Penulis: Vivek Tyagi (Product Marketing Manager, Human Machine Interface Division, Microchip Technology)
Tampilan layar sentuh merupakan bagian yang tidak terpisahkan dari setiap sistem pembayaran modern dan terminal titik penjualan (point of sale — POS). Layar sentuh (touchscreen) sangat meningkatkan daya tarik estetis terminal pembayaran serta menawarkan modality kontrol modern yang familiar bagi pengguna ponsel, komputer tablet, dan laptop layar sentuh. Namun, terlepas dari semua manfaat ini, layar sentuh dapat memberikan celah keamanan siber (cyber security) yang dapat memudahkan upaya pencuri kartu.
Kepatuhan terhadap Standar Keamanan Data Industri Kartu Pembayaran (Payment Card Industry Data Security Standard — PCI DSS) menjadi hal yang sangat penting dalam merancang sistem peranti keras/lunak yang aman, yang membantu pelanggan dalam membangun produk pembayaran yang kuat dan terlindungi tanpa menurunkan kegunaan atau kehebatan desain industri. Artikel ini akan mengulas tentang evolusi sistem pembayaran POS, celah keamanan siber layar sentuh, dan kriteria yang harus dipenuhi agar lulus sertifikasi PCI untuk setiap terminal berbasis layar sentuh.
Layar Sentuh pada Tampilan POS
Selama beberapa dekade, konsumen di seluruh dunia membayar barang dan jasa dengan kartu kredit di terminal POS. Secara bertahap, terminal menambahkan tampilan kecil berbiaya rendah agar dapat memberikan lebih banyak masukan mengenai status transisinya kepada para pedagang dan pengguna. Tombol ditambahkan pada bagian sisi atau bawah tampilan yang sejajar dengan tombol virtual pada layar agar pengguna dapat memilih opsi pedagang seperti memilih jenis kartu (contoh: kredit vs. debit), memilih jumlah tip, dan mencetak tanda terima. Input pengguna untuk nomor kartu dan kode pin dilakukan melalui keypad mekanis. Gambaran ini mendeskripsikan sebagian besar terminal POS yang digunakan hingga saat ini.
Tren dalam industri pembayaran adalah mengganti layar nirsentuh monokrom kecil dan tombol mekanis dengan layar sentuh berwarna dan besar. Tampilan warna ini lebih indah dan menarik bagi pedagang dan konsumen. Tampilan layar sentuh juga memungkinkan vendor terminal POS untuk menghapus tombol pintar layar samping/bawah dan keypad mekanis. Hal ini akan meningkatkan keandalan sistem dengan menghilangkan komponen bergerak yang aus seiring berjalannya waktu (baik mekanisme key press switch internal maupun tulisan pada permukaan kunci). Layar sentuh juga dapat membantu menghilangkan ancaman masuknya air ke terminal pada setiap tombol. Layar sentuh berwarna juga membantu pedagang dalam upaya branding dan periklanan mereka — tren yang meningkatkan ukuran tampilan layar sentuh modern pada semua jenis terminal pembayaran.
Tren lain seputar tampilan layar sentuh berukuran besar dalam sistem pembayaran adalah mesin kasir elektronik (electronic cash register — ECR) sebagai pelengkap terminal POS. ECR digunakan pada lingkungan ritel multi-jalur tradisional dan jalur pembayaran mandiri yang makin populer. Sistem ECR membantu gerai ritel melacak penjualan, mengurangi kesalahan penjualan, melacak inventaris, dan juga mencatat transaksi keuangan dalam sistemnya. Tampilan layar sentuh ECR menghadirkan fleksibilitas tinggi ketika memasukkan rincian seperti jenis dan jumlah produk, opsi seperti pembelian tas belanja, dan memilih opsi pembayaran. Secara umum, ECR bukan perangkat pembayaran yang aman; oleh karenanya, ECR biasanya digabungkan dengan terminal POS yang dapat memproses pembayaran melalui kartu, telepon, dan jam tangan pintar.
Seiring berjalannya waktu, ECR dan terminal POS mulai melebur menjadi satu sistem pembayaran berbasis layar sentuh yang aman. Layar sentuh berukuran sekitar 3,5” hingga 42” telah menjadi bagian yang tidak terpisahkan dari terminal ECR dan POS modern. Interaksi pengguna, kehadiran teknologi NFC nirkontak, konektivitas telepon seluler, dan konsolidasi fitur ke dalam satu sistem menyebabkan kemunculan komputer tablet/kios dengan fitur fixed wall atau terminal POS berbasis seluler bertenaga baterai dibandingkan sistem ECR-POS yang terpisah. Terminal POS portabel memungkinkan pedagang untuk menagih pembayaran di mana saja, baik di dalam maupun di luar toko.
Perkembangan pesat tren pembayaran nirsentuh yang memberikan kemudahan penggunaan dan kenyamanan ini menyebabkan munculnya terminal pembayaran publik tanpa pengawasan dan self-service di mesin penjual otomatis, meteran parkir, dispenser bensin otomatis, dan stasiun pengisian kendaraan listrik. Layar sentuh berukuran besar tidak hanya memungkinkan pedagang untuk menampilkan lebih banyak informasi tentang barang yang dibeli, tetapi juga membantu menghasilkan aliran pendapatan tambahan melalui promosi produk dan iklan.
Keamanan POS dan Kepatuhan PCI
Pengamanan data pengguna seperti nomor rekening utama (primary account number — PAN), kredensial kartu kredit (nomor kartu, tanggal berakhir, dan card verification value — CVV) serta PIN pengguna menjadi prioritas tertinggi dalam perancangan sistem pembayaran. Transaksi kartu setrip magnetik (swipe) memiliki celah keamanan bawaan dan lebih rentan terhadap kerusakan karena setrip akan rusak seiring waktu pemakaian dan ketika terkena medan magnet. Alternatif metode pembayaran kartu yang lebih aman adalah Dip (cip-dan-PIN) serta Tap (komunikasi nirkabel jarak dekat: NFC). Metode-metode ini dilengkapi dengan mekanisme autentikasi alternatif seperti kode QR (di kertas meupun telepon) dan biometrik (jari, wajah, atau mata).
Namun, pengenalan layar sentuh juga memiliki peran khusus baru dalam keamanan sistem input PIN ketika menggantikan keypad mekanis. Transfer data/PIN sentuh rentan terhadap serangan penyadapan/man-in-the-middle melalui tampilan sensor sentuh, lapisan bawah, dan bahkan serangan communication probe bus antara IC sentuh dan MPU host yang aman sebagaimana digambarkan pada Diagram 1. Firmware pada kontroler sentuh rentan terhadap peretasan untuk dimasuki sebagai pintu belakang untuk mengambil rincian kartu. Konfigurasi kontroler sentuh rentan terhadap modifikasi yang dapat membuka celah pada sistem yang sebelumnya telah lulus pengujian sertifikasi keamanan.
Diagram 1.