Keamanan Dokumen Dalam E-Procurement
of 21
description
Keamanan informasi/dokumen elektronik dalam e-procurement merupakan hal yang sangat penting untuk diperhatikan, tetapi masih banyak yang mengabaikannya.
Transcript of Keamanan Dokumen Dalam E-Procurement
-
KEAMANAN DOKUMENDALAM e-PROCUREMENT
Author :
Ir. Adhi PramonoPerekayasa Madya
I. PENDAHULUAN
Dokumen berisi sekumpulan data atau informasi yang memiliki arti atau maksud tertentu bagi pihak yang memahaminya/membutuhkannya. Berdasarkan Undang-Undang Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik, definisi informasi adalah sebagai berikut :
Informasi adalah keterangan, pernyataan, gagasan dan tanda-tanda yang mengandung nilai, makna dan pesan, baik data, fakta maupun penjelasannya, yang dapat dilihat, didengar dan dibaca yang disajikan dalam berbagai kemasan dan format sesuai dengan perkembangan teknologi informasi dan komunikasi secara elektronik ataupun non elektronik.
Pengertian informasi yang dikemas secara elektronik dapat dilihat dalam Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik yang berbunyi sebagai berikut :
Informasi Elektronik adalah satu atau sekumpulan data elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto, electronic data interchange (EDI), surat elektronik (electronic mail), telegram, teleks, telecopy atau sejenisnya, huruf, tanda, angka, kode akses, simbol, atau perforasi yang telah diolah yang memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya.
Sedangkan pengertian dokumen elektronik menurut Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik berbunyi sebagai berikut :
Dokumen Elektronik adalah setiap informasi elektronik yang dibuat, diteruskan, dikirimkan, diterima, atau disimpan dalam bentuk analog, digital, elektromagnetik, optikal, atau sejenisnya, yang dapat dilihat, ditampilkan, dan/atau didengar melalui komputer atau sistem elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto atau sejenisnya, huruf, tanda, angka, kode akses, simbol atau perforasi yang memiliki makna atau arti atau dapat dipahami oleh orang yang mampu memahaminya.
1 / 21
-
Dokumen elektronik yang berisi informasi elektronik dapat dianggap sebagai aset yang bersifat strategis bagi individu, organisasi, badan usaha bahkan pemerintah. Hal ini terjadi apabila informasi tersebut memiliki nilai yang dibutuhkan dalam proses pengambilan keputusan. Oleh karena sifatnya yang strategis ini, maka informasi dan dokumen elektronik harus dilindungi sesuai standar keamanan informasi agar terhindar dari gangguan/ancaman, baik internal maupun eksternal organisasi.
Aspek keamanan informasi perlu diperhatikan. Informasi yang terkandung dalam dokumen elektronik harus memenuhi aspek keamanan tersebut. Oleh karenanya maka sistem aplikasi yang mengelola dokumen elektronik juga harus dapat melakukan pemenuhan aspek keamanan informasi elektronik yang terkandung di dalamnya dengan benar sesuai standar keamanan informasi elektronik.
e-Procurement merupakan proses pengadaan yang dilakukan secara elektronik melalui internet/web. Dokumen elektronik yang dikelola dalam e-procurement merupakan dokumen negara yang berupa dokumen yang berkaitan dengan pengadaan barang/jasa pemerintah, yang harus memenuhi aspek keamanan yang dipersyaratkan. Untuk itu perlu diterapkan suatu metode pengamanan dokumen yang memenuhi standar keamanan yang berlaku.
Keamanan dokumen elektronik dalam sistem aplikasi e-procurement sangat diperlukan, agar terhindar dari kebocoran informasi yang dapat disalahgunakan oleh pihak yang tidak bertanggungjawab serta untuk menjaga kepercayaan pengguna/publik terhadap akuntabilitas sistem e-procurement. Memang, keamanan informasi/dokumen elektronik merupakan hal yang sangat penting untuk diperhatikan, tetapi masih banyak juga yang mengabaikannya.
Aplikasi e-procurement yang dibahas di sini adalah aplikasi Sistem Pengadaan Secara Elektronik (SPSE) yang dikelola oleh unit Layanan Pengadaan Secara Elektronik (LPSE).
2 / 21
-
II. KEAMANAN DOKUMEN ELEKTRONIK
Dokumen elektronik biasanya berupa suatu file yang disimpan dalam media penyimpan magnetik seperti floppy disk, compact disc, flash disk, hard disk, memory card, magnetic tape dsb. File ini dapat berupa file teks, file angka, file gambar, file suara, file presentasi dsb. Pada umumnya isi file-file ini mengandung nilai yang strategis, sehingga keamanannya harus selalu diperhatikan, agar terhindar dari kebocoran informasi yang dapat disalahgunakan oleh pihak yang tidak bertanggungjawab serta untuk menjaga kepercayaan pengguna/publik terhadap akuntabilitas informasi dalam dokumen elektronik tersebut.
A. Aspek Keamanan Informasi
Informasi dalam dokumen elektronik merupakan aset strategis bagi suatu organisasi, apabila mengandung nilai yang strategis dalam proses pengambilan keputusan. Adanya nilai yang strategis inilah yang dapat menimbulkan ancaman terhadap informasi tersebut. Ancaman informasi dapat berasal dari internal atau eksternal organisasi.
Ancaman dari internal organisasi antara lain berupa kecerobohan pengguna dalam mengoperasikan perangkat teknologi informasi, ketidaktertiban administrasi yang diakibatkan oleh tidak adanya SOP, atau tidak digunakannya perangkat pengamanan dokumen elektronik seperti persandian/kriptografi. Sedangkan ancaman yang berasal dari eksternal organisasi meliputi gangguan layanan, pencurian informasi, perusakan hingga penghentian operasional sistem yang dilakukan oleh pihak yang tidak bertanggungjawab.
Gambar 1 : Aspek keamanan informasi.
3 / 21
INFORMASIINFORMASI
INFORMASI
INFORMASI
INFORMASI
Non-repudiation
Access Control
Authentication
Availability
Integrity
Privacy
Confidentiality
-
Sistem informasi memiliki aspek keamanan yang perlu diperhatikan. Aspek keamanan informasi tersebut terdiri dari :1). Confidentiality :
Informasi hanya dapat diakses oleh orang yang memiliki hak untuk mengakses informasi tersebut, sehingga kerahasiaan informasi dapat terjaga. Isi informasi tertutup dari siapapun kecuali yang memiliki hak/otoritas/kunci rahasia untuk membuka informasi tersebut. Aspek ini bertujuan agar informasi tidak disalahgunakan oleh orang yang tidak memiliki hak akses.
2). Privacy :Informasi hanya dapat diakses oleh pemilik informasi, misalnya e-mail yang hanya dapat/boleh dibaca oleh pengirim dan penerima e-mail. Informasi hanya dapat diakses oleh orang yang berhak untuk dipergunakan dalam kegiatan tertentu saja.
3). Integrity :Informasi harus lengkap, akurat dan tidak berubah dari aslinya. Informasi yang diterima harus tetap sama dengan informasi yang dikirimkan dari sumbernya. Aspek ini menjamin tidak adanya perubahan data secara tidak sah, karena itu sistem harus mampu mendeteksi perubahan/manipulasi data secara tidak sah oleh pihak yang tidak berhak seperti penyisipan, penghapusan dan penggantian dengan data lain ke dalam data yang sebenarnya/asli.
4). Availability :Informasi harus selalu tersedia/siap pakai dan dalam format yang benar/bisa dipergunakan pada saat dibutuhkan. Dengan demikian pengguna yang berhak akan selalu dapat mengakses informasi yang dibutuhkan, kapan saja.
5). Authentication :Informasi yang disajikan benar-benar asli dan pada server yang asli serta orang yang mengakses informasi adalah orang yang berhak sesuai identitas yang diberikan. Aspek ini berhubungan dengan identifikasi/pengenalan pihak-pihak yang saling berkomunikasi (pengirim dan penerima informasi). Informasi yang dikirimkan melalui channel harus dilakukan authentication terhadap keasliannya, isi datanya, waktu pengiriman dll.
6). Access control :Pengaturan akses terhadap informasi, yang berhubungan dengan klasifikasi data, klasifikasi user/hak akses dan mekanismenya.
7). Non-repudiation :Informasi harus memiliki tanda/kode khusus untuk mencegah terjadinya penyangkalan terhadap informasi yang telah dikirimkan atau transaksi yang telah dilakukan. Dengan demikian pihak yang telah mengirimkan informasi atau melakukan transaksi tersebut dapat mengakuinya dan tidak dapat melakukan penyangkalan.
4 / 21
-
B. Kriptografi
Salah satu metode untuk memenuhi aspek keamanan informasi dalam dokumen elektronik adalah dengan menerapkan teknologi kriptografi. Secara umum, kriptografi merupakan algoritma penyandian untuk menjaga kerahasiaan informasi atau dokumen elektronik. Proses penyandian teks terang (plaintext) menjadi teks tersandi (ciphertext) disebut enkripsi, dan sebaliknya penerjemahan teks tersandi (ciphertext) menjadi teks terang (plaintext) disebut dekripsi.
Algoritma yang digunakan dalam kriptografi harus dapat melakukan pembingungan (confusion) dan peleburan (difusion), agar dapat berfungsi mengamankan informasi. Pembingungan (confusion) menghasilkan teks tersandi (ciphertext) yang sulit untuk direkomendasikan secara langsung tanpa menggunakan algoritma dekripsinya. Sedangkan peleburan (difusion) menyebabkan karakteristik teks terang (plaintext) menjadi hilang. Algoritma penyandian yang handal adalah algoritma penyandian yang kekuatannya terletak pada kunci, bukan pada kerahasiaan algoritma tersebut.
Gambar 2 : Proses kriptografi.
Apabila P adalah elemen-elemen teks terang (plaintext) dan C adalah elemen-elemen teks tersandi (ciphertext), sedangkan E adalah proses enkripsi dan D adalah proses dekripsi, maka :
Enkripsi : E(P) = CDekripsi : D(C) = P atau D(E(P)) = P
5 / 21
te k ste ra ng
plaintext plaintext
ciphertext
penyandian penerjemahante ks
te ra ng
ENKRIPSI DEKRIPSI
ENKRIPSI DEKRIPSI
teks
terang
-
C. Standar Keamanan Informasi
Sistem keamanan informasi telah diatur dan mengikuti standar internasional yakni ISO-17799. Berdasarkan ISO-17799, ada 10 (sepuluh) kategori yang harus dilakukan untuk mengelola keamanan informasi, yaitu :1). Organizational Security Policy :
Kebijakan untuk memberikan arah terhadap manajemen keamanan informasi yang akan diterapkan.
2). Organizational Security Infrastructure :Pengaturan keamanan informasi internal dan pengaturan akses oleh pihak lain.
3). Asset Classification and Control :Pengelolaan perlindungan aset informasi.
4). Personnel Security :Untuk mengurangi kesalahan pengguna, pencurian dan kesalahan penggunaan fasilitas informasi.
5). Physical and Environmental Security :Untuk mencegah akses tanpa otorisasi, kerusakan, interferensi, kehilangan, gangguan dan pencurian informasi.
6). Communication and Operation Management :Untuk menjamin keamanan operasi fasilitas informasi dan kelancaran pertukaran informasi antar organisasi.
7). System Access Control :Pengendalian akses informasi dan mendeteksi aktifitas tanpa otorisasi.
8). System Development and Maintenance :Untuk menjamin keamanan pengembangan dan pemeliharaan sistem operasional informasi.
9). Business Continuity Management :Memberikan reaksi terhadap gangguan aktifitas organisasi dan proses bisnis yang kritis ketika terjadi bencana.
10). Compliance :Untuk menghindari pelanggaran hukum dan peraturan perundang-undangan, menjamin pelaksanaan kebijakan dan standar keamanan informasi, memaksimalkan efektifitas dan meminimalkan pengaruh proses audit.
6 / 21
-
III. DOKUMEN e-PROCUREMENT
Pengadaan barang/jasa adalah kegiatan untuk memperoleh barang/jasa yang prosesnya dimulai dari perencanaan kebutuhan sampai diselesaikannya seluruh kegiatan untuk memperoleh barang/jasa. Layanan pengadaan barang/jasa yang dilakukan secara elektronik disebut e-procurement. Pelaksanaan e-procurement dilakukan melalui internet/web.
Pihak yang terkait dengan e-procurement terdiri dari Pejabat Pembuat Komitmen (PPK), Kelompok Kerja Unit Layanan Pengadaan (Pokja ULP), pengguna barang/jasa dan penyedia barang/jasa. Pengguna barang/jasa menyiapkan kebutuhan barang/jasa untuk melaksanakan kegiatan kerekayasaan. Berdasarkan kebutuhan pengguna tersebut, PPK membuat perkiraan biaya dan spesifikasi teknis serta rancangan kontrak kerjasama teknis. Proses pelelangan pengadaan barang/jasa dilakukan oleh Pokja ULP melaluie-procurement. Penyedia barang/jasa yang berminat dapat mengikuti pelelangan melalui e-procurement, dan penyedia barang/jasa yang ditunjuk sebagai pemenang lelang harus melaksanakan pengadaan barang/jasa mengikuti ketentuan yang tertuang dalam kontrak kerjasama teknis. Banyaknya pihak yang terkait dalam proses e-procurement mengakibatkan e-procurement memiliki kemungkinan yang cukup besar untuk mendapat ancaman, baik internal maupun eksternal.
Dalam prosesnya, e-procurement mengelola dokumen elektronik yang meliputi Dokumen Pengadaan dan Dokumen Penawaran. Adanya dokumen elektronik ini akan menambah besar ancaman terhadap e-procurement.
A. Dokumen Pengadaan
Dokumen Pengadaan adalah dokumen yang ditetapkan oleh Pokja ULP yang memuat informasi dan ketentuan yang harus ditaati oleh para pihak dalam proses pengadaan barang/jasa. Dalam proses e-procurement, Dokumen Pengadaan berupa dokumen elektronik.
Sebelum pelaksanaan e-procurement, Pokja ULP menyiapkan Dokumen Pengadaan dalam bentuk file teks yang dibuat melalui aplikasi pengolah kata (word processor). Lampiran-lampiran Dokumen Pengadaan dapat berupa file gambar atau file hasil pemindaian (scanning). Dokumen Pengadaan disusun oleh Pokja ULP berdasarkan data Harga Perkiraan Sendiri (HPS), spesifikasi teknis barang/jasa dan rancangan kontrak kerjasama teknis yang diperoleh dari PPK.
7 / 21
-
Informasi yang terkandung dalam Dokumen Pengadaan berupa ketentuan yang harus dipatuhi para pihak dalam pelelangan pengadaan barang/jasa yang meliputi :
- Pengumuman pelelangan- Instruksi kepada peserta lelang- Lembar data pemilihan- Lembar data kualifikasi- Rancangan kontrak kerjasama teknis- Daftar kuantitas barang/jasa- Spesifikasi teknis- Kerangka Acuan Kerja (KAK) / Term of Reference (TOR)- Gambar-gambar- Bentuk surat penawaran- Bentuk surat jaminan- Contoh-contoh formulir yang perlu diisi.
Dokumen Pengadaan bersifat mengikat para pihak apabila telah ditetapkan oleh Pokja ULP, tetapi tidak bersifat rahasia. Adanya sifat yang mengikat tersebut berarti aspek integrity dari Dokumen Pengadaan harus dapat terjaga dengan baik, karena segala informasi mengenai Dokumen Pengadaan yang diterima oleh para penyedia barang/jasa peserta pelelangan harus tetap sama dengan informasi Dokumen Pengadaan yang telah ditetapkan dan di-upload oleh Pokja ULP ke dalam sistem e-procurement. Integritas Dokumen Pengadaan harus dapat dijamin tidak ada perubahan data/informasi secara tidak sah oleh pihak yang tidak berhak seperti penyisipan, penghapusan dan penggantian data/informasi.
Gambar 3 : Aplikasi e-procurement menjaga integrity Dokumen Pengadaan.
8 / 21
Aplikasie-Procurement
DokumenPengadaan
Pokja ULP
uploa
d
Penyediabarang/jasa
peserta lelang
Penyediabarang/jasa
peserta lelang
Penyediabarang/jasa
peserta lelang
downlo ad
down loa
d
down load
-
Pokja ULP menyusun Dokumen Pengadaan berdasarkan data yang diperoleh dari PPK. Dokumen Pengadaan di-upload ke dalam aplikasi e-procurement oleh Pokja ULP. Dokumen Pengadaan yang berada dalam aplikasi e-procurement inilah yang dianggap sebagai dokumen asli, karena Dokumen Pengadaan inilah yang akan di-download oleh para penyedia barang/jasa sebagai peserta lelang. Aspek integrity dari Dokumen Pengadaan dijamin oleh aplikasi e-procurement.
B. Dokumen Penawaran
Dokumen Penawaran merupakan dokumen yang dibuat oleh penyedia barang/jasa peserta lelang untuk menawarkan barang/jasa kepada Pokja ULP berdasarkan ketentuan dan spesifikasi teknis/KAK/TOR yang tercantum dalam Dokumen Pengadaan. Penawaran meliputi penawaran pengadaan Barang, Pekerjaan Konstruksi, Jasa Konsultansi dan Jasa Lainnya.
Dokumen Penawaran untuk pengadaan Barang terdiri dari surat penawaran dan lampiran-lampirannya sebagai berikut :
1. Jaminan penawaran2. Daftar kuantitas dan harga 3. Surat perjanjian kemitraan/Kerja Sama Operasi4. Dokumen penawaran teknis, terdiri dari :
a. Spesifikasi teknis barangb. Jadwal waktu pelaksanaan/pengiriman barangc. Identitas (jenis, tipe dan merek) barangd. Jaminan purnajuale. Asuransif. Tenaga teknisg. Bagian pekerjaan yang disubkontrakkan
5. Formulir rekapitulasi perhitungan Tingkat Komponen Dalam Negeri (TKDN); 6. Dokumen isian kualifikasi yang dikirim melalui aplikasi SPSE; 7. Dokumen lain yang dipersyaratkan.
Dokumen Penawaran untuk pengadaan Pekerjaan Konstruksi terdiri dari surat penawaran dan lampiran-lampirannya sebagai berikut :
1. Jaminan penawaran2. Daftar kuantitas dan harga3. Surat perjanjian kemitraan/Kerja Sama Operasi4. Dokumen penawaran teknis, terdiri dari :
a. Metode pelaksanaanb. Jadwal waktu pelaksanaanc. Daftar personil intid. Jenis, kapasitas, komposisi, dan jumlah peralatan utama minimale. Spesifikasi teknisf. Bagian pekerjaan yang akan disubkontrakkan
5. Formulir rekapitulasi perhitungan Tingkat Komponen Dalam Negeri (TKDN)6. Dokumen isian kualifikasi yang dikirim melalui aplikasi SPSE7. Dokumen lain yang dipersyaratkan.
9 / 21
-
Dokumen Penawaran untuk pengadaan Jasa Konsultansi terdiri dari surat penawaran dan lampiran-lampirannya sebagai berikut :
1. Dokumen isian kualifikasi yang dikirim melalui aplikasi SPSE2. Dokumen penawaran teknis, terdiri dari :
a. Data pengalaman perusahaan, terdiri dari :1). Data organisasi perusahaan2). Daftar pengalaman kerja sejenis 10 tahun terakhir3). Uraian pengalaman kerja sejenis 10 tahun terakhir
b. Pendekatan dan metodologi, terdiri dari:1). Tanggapan dan saran terhadap Kerangka Acuan Kerja (KAK)2). Uraian pendekatan, metodologi dan program kerja3). Jadwal pelaksanaan pekerjaan4). Komposisi tim dan penugasan5). Jadwal penugasan tenaga ahli
c. Kualifikasi tenaga ahli, terdiri dari:1). Daftar riwayat hidup personil yang diusulkan2). Pernyataan kesediaan untuk ditugaskan dari personil yang diusulkan
3. Dokumen penawaran biaya, terdiri dari :a. Rekapitulasi penawaran biayab. Rincian biaya langsung personil (remuneration)c. Rincian biaya langsung non-personil (direct reimburseable cost)
4. Dokumen lain yang dipersyaratkan.
Dokumen Penawaran untuk pengadaan Jasa Lainnya terdiri dari surat penawaran dan lampiran-lampirannya sebagai berikut :
1. Jaminan penawaran2. Daftar kuantitas dan harga3. Surat perjanjian kemitraan/Kerja Sama Operasi4. Dokumen penawaran teknis, terdiri dari :
a. Metode pelaksanaanb. Jadwal waktu pelaksanaanc. Identitas (jenis, tipe dan merek) barang yang ditawarkand. Jaminan purnajuale. Asuransif. Jenis, kapasitas, komposisi dan jumlah peralatang. Spesifikasi teknish. Daftar personil intii. Tenaga teknisj. Bagian pekerjaan yang akan disubkontrakkan
5. Formulir rekapitulasi perhitungan Tingkat Komponen Dalam Negeri (TKDN)6. Dokumen isian kualifikasi yang dikirimkan melalui aplikasi SPSE7. Dokumen lain yang dipersyaratkan.
Informasi dalam Dokumen Penawaran berkaitan dengan persaingan harga dan persaingan usaha. Oleh karena itu Dokumen Penawaran bersifat rahasia sampai dengan saat pembukaan penawaran oleh Pokja ULP, sehingga aspek confidentiality dari Dokumen Penawaran harus dijamin dapat terpenuhi. Dokumen Penawaran hanya dapat dibuka oleh yang memiliki hak yaitu Pokja ULP dan tertutup bagi pihak yang tidak berhak. Hal ini bertujuan agar informasi penawaran tidak disalahgunakan oleh pihak yang tidak berkepentingan.
10 / 21
-
Aplikasie-Procurement
DokumenPenawaran
Pokja ULP
Penyediabarang/jasa
peserta lelang
Penyediabarang/jasa
peserta lelang
Penyediabarang/jasa
peserta lelang
Dokumen Penawaran juga merupakan dokumen elektronik yang dikemas dalam bentuk file teks, angka atau gambar. Biasanya file gambar diperoleh dari hasil pemindaian (scanning) brosur, gambar teknik dsb. File Dokumen Penawaran terdiri dari beberapa file, yakni file surat penawaran beserta file-file lampirannya.
Seluruh file Dokumen Penawaran yang telah di-enkripsi oleh masing-masing penyedia barang/jasa kemudian di-upload ke dalam aplikasi e-procurement. Pada saat pembukaan penawaran, Pokja ULP dapat men-download file-file Dokumen Penawaran milik para penyedia barang/jasa dari aplikasi e-procurement kemudian dilakukan dekripsi agar file-file tersebut dapat dibaca/dipahami oleh Pokja ULP.
Gambar 4 : Aplikasi e-procurement menjaga confidentiality Dokumen Penawaran.
11 / 21
enkripsi + upload
enkripsi
+ upload
enkrips
i + uplo
ad
dekripsi
dow nload
+
-
IV. PENGAMANAN DOKUMEN e-PROCUREMENT
Dokumen dalam proses e-procurement yang penting dan perlu untuk dilindungi adalah Dokumen Pengadaan dan Dokumen Penawaran. Kedua dokumen ini memegang peranan yang sangat penting dalam e-procurement dan memiliki nilai yang strategis dalam proses pengambilan keputusan.
Dokumen Pengadaan memiliki nilai strategis bagi penyedia barang/jasa peserta lelang, karena berisi informasi mengenai jenis barang/jasa yang dibutuhkan dan akan diadakan oleh Pokja ULP. Berdasarkan informasi dalam Dokumen Pengadaan inilah penyedia barang/jasa dapat mengambil keputusan mengenai merk, tipe dan harga barang/jasa yang akan ditawarkan dalam pelelangan.
Sedangkan Dokumen Penawaran memiliki nilai yang strategis bagi Pokja ULP, karena berisi beberapa alternatif barang/jasa yang ditawarkan oleh para penyedia barang/jasa peserta lelang. Pokja ULP harus mengambil keputusan mengenai penawaran barang/jasa yang memenuhi persyaratan yang telah ditetapkan dalam Dokumen Pengadaan untuk ditunjuk sebagai pemenang pelelangan.
Untuk melindungi Dokumen Pengadaan dan Dokumen Penawaran,e-procurement menggunakan pendekatan keamanan logic berupa pengaturan akses untuk melindungi Dokumen Pengadaan dan persandian untuk melindungi Dokumen Penawaran.
A. Pengaturan Akses
Pengaturan akses diberlakukan untuk semua pengguna aplikasi e-procurement, sehingga yang dapat masuk ke dalam aplikasi e-procurement hanyalah pengguna yang sudah terdaftar sebagai user pada aplikasi e-procurement. Pengaturan akses ini merupakan penerapan aspek access control untuk keamanan informasi dan dokumen elektronik dalam aplikasi e-procurement.
Aspek ini mengatur klasifikasi dan hak akses bagi user pada aplikasie-procurement. Klasifikasi user pada e-procurement terdiri dari :
1. Admin, adalah user yang memiliki hak akses paling tinggi, karena Admin merupakan pengelola aplikasi e-procurement termasuk membuat user dan mengatur hak aksesnya.
2. Trainer, adalah user yang hanya memiliki hak akses pada database latihan, yang digunakan hanya untuk keperluan pelatihan para user.
12 / 21
-
3. Verifikator, adalah user yang melakukan verifikasi data penyedia barang/jasa yang mendaftar sebagai pengguna aplikasi e-procurement.
4. Helpdesk, adalah user yang memberikan layanan konsultasi/tanya-jawab mengenai e-procurement, termasuk menangani pengaduan dan keluhan pelayanan.
5. Pokja ULP, adalah user yang bertugas melaksanakan pelelangan melalui aplikasi e-procurement.
6. Penyedia barang/jasa, adalah user yang mengikuti pelelangan melalui aplikasi e-procurement.
User yang telah memiliki hak akses mendapatkan User ID dan Password yang dapat digunakan untuk melakukan login ke dalam aplikasi e-procurement. Informasi yang boleh diakses adalah yang sesuai dengan klasifikasi user/hak aksesnya.
Gambar 5 : Login untuk aplikasi e-procurement.
User ID dan Password merupakan identitas orang yang berhak mengakses informasi. Identitas ini digunakan untuk melakukan authentication bahwa orang yang mengakses informasi adalah betul-betul orang yang memiliki hak akses. Sehingga User ID dan Password merupakan cara untuk mengenali user yang ingin menggunakane-procurement. Tanggung jawab penggunaan User ID dan Password berada pada masing-masing user. Setiap penyalahgunaan hak akses oleh pihak lain menjadi tanggung jawab pemilik User ID dan Password.
13 / 21
17 Januari 2012 11:52
-
Gambar 6 : Dokumen Pengadaan dalam aplikasi e-procurement.
Dengan adanya pengaturan akses menggunakan User ID dan Password, maka aspek confidentiality dari informasi dalam e-procurement juga dapat terpenuhi karena informasi hanya dapat diakses oleh orang yang berhak. User yang diberi hak untuk mengakses Dokumen Pengadaan pada aplikasi e-procurement adalah Pokja ULP sebagai penyusun Dokumen Pengadaan dan Penyedia barang/jasa sebagai peserta lelang, sehingga aspek privacy juga dapat terpenuhi.
Sistem e-procurement juga dapat mendeteksi user yang melakukan perubahan data/informasi dalam Dokumen Pengadaan berdasarkan User ID. User yang diperbolehkan/memiliki hak untuk melakukan perubahan/penghapusan/penggantian Dokumen Pengadaan adalah Pokja ULP sebagai pelaksana proses pelelangan melalui aplikasi e-procurement. Dengan demikian aspek integrity informasi dalam Dokumen Pengadaan dapat terjaga dengan baik.
14 / 21
Dokum
en Peng
adaan
Pengembangan Software
-
Untuk menjaga aspek availability, maka Dokumen Pengadaan agar dibuat dan disimpan dalam bentuk file dengan versi dan extension yang sudah biasa digunakan seperti doc, xls, ppt, jpg, pdf dsb. Dokumen Pengadaan tersedia dalam aplikasie-procurement selama masa pelelangan. Dengan demikian para penyedia barang/jasa peserta lelang selalu dapat mengakses Dokumen Pengadaan sesuai jadwal pelelangan yang ditetapkan oleh Pokja ULP.
Pokja ULP sebagai penyusun Dokumen Pengadaan yang di-upload ke dalam aplikasi e-procurement harus dapat mengakui/meyakini dan tidak menyangkal bahwa Dokumen Pengadaan tersebut adalah buatan Pokja ULP. Aspek non-repudiation ini dapat terpenuhi karena sistem selalu mencatat semua akses yang dilakukan user berdasarkan User ID, tanggal, jam dan IP address komputer tempat user melakukan login/logout.
Pengaturan akses merupakan metode pengamanan standar yang diterapkan pada aplikasi e-procurement. Pengamanan melalui pengaturan akses ini sudah memenuhi aspek keamanan informasi elektronik pada aplikasi e-procurement.
B. Aplikasi Pengaman Dokumen (APENDO)
Dokumen Penawaran merupakan dokumen elektronik yang harus dijaga kerahasiaannya. Dokumen Penawaran berisi data/informasi mengenai barang/jasa yang ditawarkan oleh penyedia barang/jasa pada pelelangan yang sedang berjalan. Informasi penawaran bersifat rahasia bagi orang/penyedia lain kecuali pemilik penawaran yang bersangkutan. Untuk itu perlu adanya metode untuk menjamin kerahasiaan Dokumen Penawaran.
Untuk mendukung aplikasi e-procurement dalam menjamin kerahasiaan Dokumen Penawaran telah dikembangkan Aplikasi Pengaman Dokumen (APENDO) yang menggunakan teknologi kriptografi. APENDO terdiri dari 2 bagian, yaitu APENDO Peserta dan APENDO Panitia. APENDO Peserta digunakan oleh penyedia barang/jasa untuk melakukan enkripsi Dokumen Penawaran yang akan di-upload ke dalam aplikasie-procurement. APENDO Panitia digunakan oleh Pokja ULP untuk melakukan dekripsi Dokumen Penawaran yang telah di-download dari dalam aplikasi e-procurement. Dokumen Penawaran yang berada dalam aplikasi e-procurement merupakan dokumen elektronik dalam kondisi tersandi (encrypted).
APENDO merupakan aplikasi tersendiri yang terpisah dari aplikasi e-procurement. Proses enkripsi dan dekripsi dilakukan di luar aplikasi e-procurement. Penggunaan APENDO memang semata-mata hanya ditujukan untuk menjamin kerahasiaan Dokumen Penawaran, bukan melakukan proses pengadaan barang/jasa.
15 / 21
-
Gambar 7 : Penggunaan APENDO.
Keberadaan APENDO di sisi aplikasi e-procurement adalah untuk menjamin terpenuhinya aspek keamanan dokumen elektronik pada aplikasi e-procurement. Fungsi APENDO dalam proses e-procurement adalah :1. Untuk memastikan bahwa Dokumen Penawaran sudah disandikan (encrypted)
sebelum di-upload ke dalam aplikasi e-procurement.2. Untuk memastikan bahwa pengirim Dokumen Penawaran adalah penyedia
barang/jasa pemilik/pembuat Dokumen Penawaran tersebut dengan menyertakan identitas digital di dalam Dokumen Penawaran.
3. Untuk memastikan bahwa Dokumen Penawaran hanya dapat dibuka oleh Pokja ULP yang bertanggungjawab terhadap proses pelelangan.
Identitas digital adalah identitas penyedia barang/jasa dalam keadaan terenkripsi, yang disertakan pada saat upload Dokumen Penawaran. Identitas ini berada pada aplikasie-procurement untuk penyedia.
Gambar 8 : Identitas digital penyedia (e-procurement untuk Penyedia).
16 / 21
DokumenPenawaran(plaintext)
Penyediabarang/jasa
PokjaULP
DokumenPenawaran(plaintext)
enkripsiAPENDO Peserta
APENDO Panitiadekripsi
UPLOAD
Aplikasi
e-Procurement
DokumenPenawarantersandi
(ciphertext)
DOWNLOAD
identitas digital
-
APENDO memiliki sistem penyandian yang handal, yakni menggunakan algoritma sandi asymetric-key, dimana proses enkripsi dan dekripsi menggunakan kunci yang berbeda. Proses enkripsi menggunakan kunci publik (public-key) dan proses dekripsi menggunakan kunci privat (private-key).
Proses enkripsi Dokumen Penawaran dilakukan melalui APENDO Peserta menggunakan Kunci Publik Dokumen yang terdapat pada aplikasi e-procurement untuk penyedia. Proses enkripsi menghasilkan file rhs dan hash-key untuk Dokumen Penawaran.
Gambar 9 : Kunci Publik Dokumen untuk proses enkripsi (e-procurement untuk Penyedia).
17 / 21
kunc
i pub
lik
-
File rhs merupakan file Dokumen Penawaran dalam keadaan terenkripsi/tersandi, sedangkan hash-key untuk mencegah penyangkalan dari penyedia terhadap Dokumen Penawaran yang telah dikirimkannya/di-upload. Pada Gambar 10 tampak bahwa proses pengiriman Dokumen Penawaran disertai dengan pernyataan bahwa Dokumen Penawaran berasal dari penyedia yang bersangkutan. Hal ini agar aspek non-repudiation dapat terpenuhi.
Gambar 10 : File rhs dan hash-key, dengan pernyataan non-repudiation(e-procurement untuk Penyedia).
Pada aplikasi e-procurement untuk Pokja ULP ditampilkan nama file rhs, hash-key dan Kunci Private Dokumen. Proses dekripsi Dokumen Penawaran dilakukan melalui APENDO Panitia. File rhs didekripsi menggunakan Kunci Private Dokumen. Hash-key pada file rhs yang diterima Pokja ULP sama dengan hash-key pada file rhs yang dikirim penyedia.
Contoh kesamaan hash-key pengirim file rhs pada Gambar 10 dan penerimafile rhs pada Gambar 11 adalah :
- Nama file rhs : Karya Manunggal.rhs- File size : 3 KB- Hash-key : f8b9343e6748dfd582c6d93f4a6f1c07
Hash-key yang sama menunjukkan bahwa file rhs yang dikirim dan yang diterima adalah file yang sama.
18 / 21
adalah benar berasal dari saya.
file rhs
+ hash
key
-
Gambar 11 : File rhs dan hash-key, dan Kunci Private Dokumen untuk proses dekripsi(e-procurement untuk Pokja ULP).
Tampak bahwa fungsi utama APENDO adalah untuk menjaga aspek confidentiality dan privacy Dokumen Penawaran. Dengan adanya hash-key maka penyedia tidak akan dapat melakukan penyangkalan terhadap penawaran yang telah dikirimnya, sehingga aspek non-repudiation juga dapat terpenuhi.
Aplikasi e-procurement memberlakukan pengamanan berlapis untuk melindungi Dokumen Penawaran. Untuk dapat mengambil file Dokumen Penawaran, user (Pokja ULP) harus melakukan login menggunakan User ID dan Password. Untuk membuka file Dokumen Penawaran, user (Pokja ULP) harus melakukan dekripsi menggunakan Kunci Private Dokumen melalui APENDO.
19 / 21
kunci p
rivate
file rhs
+ hash
key
-
V. PENUTUP
Dokumen elektronik yang berisi informasi elektronik merupakan aset yang strategis, sehingga sistem aplikasi yang mengelola dokumen elektronik tersebut harus dapat memenuhi aspek keamanan informasi yang meliputi confidentiality, privacy, integrity, availability, authentication, access control dan non-repudiation.
Dokumen elektronik yang dikelola dalam aplikasi e-procurement adalah Dokumen Pengadaan dan Dokumen Penawaran yang bersifat strategis. Dokumen Pengadaan bersifat tidak rahasia tetapi informasi di dalamnya mengikat para pihak yang terlibat dalam proses pengadaan barang/jasa. Sedangkan Dokumen Penawaran bersifat rahasia untuk jangka waktu tertentu, karena informasi di dalamnya berkaitan dengan persaingan antar penyedia barang/jasa.
Aplikasi e-procurement telah menerapkan pengamanan yang handal untuk melindungi Dokumen Pengadaan dan Dokumen Penawaran. Dokumen Pengadaan dilindungi melalui pengaturan akses menggunakan User ID dan Password. Sedangkan Dokumen Penawaran mendapat pengamanan ganda berupa perlindungan dengan pengaturan akses dan juga persandian melalui APENDO (Aplikasi Pengaman Dokumen). Dengan demikian maka aplikasi e-procurement memiliki sistem keamanan yang kuat, sehingga kebocoran informasi dapat dihindari dan akuntabilitas sistem e-procurement dapat terjamin.
20 / 21
-
DAFTAR PUSTAKA
1. LKPP, "Aplikasi Pengaman Dokumen LPSE", http://www.pengadaannasional-bappenas.go.id/eproc/app?service=external/Pengaman&sp=S50455345525441&sp =S563231, diakses di Jakarta, 16 Januari 2012.
2. Arief Hamdani Gunawan, "Keamanan Informasi dan Kriptografi", http://www.ristinet.com/index.php?ch=8&lang=&s=cc9f13d1e5c52c846218f8b33ad8 77b6&n=308, diakses di Jakarta, 16 Januari 2012.
3. Nunil Pantjawati, "Implementasi Persandian pada Tata Naskah Dinas Elektronik & Kearsipan", Lembaga Sandi Negara, Jakarta, 2011.
4. "Peraturan Kepala Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah Nomor 5 Tahun 2011 tentang Standar Dokumen Pengadaan Barang/Jasa Pemerintah Secara Elektronik", LKPP, Jakarta, 2011.
5. "Peraturan Presiden Republik Indonesia Nomor 54 Tahun 2010 tentang Pengadaan Barang/Jasa Pemerintah", Airlangga University Press, Surabaya, 2011.
6. Yudho Giri Sucahyo, "Pentingnya Manajemen Keamanan Informasi", Pertemuan Koordinasi ke-5 LPSE Nasional, Balikpapan, 2010.
7. Tim Lemsaneg, "Peranan Persandian Dalam Keamanan e-Government", Sosialisasi Persandian, Jakarta, 2010.
8. Deris Stiawan, "Kebijakan Sistem Informasi Manajemen Keamanan IT Standard ISO 17799:27002", Universitas Sriwijaya, Palembang, 2009.
9. "Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik", Jakarta, 2008.
10. Twindania Namiesyva, "Kriptografi Sebagai Media Pembelajaran Dalam Studi Matematika Tingkat Sekolah", Institut Teknologi Bandung, Bandung, 2007.
11. Puguh Kusdianto, "Konsep Manajemen Keamanan Informasi ISO-17799 dengan Risk Assessment Menggunakan Metode Octave", Institut Teknologi Bandung, Bandung, 2005.
12. Budi Rahardjo, "e-Procurement Security", Sosialisasi Keppres No.61/2004, Jakarta, 2005.
21 / 21
