Penyalahgunaan Data Pelanggan. Inilah Cara Penanganan ISO 27001:2013

Beberapa tahun belakangan ini marak sekali terjadi kasus penjualan data konsumen di kalangan e-commerce. Berdasarkan studi Cisco tahun 2021, 33% UKM di Indonesia mengalami insiden siber. Hal tersebut membuat khawatir para UKM yang juga merupakan pengguna jasa e-commerce karena merasa informasi pribadi mereka sudah tersebar dan adanya kekhawatiran untuk disalahgunakan. Dimana pada kejadian tersebut data-data pribadi yang dijual belikan biasanya berupa nama, nomor telepon dan alamat email.

Apabila data-data pribadi pelanggan tersebar, dapat terjadi kemungkinan disalahgunakan oleh oknum tidak bertanggung jawab,  salah satunya dapat digunakan oknum tersebut dalam pengajuan pinjaman online ilegal. Melihat kemudahan mendapatkan uang cash dengan mudah hanya menggunakan data pribadi.

Data-data tersebut jika tidak diproteksi, maka rentan disalahgunakan oleh pihak-pihak yang tidak bertanggungjawab, dimana Informasi tersebut nantinya dapat dijual oleh oknum tersebut di dark web/web gelap, ataupun forum hacker. Dimana informasi konsumen tersebut memiliki range harga yang berbeda-beda tergantung kelengkapan datanya. Semakin rinci data yang didapatkan, maka harganya akan semakin tinggi.

Melihat fenomena tersebut dari sudut pandang ISO 27001:2013, hal ini tidak dapat dibenarkan. Perusahaan e-commerce memiliki kewajiban untuk melindungi informasi perusahaan serta konsumennya dari sisi internal dan eksternal.

ISO 27001:2013 atau ISMS (Information Security Management System) dibuat dengan tujuan menjadi standar khusus yang terstruktur tentang pengamanan informasi dan sudah diakui secara Internasional. Adapun pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol seperti kebijakan, proses, prosedur, dan struktur organisasi.

Dari sisi internal dapat mengacu pada Annex 14 mengenai ‘System Acquisition, Development, and Maintenance’  yang mengatur tentang penjagaan semua data perusahaan baik dari sisi security dan development. Sehingga dapat dipastikan bahwa segala informasi konsumen menjadi tanggung jawab e-commerce tersebut. Baik itu informasi pribadi konsumen, pencarian produk hingga transaksi yang dilakukan.

Sebagai contoh, dengan adanya dokumentasi yang lengkap dan terstruktur serta implementasi kebijakan yang berlaku, maka perusahaan dapat meningkatkan pengamanan sistem yang lebih memadai untuk melindungi transaksi dalam aplikasi. Selain itu juga perusahaan memiliki pandangan dalam menetapkan standar keamanan terhadap sistem yang dimiliki.

Dari sisi eksternal, ISO 27001 pun sudah mengatur melalui pernyataan yang menyatakan mengenai ketentuan apa saja yang dibutuhkan apabila perusahaan mempekerjakan pihak ketiga, hal ini sesuai dengan Annex 14.2.7 dalam statement ‘Outsourced Development’  yang mengharuskan adanya penyaringan informasi mana saja yang dapat disampaikan dan otorisasi karyawan non organic di dalam sistem perusahaan. Selain itu encryption data juga perlu diberlakukan supaya informasi tidak tersebar dengan mudah.

Untuk menjaga efektifitas dan keberhasilan ISO 27001 yang telah diterapkan oleh sebuah perusahaan, maka perusahaan juga perlu melakukan beberapa hal seperti maintain karyawan perlu dilakukan terus menerus karena ISO 27001 bersifat continuous improvement. Dan melakukan peningkatan pada bagian operasional agar Sertifikat ISO 27001 yang telah didapatkan perusahaan tidak menjadi sia-sia.

Sejak tahun 2019, RUU PDP sudah menjadi pembahasan di DPR RI.  Hal ini dilakukan karena Indonesia dianggap harus secepatnya memiliki payung hukum khusus terkait perlindungan data pribadi. Sebab berdasarkan konstitusi, kepemilikan pribadi juga wajib dilindungi. Dimana pada RUU tersebut sudah mengakomodir mengenai ketentuan-ketentuan dari akses data yang digunakan oleh perusahaan. Baik dari pembaharuan data, transfer data hingga penghapusan data.

Dengan adanya RUU PDP tersebut, diharapkan dapat menjawab keresahan masyarakat dan tentunya ini juga harus didukung dengan meningkatkan awareness perusahaan terhadap data-data konsumennya. Sehingga bisa menurunkan tingkat kebocoran data dan penjualan data di masyarakat.

Equine Global sebagai perusahaan IT Consulting memiliki tenaga ahli di bidang ISO 27001. Jika ingin mendapatkan informasi lebih lanjut mengenai konsultasi tersebut, maka dapat menghubungi kami melalui contact@equine.co.id.