Oleh : Sjachrul Firdaus - Direktur Eksekutif ASTINDO

Pembayaran menggunakan Kartu Kredit (Credit Card) baik secara manual di gesek (swipe) ataupun dengan mengetik nomer Credit Card (CC) pada jaringan internet untuk pembayaran melalui on line, sudah menjadi transaksi yang biasa saat ini. Trend pembayaran praktis ini juga telah berdampak terhadap para penjahat IT untuk melakukan penipuan yang mengakibatkan kerugian yang tidak sedikit. Para International Airlines melaporkan telah menjadi korban penipuan menggunakan kartu kredit yang nilainya hingga mencapai USD 5 juta pertahun. Hal tersebut membuat para airlines mendesak IATA untuk mengatur pengamanan terhadap penyimpanan data pembayaran melalui Kartu Kredit bagi penerimanya.


Untuk melindungi bisnis penjualan ticket dari risiko kerugian, Airlines meminta IATA untuk mengubah Resolusi 890. Bagian 2.1.5, yang mulai diberlakukan efektif 01 January 2008, yang isinya menjadi : Travel Agent harus memastikan kepatuhan penuh terhadap “Standar Keamanan Data Industri Kartu Pembayaran” atau Payment Card Industry Data Security Standard (PCI DSS) sebagaimana yang diberikan oleh perusahaan penerbit kartu yang juga tersedia melalui IATA. Bahwa semua data sensitive mengenai kartu kredit yang tercatat selama proses menyelesaikan transaksi penjualan, harus disimpan dan ditransmisikan dengan memperhatikan keamanan data.

Kepatuhan memenuhi PCI DSS yang sedianya diberlakukan mulai tanggal 1 Juni 2017 di Indonesia, telah disanggah oleh Sekretaris Umum ASTINDO – Pauline Suharno pada Regular Meeting FATA di Kuala Lumpur tanggal 1 April 2017, karena pemberitahuannya dianggap sangat mendadak dalam kurun waktu yang singkat, sehingga Ketua Umum ASTINDO – Elly Hutabarat meminta IATA untuk mengundurkan penerapan PCI DSS di Indonesia, yang kemudian IATA menyetujui pengunduran penerapannya baru akan diberlakukan mulai tanggal 01 Maret 2018.

Permasalahan baru yang timbul adalah untuk memenuhi PCI DSS, Travel Agent harus mengikuti proses sertifikasi yang harus memenuhi 12 ( persyaratan) , dan bukan saja memakan waktu yang cukup lama antara 3 – 6 bulan, namun juga biayanya cukup mahal, karena harus dilakukan assessment terhadap semua Business Proses yang diterapkan oleh masing-masing Travel Agent, dan juga harus menggunakan aplikasi khusus yang memerlukan persyaratan khusus.

Sepertinya sulit untuk dielakan lagi, karena di Singapore dan Malaysia, PCI DSS sudah diterapkan. Namun demikian ASTINDO masih berusaha agar penerapan PCI DSS di Indonesia tidak terlalu membebani anggota, khususnya dalam pembiayaan sertifikasinya. Untuk sementara ini di Indonesia belum ditemukan Lembaga Sertifikasi yang membidangi PCI DSS dari Indonesia, semua masih berasal atau berafiliasi dengan pihak asing. ASTINDO telah menseleksi beberapa Lembaga Sertifikasi yang dapat menangani PCI DSS, yaitu dari Malaysia dan yang berafiliasi dengan German, dengan biaya sertifikasi yang ditawarkan mulai dari Rp 20 juta hingga Rp 400 juta untuk masa berlaku setahun.

Wakil Ketua Umum ASTINDO – Rudiana merasa keberatan karena kebijakan ini cukup membebani Travel Agent khususnya yang kecil. Hanya untuk menerima pembayaran dari hasil menjual ticket dengan menggunakan Credit Card, yang notabene hanya untuk mendapatkan Service Charge atau keuntungan yang relative kecil, namun harus diikutkan dengan ketentuan yang membebani biaya yang cukup besar.

 

 

SF006/07/2017