/ DE Secara utuh
Kecuali : Kasalahan/kelalaian pengguna
Melindungi ketersediaan,keutuhan, keoten7kan,kerahasiaan &
keterakasesan IE
Dilengkapi mekanisme pembaruan Prosedur/petunjuk
Dilengkapi dengan petunjuk penggunaan yang dapat dipahami
Beroperasi sesuai prosedur
Transaksi Elektronik
Internet
ISP
Repository
ISP
Subscriber Relying Party
E-‐sign E-‐sign
Syarat Subjek7f: ü Kesepakatan: • Sistem Elektronik yang
disepakaH • Khilaf, paksaan, penipuan ü Kecakapan : � Dewasa/tdk dibawah
pengampuan,
Syarat Objek7f: ü hal tertentu: • Informasi valid ü sebab yang halal: • Sesuai UU, Kesusilaan, dan
Hbum)
Informasi, Uang
Barang & jasa
• Transaksi dianggap terjadi pada saat penawaran transaksi yang dikirim Pengirim telah diterima dan disetujui Penerima. (Pasal 20 ayat (1))
• Persetujuan atas penawaran harus dilakukan dengan pernyataan penerimaan secara elektronik. (Pasal 20 ayat (2))
• Transaksi dapat dilakukan melalui Kuasa atau Agen Elektronik. (Pasal 21 ayat (1))
• Tanggung Jawab Transaksi (Pasal 21 ayat (2))
-‐ dilakukan para pihak : para pihak
-‐ dilakukan dengan kuasa : pemberi kuasa
-‐ dilakukan oleh Agen : penyelenggara Agen
• Pengecualian: force Majeure, kesalahan
&/kelalaian pengguna Sistem
elektronik
Transaksi Elektronik
Ser7fikat Elektronik dan SerVikat Keandalan Sesuai PP PSTE
• Pasal 1 Ayat 18 : Ser7fikat Elektronik adalah serHfikat yang bersifat elektronik yang memuat Tanda Tangan Elektronik dan iden7tas yang menunjukkan status subjek hukum para pihak dalam Transaksi Elektronik yang dikeluarkan oleh penyelenggara ser7fikasi elektronik.
• Kewenangan PSrE (Pasal 60) : – Pemeriksaan calon pemegang SerHfikat Elektronik – Penerbitan SerHfikat Elektronik – Perpanjangan masa berlaku SerHfikat Elektronik – Pemblokiran dan pencabutan SerHfikat Elektronik – Validasi
• Tingkatan Pengakuan Menteri (Pasal 61) : a. Terda`ar b. TeeseHfikasi c. Berinduk
• Pasal1 Ayat 24 dan 25 : – Lembaga Ser7fikasi Keandalan adalah lembaga
independen yang dibentuk oleh profesional yang diakui, disahkan, dan diawasi oleh Pemerintah dengan kewenangan mengaudit dan mengeluarkan Ser7fikat Keandalan dalam Transaksi Elektronik.
– Ser7fikat Keandalan adalah dokumen yang menyatakan Pelaku Usaha yang menyelenggarakan Transaksi Elektronik telah lulus audit atau uji kesesuaian dari Lembaga Ser7fikasi Keandalan.
• LSK terdiri atas (Pasal 62) : – Lembaga SerHfikasi Keandalan Indonesia – Lembaga SerHfikasi Keandalan asing. Harus terda]ar dalam da`ar Lembaga SerHfikasi Keandalan yang diterbitkan oleh Menteri
• Kategori Ser7fikat Kenadalan (Pasal 68): a. pengamanan terhadap iden7tas; b. pengamanan terhadap pertukaran data; c. pengamanan terhadap kerawanan; d. pemeringkatan konsumen; dan e. pengamanan terhadap kerahasiaan Data Pribadi.
a. 13
Interelasi Lembaga SerVikasi Keandalan (LSK) dengan Penyelengara SerVikasi Elektronik (PSrE/CA)
Penyelengara Sistem Elektronik
Penyelengara Sertifikasi Elektronik
Lembaga Sertifikasi Keadalan
Sertifikat Keandalan (Trustmark Seal)
Kategori d,e
Sertifikat Keandalan (Trustmark Seal)
Kategori a,b,c
Sertifikat Elektronik
Kewajiban Pelaku Usaha Yang Menawarkan Produk Melalui Sistem Elektronik : Pasal 49 PP PSTE
¤ wajib menyediakan informasi yang lengkap dan benar berkaitan dengan syarat kontrak, produsen, & produk yang ditawarkan.
¤ wajib memberikan kejelasan informasi tentang penawaran kontrak atau iklan.
¤ wajib memberikan batas waktu kepada konsumen untuk mengembalikan barang yang dikirim apabila Hdak sesuai dengan perjanjian atau terdapat cacat tersembunyi
¤ wajib menyampaikan informasi mengenai barang yang telah dikirim.
¤ Hdak dapat membebani konsumen mengenai kewajiban membayar barang yang dikirim tanpa dasar kontrak.
Pemanfaatan Sertifikat Elektronik dan Sertifikat Keandalan untuk meningkatkan keamanan PP PSTE Pasal 41
¥ Penyelenggaraan TE dalam lingkup publik atau privat yg menggunakan SE untuk pelayanan publik wajib menggunakan SerHfikat Keandalan (SK) dan/atau SerHfikat Elektronik
¥ Jika menggunakan SK, maka wajib diserHfikasi oleh LSK Indonesia yang telah terda`ar
¥ Jika menggunakan SerHfikat Elektonik, wajib memakai jasa PSrE yang telah terserHfikasi
Serdikat Keandalan
Serdikat Elektronik
pengamanan terhadap idenHtas
pengamanan terhadap pertukaran data
pengamanan terhadap kerawanan
CONTOH PEMANFAATAN SrE (Sertifikat Elektronik)
Institusi yang menyediakan sertifikat digital (Penyelengara Sertfikasi Elektronik /Certification Authority) untuk memfasilitasi sistem keamanan transaksi online (Internet) dengan Digital Signature dan Public Key Encryption.
i-trust � TM
Certification Authority Deskripsi :
Standard : q Profile Certificate : X.509.v3 q CRL : X.509.v2 q Enkripsi : RSA q Hashing : MD5, SHA q Key length : 1024 Bit q ISO 14516/2002 (SNI Kep BSN no 63/2005)
Konsep Pengamanan PSrE • a comprehensive capabili7es to provide public key encryp7on and digital
signature service
Key management system
CerHficate Authority
RegistraHon Authority
Client ApplicaHon
(PC)
PKi Client ApplicaHon
(PC)
CerHficate Repository
Secure CommunicaHon
Client side So`ware
CerHficate
= Public Key-‐encrypHon (digital signature)
= Private Key-‐decrypHon
i-‐trust TM
Cer7ficate Authority
Organisasi dan Layanan Dasar PSrE
• Layanan Management Kunci : – Layanan pembuatan kunci – Layanan penda`aran kunci – Layanan serHfikasi kunci – Layanan distribusi kunci – Layanan penyimpanan kunci – Layanan RevocaBon kunci – Layanan penghancuran/penghenHan kunci
• Layanan management Se7fikat : – Layanan serHfikasi kunci publik :
• IndenHas pengguna • Panjang kunci • Masa berlaku • Algoritma signature • Penerbit serHfikat • Unik serial Number • Profile serHfikat • Metode Enkripsi
– Layanan On Line AuthenHficiaHon Service – Layanan RevocaHon SerHfikat
• Layanan meterai waktu (7me stamping) : – Otoritas pemberi meterai waktu (Hme stamping authority)
yang menunjukan waktu terjadinya transaksi – Layanan Non repudiaHon, menggunakan mekanisme
asymetric untuk membukHkan dari sisi pengirim,penghantaran dan penerima.
Policy Authority; Adalah unit/organisasi dalam bisnis layanan CA yang bertanggung jawab terhadap penentuan, pemberlakuan, pengembangan dan pengadministrasian kebijakan serHfikasi.
Cer7fica7on Authority; Adalah Unit yang memiliki kewenangan untuk memberikan serHfikat digital yang berisi idenHtas dari pengguna, dimana serHfikat tersebut ditanda tangani secara digital.
Registra7on Authority ; Adalah suatu unit yang memiliki otoritas untuk melaksanakan fungsi-‐fungsi penda`aran pemohon serHfikat.
PA
CA
RA
NRO + Confidentiality
Legal Muscle
Implementasi sistem keamanan pada sistem pertukaran pesan
Sender’s Post Office
Recipient’s Post Office
IX-TERM
Receipt Signer
Delivered Signer
Ack
now
ledg
ed
Sig
ner
IX-TERM
Sig
ner
IX-DIR
Sender’s Private Keyfor Signing
Recipient’s Private Keyfor Acknowledged
Back-Office
Back Office
Message
Time Stamp
Sender’s Post OfficeCertificate
Time Stamp
Recipient’s Post OfficeCertificate
Time Stamp
Recipient’s Certificate
Time Stamp
Sender’s Certificate
Status : Message is signed by sender
Encrypted
Decrypted Message
• PKI dipakai untuk otentikasi, otorisasi, keutuhan, kerahasiaan, dan bukti legal nir-sangkal • Bukti legal terdokumentasi secara elektronik (Time-stamp, message signer)
Message
Time Stamp
Sender’s Post OfficeCertificate
Time Stamp
Recipient’s Post OfficeCertificate
Time Stamp
Recipient’s Certificate
Time Stamp
Sender’s Certificate
Status : Message di signed oleh pengirim
Status : Message diterima oleh K.post pegirim
Status : Message telah sampai di K.post penerima
Status : Message diterima dan di verifikasi oleh penerima
Proses Keamanan Layanan Time-tamping & digital signature
CONTOH PEMANFAATAN SK (Sertfikat Keandalan)
Ser7fikasi Keandalan
• SerHfikat Keandalan (trustmark) adalah dokumen yang menyatakan pelaku usaha yang menyelenggarakan transaksi secara elektronik telah lulus audit atau uji kesesuaian dari Lembaga SerHfikasi Keandalan
• Bertujuan melindungi komsumen dalam transaksi elektronik
• Jaminan bahwa pelaku usaha telah memenuhi kriteria yang ditentukan oleh Lembaga SerHfikasi Keandalan
• SerHfikat keandalan digunakan pada web site dan/atau sistem elektronik lainnya
Sertifikat Keandalan yang diterbitkan oleh Lembaga Sertifikasi Keandalan meliputi kategori:
a. Pengamanan terhadap idenHtas (Iden7ty Seal)
b. Pengamanan terhadap pertukaran data (Security Seal)
c. Pengamanan terhadap kerawanan (Vulnerability Seal)
Kategori Ser7fikat Keandalan (PP PITE) Pasal 68
Jaminan bahwa indentitas pelaku usaha (nama&status subjek hukum,alamat/kedudukan,no telepon,alamat email, izin usaha, &NPWP) adalah benar
Jaminan bahwa terdapat sistem pengamanan dalam proses pertukaran data yang telah teruji Contoh : menggunakan SSL
Jaminan bahwa terdapat sistem manajemen keamanan informasi yang mengacu kepada standar pengamanan sistem elektronik tertentu berdasarkan ketentuan peraturan perudang-undangan
Kategori Ser7fikat Keandalan (PP PITE) Pasal 68 d. Pemeringkatan konsumen (Consumer Ra7ng Seal)
e. Pengamanan terhadap kerahasiaan pribadi (Privacy Seal)
Jaminan bahwa pelaku usaha telah mendapatkan pengakuan kepuasan konsumen berdasarkan pengalaman yang nyata dari konsumen meliputi proses pratransaksi, transaksi & pasca transaksi
Jaminan bahwa data pribadi konsumen dilindungi kerahasiannya sebagaimana mestinya
Ha7-‐Ha7 “Trust Mark” Palsu
Palsu
Web site dengan Ser7fikat Keandalan Kategori a,b,c dan d
Kategori-a&b Kategori-c
Kategori-d
Kategori a
Kategori b
Web Site Indonesia yang telah menggunakan Ser7fikat Keandalan Kategori a,b,c, & e
Web site dengan Ser7fikat Keandalan Kategori a,b,c,d & e
Kategori-a&b Kategori-d Kategori-e Kategori-c
Saiful Hidayat Project Director of Indonesia Incorporated PT. Telekomunikasi Indonesia, Tbk. [email protected]