lxxvi
BAB III PENYELENGGARAAN SERTIFIKASI ELEKTRONIK BERDASARKAN
PERATURAN PERUNDANG–UNDANGAN DI INDONESIA
A. Sertifikasi Elektronik dalam Penyelenggaraan Sistem Elektronik
Mengingat petumbuhan pesat teknologi informasi dewasa ini, penggunaan sertifikasi elektronik dalam penyelenggaraan sistem elektronik sangat dibutuhkan
karena pada dasarnya konsumen sekarang sangat kritis dan cenderung melihat bahwa apakah penggunaan sistem elektronik untuk melakukan transaksi elektronik sudah
aman dan terpecaya atau belum.Maka itu bagi penyelenggara sistem elektronik, untuk mendapatkan sertifikasi elektronik pada sistem elektroniknya adalah suatu keharusan
untuk menunjang keberlangsungan keamanan sistem serta untuk mendaya tarik minat konsumen untuk menggunakan sistem elektronik mereka.
Adapun perlindungan sistem elektronik yang dapat diberikan oleh PSE adalah dengan membuat sertifikat elektronik yang diterbitkan oleh PSE itu sendiri. Sertifikat
elektronik menurut EU Directive on Electronic Signature on a Community framework for electronic signaturearticle 2,
121
121
EU Directive on Electronic Signatures, Directive 199993EC of the Eurpoean Parliament and of The Council of 13 Desember 1999, on a Community framework for electronic signatures
article 2 point 9 mengatakan bahwa “Sertifikasi”adalah pengesahan elektronik yang menghubungkan data verifikasi tanda tangan kepada seseorang dan mengkonfirmasi identitas dari orang tersebut”.
menjelaskan bahwa sertikat elektronik adalah atestasi elektronik dimana menghubungkan pengeverifikasi data tandatangan
elektronik kepada seseorang dan mengkonfirmasi identitas dari orang tersebut.
lxxvii
Sedangkan dalam UNCITRAL Model Law on Electronic Signature dikatakan bahwa sertifikat adalah sebuat data pesan atau suatu metode lain mengkonfirmasikan
hubungan antara orang yang memegang pembuatan data tandatangan dari orang
tersebut.
Sertifikat elektronik menduduki peran layaknya “paspor elektronik”, ia tidak dapat dipisahkan dari praktek tanda tangan elektronik, ia membawa kekuatan hukum
yang kuat karena dapat meyakinkan identitas penandatangan.
122
1. Tanda tangan elektronik
. Sertifikasi elektronik
memiliki struktur internal dimana ada beberapa informasi penting yang dilekatkan pada sertifikat tersebut untuk memberikan kekuatan hukum pada sertifikat tersebut.
Definisi yang diuraikan diatas dikuatkan dengan pengertian sertifikat elektronik oleh Pasal 1 angka 9 UU ITE yang menyatakan bahwa sertifikat
elektronik adalah sertifikat yang bersifat elektronik yang memuat tanda tangan elektronik dan identitas yang menunjukkan status subjek hukum para pihak dalam
transaksi elektronik yang dikeluarkan oleh PSE. Dari pengertian sertifikasi elektronik diatas dapat jabarkan bahwa di dalam sertifikasi elektronik tersebut memuat :
2. Identitas yang menunjukkan status subjek hukum para pihak.
Secara eksplisit ini menunjukkan bahwa tanda tangan elektronik adalah bagian yang tidak terlepas dari sertifikasi elektronik tetapi sertifikasi elektronik
bukan bagian dari tanda tangan elektronik. Tanda tangan elektronik menurut UU ITE
122
Julien ESNAULT, Memoire: la signature électronique, D.E.S.S. du droit du Multimédia et de l’Informatique, tahun2002-2003, hlm. 11.
lxxviii
adalah tanda tangan yang terdiri atas informasi elektronik yang dilekatkan, terasosiasi atau terkait dengan informasi elektronik lainnya yang digunakan sebagai alat
verifikasi dan autentikasi atas
123
1. identitas penanda tangan; dan
:
2. keutuhan dan keautentikan informasi elektronik
Undang-Undang ITE tidak mempresisikan keterangan-keterangan apa saja yang harus dimuat dalam sebuah sertifikat elektronik, namun dapat dilihatDekrit
Komisi Negara Prancis 2001-272 tanggal 30 Maret 2001 tentang “aplikasi Pasal 1316-4 Code Civildan tentang tanda tangan elektronik”. Pasal 6 ini menentukan
keterangan-keterangan yang harus dimuat dalam sebuah sertifikat elektronik terkualifikasi sebagai berikut:
124
1. Keterangan yang mengindikasikan bahwa sertifikasi ini dikeluarkan sebagai
sertifikasi elektronik yang terkualifikasi. 2.
Identitas dari penyelenggara sertifikasi tanda tangan elektronik serta negara di mana ia berada.
3. Nama penandatangan atau nama aliasnya, disertai dengan bukti-bukti identitas
penandatangan. 4.
Bila keadaan memungkinkan , keterangan kualitas si Penandatangan sesuai dengan penggunaan daripada tujuan pemakaian sertifikasi elektronik itu sendiri.
123
Pasal 52 Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
124
Dekrit Komisi Negara Prancis 2001-272 tanggal 30 Maret 2001 tentang “aplikasi Pasal 1316-4 Code civil dan tentang tanda tangan elektronik”.
lxxix
5. Data-data pemeriksa kebenarankeabsahan tanda tangan elektronik yang sesuai
dengan data-data pembuatan tanda tangan elektronik. 6.
Indikasi awal dan berakhirnya validasi dari sertifikasi elektronik. 7.
Kode identitas dari sertifikasi elektronik. 8.
Tanda tangan elektronik “sécurisée”
125
9. Bila keadaan memungkinkan, disertakan kondisi-kondisi penggunaan sertifikat
elektronik, khususnya besarnya transaksi maksimal yang dapat dilakukan dengan menggunakan sertifikasi elektronik tersebut.
dari penyelenggara sertifikasi tanda tangan elektronik yang mengeluarkan sertifikasi elektronik tersebut.
126
Sesuai dengan perkembangan teknologi, terdapat berbagai moda teknologi dari suatu tanda tangan elektronik, yakni antara lain;
127
1. penggunaan kata kunci passwords
128
2. tanda tangan yang dipindai secara elektronik scanned signatures atau
pengetikan nama pada suatu informasi typed names; ataupun kombinasinya hybrid methods,
dan;
125
Peraturan perundang-undangan Perancis tentang tanda tangan elektronik membedakan antara tanda tangan elektronik sederhana “simple” dengan tanda tangan elektronik “securisée”, di
mana yang terakhir ini harus memenuhi ketentuan-ketentuan yang ditetapkan oleh dekrit 30 Maret 2001. Tentunya kekuatan pembuktiannya lebih kuat daripada sebuah tanda tangan elektronik
sederhana.
126
Mengurangi resiko-resiko kepada penerima yang menerima sertifikat elektronik tersebut dan kepada pemberi sertifikat yang dapat dimintai pertanggungjawaban.
127
Edmon Makarim I, Op.Cit., 2013, hlm. 51.
128
Kata sandi password adalah kumpulan karakter atau string yang digunakan oleh pengguna jaringan atau sebuah sistem operasi yang mendukung banyak pengguna multiuser untuk
memverifikasi identitas dirinya kepada sistem keamanan yang dimiliki oleh jaringan atau sistem tersebut.
lxxx
3. penggunaan fitur tombol tanda persetujuan atau tanda penerimaan secara
elektronik OK button atau Accept button yang ditunjang dengan saluran komunikasi yang aman Secure Socket Layer;
4. penggunaan tanda yang unik pada anggota badan biometric
129
Semua jenis tanda tangan elektronik, sesuai karakteristiknya secara teknis akan mempunyai level kekuatan pembuktian yang berbeda sesuai kaidah-kaidah yang
berlaku dalam secured communication.Semakin jelas sistem keautentikannya yang berdampak kepada kepastian nirsangkal, maka akan semakin kuat pula tingkat atau
bobot pembuktiannya. Sementara jika tidak ada pihak ketiga tentunya akan tetap menyimpan potensi adanya penampikan dari seseorang.
.
Perlu diketahui juga bahwa tanda tangan elektronik itu sama dengan tanda tangan digital. Hanya yang membedakan hal tersebut adalah dalam
penyebutannya.Dalam undang-undang disebutkan dengan tanda tangan elektronik sedangkan bagi masyarakat awam lebih familiar dengan tanda tangan digital. Ini
diperkuat dengan adanya bukti kesamaan tersebut yakni dalam Pasal 7 Peraturan Menteri Keuangan Republik Indonesia Nomor 152Pmk.032009 tentang Perubahan
atas Peraturan Menteri Keuangan Nomor 181Pmk.032007 tentang Bentuk dan Isi
129
Liu Silverman, “A practical guide to biometric security technology”, 2004, hlm. 27- 32, Biometrik merupakan sistem yang membaca bagian tubuh manus ia untuk mengenali keaslian
authentication, dimana teknologi ini menggunakan bagian yang unik dan tetap dari tubuh manusia seperti sidik jari, selaput pelangi mata iris maupun wajah yang disimpan dalam database teknologi
biometrik.
lxxxi
Surat Pemberitahuan, serta Tata Cara Pengambilan Pengisian, Penandatanganan, dan Penyampaian Surat Pemberitahuan dikatakan bahwa :
1. Penandatanganan SPT sebagaimana dimaksud dalam Pasal 6 dilakukan dengan
cara : a.
tanda tangan biasa; b.
tanda tangan stempel; atau c.
tanda tangan elektronik atau digital. 2.
Tanda tangan stempel dan tanda tangan elektronik atau digital mempunyai kekuatan hukum yang sama dengan tanda tangan biasa.
Dari jabaran peraturan menteri diatas, dapat terlihat jelas ada penyebutan “tanda tangan elektronik atau digital”. Maka secara eksplisit dapat dikatakan bahwa
tanda tangan digital dan elektronik itu adalah sama. Tanda tangan elektronik juga ada yang tersertifikasi dan tidak
tersertifikasi.Tanda tangan elektronik yang dimaksud “yang tersertifikasi” harus memenuhi persyaratan yakni dibuat dengan menggunakan jasa PSEdan dibuktikan
dengan sertifikat elektronik.Tanda tangan elektronik yang dimaksud “tidak tersertifikasi” dibuat tanpa menggunakan jasa PSE.
130
Data pembuatan tanda tangan elektronik digital wajib secara unik merujuk hanya kepada penanda tangan dan dapat digunakan untuk mengidentifikasi penanda
tangan, data pembuatan tanda tangan elektronik ini bisa dilakukan oleh
130
Pasal 54 Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
lxxxii
penyelenggara tanda tangan elektronik atau pendukung layanan tanda tangan elektronik. Data pembuatan tanda tangan ini harus memenuhi ketentuan peraturan
yakni : 1.
seluruh proses pembuatan data pembuatan tanda tangan elektronik dijamin keamanan dan kerahasiaannya oleh penyelenggara tanda tangan elektronik atau
pendukung layanan tanda tangan elektronik; 2.
jika menggunakan kode kriptografi, data pembuatan tanda tangan elektronik harus tidak dapat dengan mudah diketahui dari data verifikasi tanda tangan elektronik
melalui penghitungan tertentu, dalam kurun waktu tertentu, dan dengan alat yang wajar;
3. data pembuatan tanda tangan elektronik tersimpan dalam suatu media elektronik
yang berada dalam penguasaan penanda tangan; dan 4.
data yang terkait dengan penanda tangan wajib tersimpan di tempat atau sarana penyimpanan data, yang menggunakan sistem terpercaya milik penyelenggara
tanda tangan elektronik atau pendukung layanan tanda tangan elektronik yang dapat mendeteksi adanya perubahan dan memenuhi persyaratan:
a. hanya orang yang diberi wewenang yang dapat memasukkan data baru,
mengubah, menukar, atau mengganti data; b.
informasi identitas Penanda Tangan dapat diperiksa keautentikannya; c.
perubahan teknis lainnya yang melanggar persyaratan keamanan dapat dideteksi atau diketahui oleh penyelenggara.
lxxxiii
Penyelenggara tanda tangan elektronik danatau pendukung layanan tanda tangan elektronik wajib bertanggung jawab atas penggunaan data pembuatan tanda
tangan elektronik atau alat pembuat tanda tangan elektronik. Juga harus menerapkan kriptografi dalam proses pengiriman dan penyimpanan tanda tangan elektronik.
Kelemahan yang masih menyertai teknologi tanda tangan elektronik atau digital adalah:
1. Biaya tambahan secara institusional: Tanda tangan digital memerlukan
pembentukan otoritas-otoritas yang berhak menerbitkan sertifikat serta biaya- biaya lain untuk menjaga dan mengembangkan fungsi-fungsinya.
2. Biaya langganan: Penanda tangan memerlukan perangkat lunak aplikasi dan juga
membayar untuk memperoleh sertifikasi dari otoritas yang berhak mengeluarkan sertifikat.
Kelebihan yang paling utama dari adanya tanda tangan digital adalah lebih terjaminnya otentikasi dari sebuah dokumen. Tanda tangan digital sangat sulit
dipalsukan dan berasosiasi dengan kombinasi dokumen dan kunci privat secara unik.
131
Sebagaimana lazimnya dipahami terhadap keberadaan suatu tanda tangan secara konvensional, maka paling tidak keberadaan tersebut memperlihatkan
beberapa hal, yakni:
132
131
B. Schneier, Applied Cryptography New Jersey: John Wiley Sons, 1996, hlm. 403-410.
132
Edmon Makarim, Notaris Transaksi Elektronik Kajian Hukum tentang Cybernotary atau Electronic Notary Jakarta: P.T.Rajagrafindo, 2013 selanjutnya disebut Edmon Makarim II,
hlm. 49.
lxxxiv
1. Fungsi simbolik dari otorisasi seseorang dimana dengan pembubuhan identitas
suatu subjek hukum yang bertanggungjawab, bahwa apa yang dituliskan atau disampaikan, selain mempresentasikan karakteristik identitas dari seseorang
meskipun terdapat kesamaan nama orang , namun ekspresi tanda tangannya akan selalu berbeda dan juga kewenangannya;
2. Fungsi autentifikasi bahwa apa yang ditandatangani telah dibacanya dan
diketahuinya serta dikunci dengan keberadaan pencantuman namanya contoh: dalam pembuatan suatu perjanjian, maka terdapat paraf setiap halaman yang telah
dibacanya; 3.
Fungsi persetujuan bahwa tindakan penandatanganan adalah penjelmaan dari suatu tindakan persetujuan atau penerimaaan terhadap konten di dalamnya;
4. Fungsi pembuktian bahwa selanjutnya konten atau informasi tersebut akan
menjadi bukti hukum bagi para pihak yang menggunakannya. Untuk melihat “originalitas” suatu tanda tangan, lazimnya suatu dokumen
yang telah menyimpan spesimen keberadaan tanda tangan tersebut sebelumnya. Tidak jauh berbeda dengan dengan konvensional, suatu tanda tangan elektronik
adalah berfungsi sama sebagaimana layaknya suatu tanda tangan di atas kertas. Korelasi ini disebut juga dengan “functional equivalent approach
133
133
Functional equivalent approach yaitu mempersamakan secara fungsional bahwa suatu informasi elektronik adalah sama dengan bukti tulisan jika memenuhi tiga dasar, yakni: 1informasi
tersebut dianggap “tertulis” jika ia disimpan dan ditemukan kembali, 2informasi tersebut dianggap “asli” jika disimpan dan ditemukan serta dibaca kembali tidak berubah substansinya, atau dengan kata
lain terjamin keautentikan dan integritasnya,dan 3informasi tersebut dianggap “bertanda tangan” apabila terdapat informasi yang menjelaskan adanya suatu subjek hukum yang bertanggungjawab di
” yakni suatu
lxxxv
pendekatan yang mempersamakan suatu tanda tangan elektronik secara fungsional dengan suatu tanda tangan elektronik di atas kertas.
Ada langkah penting yang perlu ditempuh untuk pengamanan tanda tangan elektronik adalah sebagai berikut :
134
1. Sistem tidak dapat diakses oleh orang lain yang tidak berhak;
2. Penandatangan harus waspada terhadap penggunaan tidak sah dari data
pembuatan tanda tangan oleh orang lain; 3.
Penandatangan harus menggunakan cara atau instruksi yang dianjurkan oleh penyelenggara tanda tangan elektronik. Penandatangan harus memberitahukan
kepada orang yang mempercayai tanda tangan tersebut kepada pihak layanan tanda tangan elektronik apabila ia mempercayai bahwa :
a. Data pembuatan tanda tangan telah dibobol; atau
b. Tanda tangan dapat menimbulan resiko, sehingga ada kemungkinana
bobolnya data pembuatan tanda tangan. 4.
Jika sertifikat digunakan sebagai pendukung tanda tangan elektronik, berarti semua informasi yang disediakan harus benar.
Metode yang paling dikenal dan secara universal diterima dari otentifikasi elektronik adalah berdasarkan pada sistem kriptografi asimetrik. Ini yang dikenal
dengan Public Key Infrastructure PKI dan digunakan untuk membuat tanda tangan digital.Otentifikasi elektronik mengunakan tandatangan digital membutuhkan
Certification Authority
135
atasnya atau terdapat sistem autentifikasi yang realible menjelaskan identitas dan otorisasi ataupun verifikasi dari pihak tersebut.
134
Iman Sjahputera, Op.cit., hlm. 100.
135
Certification Authoritysama dengan Penyelenggara Sertifikasi Elektronik.Perbedaan hanya pada penamaan dalam bahasa.
selanjutnya disebut CA, yang bertindak sebagai pihak ketiga atau notaris elektronik di dalam dunia maya, untuk mengeluarkan tanda tangan
digital atau sertifikat kunci publik kepada perseorangan untuk membuktikan identitas mereka dalam dunia maya dengan mengikatkan kunci publik dengan identitas seperti
lxxxvi
nama, alamat, nomor telepon, nomor paspor, dan lain-lain. Sambil memastikan bahwa pengolahan entitas dari kesesuaian atribut kepemilikan kunci
privat.Penyelenggara sertifikasi elektronik dan rezim yang mengatur operasi mereka bersama yang dikenal dengan PKI Publik Key Infrastructure.PKI ini adalah pondasi
untuk keamanan transaksi di dunia maya. Tantangan utama yang dihadapi dalam implementasi tanda tangan digital
berdasarkan sistem kriptografi asimetrik adalah membuat semua kunci publik tersedia secara luas sementara memastikan bahwa partai yang dapat diandalkan dapat yakin
bahwa kunci pribadi yang sesuai memang telah digunakan untuk membuat tandatangan digital.
136
1. Data pembuatan tanda tangan terkait hanya kepada penandatangan saja;
. Tanda tangan digital ini memiliki kekuatan yang sah selama memenuhi
persyaratan sebagai berikut:
2. Data pembuatan tanda tangan digital pada saat proses penandatanganan hanya
berada dalam kuasa penandatangan; 3.
Segala perubahan terhadap tanda tangan digital yang terjadi setelah waktu penandatanganan dapat diketahui;
4. Segala perubahan terhadap informasi elektronik yang terkait dengan tanda tangan
digital tersebut setelah waktu penandatanganan dapat diketahui; 5.
Terdapat cara tertentu yang dipakai untuk mengidentifikasi siapa penandatanganannya.
6. Terdapat cara tertentu untuk menunjukkan bahwa penandatangan telah
memberikan persetujuan terhadap informasi elektonik yang terkait dengan tanda tangan digital.
136
Kamlesh K Bajaj, Debjani Nag, E-Commerce, The Cutting Edge of Business Second Edition New Delhi: Tata Mc Graw-Hill Publishing Company Limited, 2005, hlm. 316.
lxxxvii
a. Melakukan verifikasi, pemeriksaan dan pembuktian identitas pengguna dan
pelanggan serta mensahkan pasangan kunci public dengan identitas pemiliknya.
b. Administratif mencakup registrasi, otentifikasi fisik, pembuatan dan
pengelolaan kunci, pengelolaan dan pembekuan sertifikasi digital,. c.
Menyediakan directory tentang status sertifikasi digital yang diterbitkannya. d.
Dapat dilengkapi dengan lembaga pelaksanaan registrasi yang menjalankan fungsi administratif.
e. Dapat mendelegasikan fungsi registrasi dan publikasi kepada sebuah Otoritas
Registrasi dan Penyedia Jasa Repositori tempat untuk menyimpan dan mengumumkan sertifikasi digital yang diakses oleh publik, tetapi
tanggungjawab tetap berada pada CA.
Identitas para pihak ini juga memiliki kaitan erat dengan Sertifikat Elektronik.Kaitan tersebut seperti yang telah dijelaskan sebelumnya bahwa dalam
suatu sertifikasi elektronik memiliki tanda tangan elektronik dan identitas para pihak. Dengan kata lain, untuk menerbitkan suatu sertifikat elektronik, PSE harus
mengetahui identitas para pihak dalam tanda tangan digital tersebut, PSE baru bisa memastikan keaslian identitas. Dalam sertifikasi tanda tangan elektronik harus
memuat informasi minimal yang disyaratkan tercantum dalam sebuah norma internasional yang disebut recommendation X-509 versi 3. Adapun contoh bentuk
sertifikat elektronik pada umumnya. Adapun isi daripada sertifikasi tanda tangan digital adalah sebagai berikut:
137
1. Versi;
2. Nomor seri dari sertifikat;
3. Alogaritma tanda tangan yang digunakan untuk menandatangani
137
Ibid.,hlm. 318.
lxxxviii
4. Nama dari Certification Authority;
5. Periode validasi dari sertifikat;
6. Nama dari pengguna;
7. Kunci publik dari pengguna;
8. Tanda tangan dari CA dan;
9. Ektensi.
Adapun fungsi sertifikat elektronik yang diterbitkan oleh PSE itu sendiri adalah untuk menjamin keamananan penyelenggaraan sistem elektronik.Contoh
konkretnya adalah penyelenggaraan sistem elektronik layanan perbankandijamin aman oleh PSE apabila telah mendapatkan sertifikat elektronik. Lembaga-lembaga
non-perbankan seperti penerbangan, telekomunikasi, teknologi informasi, pasar modal,dan lain-lain juga dapat menggunakan sertifikat elektronik untuk memastikan
keamanan penyelenggaraan sistem elektronik mereka.
138
138
“Fungsi Sertifikasi Elektronik dan Sertifikasi Keandalan dalam Dunia Usaha,” http:www.hukumonline.comklinikdetaillt5057c34824c0cfungsi-sertifikasi-elektronik-dan-
sertifikasi-keandalan-dalam-dunia-usaha diakses pada tanggal 3 Agustus 2015.
Fungsi sertifikat elektronik ini biasanya berbeda-beda tergantung dari siapa dan untuk apa sertifikat elektronik
tersebut digunakan. Sebagai contoh penggunaaan sertifikat elektronik dalam perpajakan adalah sebagai prasyarat untuk mendapatkan layanan perpajakan secara
elektronik melalui akun PKP dalam melaksanakan ketentuan Undang-Undang
lxxxix
Nomor 42 tahun 2009 tentang Pajak Pertambahan Nilai seperti penggunaan aplikasi e-Faktur, permintaan nomor seri Faktur Pajak secara online dan layanan lainnya.
139
B. Penyelenggaraan Sertifikasi Elektronik
Kategori