Konsultan ISO Training Pelatihan ISO Integrasi ISO Download ISO Sertifikasi ISO 9001 14001 OHSAS 18001 20000 22000 26000 27001 28000 29001 31000 50001

Pencurian Data Kartu Kredit di Gerai The Body Shop Indonesia

Sejumlah data nasabah kartu kredit maupun debit dari berbagai bank dicuri saat bertransaksi di gerai The Body Shop Indonesia. Sumber Tempo mengatakan, data curian tersebut digunakan untuk membuat kartu duplikat yang ditransaksikan di Meksiko dan Amerika Serikat.

Data yang dicuri berasal dari berbagai bank, di antaranya Bank Mandiri dan Bank BCA. Menurut Direktur Micro and Retail Banking Bank Mandiri, Budi Gunadi Sadikin, pihaknya menemukan puluhan nasabah kartu kredit dan debit yang datanya dicuri. Adapun transaksi yang dilakukan dengan data curian ini ditaksir hingga ratusan juta rupiah.

Kejahatan kartu kredit terendus saat Bank Mandiri menemukan adanya transaksi mencurigakan. “Kartu yang biasa digunakan di Indonesia tiba-tiba dipakai untuk bertransaksi di Meksiko dan Amerika,” kata Budi.

Setelah dilakukan pengecekan terhadap nasabah, ternyata kartu-kartu itu tidak pernah digunakan di sana. “Setelah dicek, kami baru menutup kartu,” katanya.

Kartu tiruan itu hanya bisa digunakan di negara-negara yang menggunakan sistem magnetic stripe. Data pada kartu jenis ini bisa dibaca saat ada kontak fisik dan menggesekkannya melewati mesin pembaca kartu atau card reader.

Di Indonesia, ada dua sistem yang digunakan pada kartu kredit, yaitu chip dan magnetic stripe. Penggunaan chip pada kartu kredit bertujuan untuk mengantisipasi tindak kejahatan kartu kredit. Adapun transaksi kartu kredit dengan magnetic stripe sebenarnya sudah dilarang. Sedangkan pada kartu debit, magnetic stripe ini baru dilarang mulai 1 Januari 2016.

Bukan hanya Mandiri, PT Bank Central Asia mengaku sudah menerima laporan serupa. General Manager Kartu Kredit BCA, Santoso, mengatakan, berdasarkan informasi sementara, pencurian data berawal dari sebuah gerai The Body Shop. Pencurian kemudian menyebar ke gerai lainnya. “Sepertinya ada oknum yang berhasil membobol dan berpindah-pindah,” katanya.

Namun ia menjamin keamanan dalam sistem pengiriman data dari mesin electronic data capture (EDC) ke bank. Santoso juga berjanji akan secepatnya menyelesaikan kasus ini dengan melibatkan kepolisian, perbankan, dan nasabah.

Tak hanya perbankan, The Body Shop Indonesia juga langsung bertindak. Chief Financial Officer The Body Shop, Jahja Wirawan Sudomo, mengatakan, perusahaan sedang menyelidiki kebocoran data di perusahaannya. “Kami dan perbankan masih menyelidiki. Kami berharap selesai pekan depan dan diserahkan ke kepolisian,” katanya kemarin.

Karyawan yang terbukti mencuri data nasabah, menurut Jahja, akan dipecat dan diserahkan ke kepolisian. Untuk mencegah kejadian serupa, The Body Shop tidak menerima pembayaran melalui kartu kredit dan debit. Berdasarkan laporan yang diterima dari perbankan, ada 30 data nasabah yang dicuri. Transaksi dilakukan sepanjang Maret 2013.

Menurut Jahja, ia termasuk salah satu nasabah yang menjadi korban. Saat bertransaksi di The Body Shop cabang Bintaro pada 11 Maret 2013, datanya pun disalin. Data itu kemudian dipakai pada transaksi di Amerika Serikat pada 14 Maret 2013.

Jahja mengatakan, ada tiga gerai yang diduga bermasalah. “Tempatnya di Bintaro (Tangerang), Casablanca, dan Basko Padang,” katanya.

Adapun pencurian kartu baru diketahui di dua bank, yaitu BCA dan Bank Mandiri. Sedangkan di Citibank, yang juga memiliki mesin EDC, belum ada laporan.

Sesuai dengan aturan Bank Indonesia, menurut Deputi Direktur Sistem Pembayaran Bank Indonesia Puji Atmoko, jika merchant kedapatan berkomplot dengan pelaku kejahatan, bank wajib menghentikan kerja sama. Bank juga diwajibkan melaporkan fraud tersebut ke Bank Indonesia paling lambat satu bulan setelah kejadian. (Sumber: Tempo, konsultan/keamananinformasiti/iso27001)

Manajemen Risiko: Kerja Sama TI dan Bisnis

Perusahaan-perusahaan di seluruh dunia sedang menelaah rencana manajemen risiko TI mereka. Dahulu, audit jadi alasan perusahaan untuk memeriksa faktor risiko TI mereka untuk menjamin kesesuaian dengan mandat industri. Tapi kini, kita bisa melihat adanya pergeseran dari pemikiran semacam ini.

Manajemen risiko tidak lagi diserahkan pada TI saja. Manajemen risiko TI telah mencapai ruang rapat para petinggi. Eksekutif puncak (C-level) kini memantau bagaimana risiko TI bisa memengaruhi organisasi mereka dari sisi bisnis.

Seperti yang sudah diketahui para Chief Security Information Officer (CISO) dan departemen TI sejak dulu, teknologi saja tak akan menjaga organisasi aman dan terlindungi.

Agar bisa mengelola risiko secara baik, perusahaan harus memahami hubungan antara setiap sistem bisnis yang ada. Sebuah sistem bisnis hakikatnya adalah lebih dari sekadar teknologi; ia merupakan gabungan dari manusia, proses dan teknologi yang mencapai fungsi bisnis tertentu. Ini kenapa, TI dan bisnis harus bekerjasama: TI harus tahu sistem dan proses yang penting bagi bisnis, sedangkan bisnis harus memahami risiko dari sudut pandang TI.

Mari kita lihat, sebagai contoh, sistem account payable (AP). AP adalah bagian dari sistem pelaporan keuangan; yakni kumpulan aset yang semuanya mengarah ke tujuan bisnis: menyediakan laporan keuangan.

Saat Anda memeriksa sistem AP, tentunya ada sisi bisnis dan sisi TI-nya. Di sisi bisnis, sudut pandangnya adalah proses persetujuan (approval). Pengguna menyalakan komputernya, mendapatkan form, memproses form itu ke sebuah laporan untuk mendapatkan persetujuan, lalu sebuah cek secara 'ajaib' dibuat. Sedangkan dari sisi TI, yang terlihat adalah aplikasi pada sebuah database di suatu server di data center.

Namun apapun sudut pandang Anda, baik bisnis maupun TI, sistem AP memiliki risiko. Saat orang TI berbicara dengan orang bisnis, percakapan itu tidak bisa dimulai dengan "server yang ini berisiko". Sebaiknya, percakapan dilakukan dengan perspektif berbasis-proses yang biasa bagi orang bisnis.

Tanyakan apa risiko bisnis yang muncul dari proses itu dan apakah mereka memahami cara untuk mengendalikan risiko tersebut, Anda bisa menyusun daftar risiko dan memetakan cara-cara pengendaliannya. TI bisa menerjemahkan risiko itu ke kendali teknis untuk membantu mitigasi risiko.

Contoh ini menunjukkan bagaimana orang, proses dan teknologi bisa secara efektif bekerjasama untuk manajemen risiko. Laporan bisa disusun dan cek bisa dibuat karena sistem bisnis berjalan lancar. Hal paling penting bagi kedua pihak adalah memahami risikonya dan mengkomunikasikan hal itu dengan istilah yang bisa dimengerti semua orang.

Saya sering ditanya, "Mulainya dari mana?" Tempat terbaik untuk memulai menyusun model risiko adalah mendefinisikan fungsi bisnis dan memahami apa risikonya bagi fungsi bisnis tersebut. Mulai dengan apa yang membuat sebuah bisnis berjalan dan apa yang terjadi jika hal itu terganggu.

Pertama, lihat dulu rencana keberlanjutan bisnis Anda dan daftar pemulihan 24 jam pasca-bencana — hal-hal itulah yang berpotensi menghentikan bisnis Anda.

Lalu, bagaimana menerapkan perubahan ini bisa membantu perusahaan? Dengan melibatkan orang-orang bisnis di proses pengambilan keputusan risiko TI, kebijakan, prosedur dan kendali teknis yang dihasilkan akan mengurangi risiko dan memperbaiki efisiensi.

Lebih dari itu, kami menemukan bahwa saat pimpinan bisnis dan eksekutif memahami risiko, dan tahu apa yang bisa mereka lakukan untuk menguranginya, para CISO menemukan banyak hal positif mulai terjadi, dan anggaran untuk manajemen risiko serta keamanan mulai naik.

Semua orang punya peranan, dan hal itu dimulai dengan mendukung CISO dan tim TI dari tingkat organik. Anda tidak bisa melindungi sesuatu yang Anda tidak ketahui, jadi komunikasi pada semua tingkat adalah kunci sukses menjalin hubungan antar sistem bisnis. Demikian dikatakan oleh Darric Hor, Symantec Country Director for Indonesia. (Sumber: Kompas, konsultan/training/pelatihan/iso31000/manajemenrisiko)

Penerapan Prinsip K3 di Tempat Kerja

Setiap pekerja berhak mendapatkan perlindungan seutuhnya dalam menunaikan tugas. Pengusaha wajib menyediakan fasilitas berkait pelaksanaan prinsip keselamatan dan kesehatan kerja (K3) di tempat kerja.

Menteri Tenaga Kerja dan Transmigrasi Muhaimin Iskandar menyampaikan hal ini saat mencanangkan seremoni "Bulan K3" di Jakarta, Rabu (12/1). Bulan K3 akan berlangsung serentak di seluruh Indonesia sampai 12 Februari 2011.

Menakertrans mengatakan, pelaksanaan K3 merupakan salah satu aspek perlindungan tenaga kerja yang sangat penting karena akan memengaruhi ketenangan bekerja, keselamatan, kesehatan, produktivitas, dan kesejahteraan tenaga kerja.

"Semua pihak harus menyadari bahwa penerapan K3 merupakan hak dasar perlindungan bagi tenaga kerja. Setiap pekerja wajib mendapat perlindungan dari risiko kecelakaan kerja yang dapat terjadi," kata Muhaimin.

"Tujuan dasar dari penerapan K3 adalah mencegah atau mengurangi kecelakaan kerja, penyakit akibat kerja, dan terjadinya kejadian berbahaya lain. Dengan berbagai upaya kita berharap tahun 2015 bisa terwujud Indonesia berbudaya K3," kata Muhaimin.

Dikatakan Muhaimin, saat ini dibutuhkannya upaya sosialiasi penerapan K3 harus melibatkan pekerja dan masyarakat umum secara langsung. Hal itu bertujuan agar pekerja dan masyarakat umum sadar mengenai pentingnya mengenakan peralatan pelindung diri, seperti helm, sepatu, kaus tangan, dan lain-lain.

"Oleh karena itu, saya mengajak pimpinan pemerintah daerah, para pengusaha, pekerja, dan masyarakat melakukan upaya konkret pelaksanaan K3, serta meningkatkan kesadaran, partisipasi, dan tanggung jawab menciptakan perilaku K3 sehingga K3 benar-benar menjadi budaya bangsa Indonesia,” kata Muhaimin.

Saat ini, pemerintah tengah melakukan revitalisasi pengawasan ketenagakerjaan. Upaya-upaya yang sedang dilakukan antara lain menitikberatkan pada peningkatan kualitas dan kuantitas pengawas, penegakan hukum di bidang ketenagakerjaan, serta merumuskan dan melaksanakan kebijakan dan standardisasi teknis di bidang pembinaan pengawasan ketenagakerjaan

"Revitalisasi meliputi penurunan angka kecelakaan kerja dan penyakit akibat kerja, menurunkan pelanggaran norma ketenagakerjaan, mengurangi pekerja anak, peningkatan efektivitas pelaksanaan pengawasan ketenagakerjaan, peningkatan kepesertaan dan kualitas jaminan sosial tenaga kerja, serta peningkatan kualitas kondisi lingkungan kerja,” kata Muhaimin.

Sampai akhir 2010 tercatat 65.000 kasus kecelakaan kerja dengan korban tewas 1.965 jiwa. Adapun pada tahun 2009 tercatat 96,314 kasus dengan korban tewas 2.144 orang.

Dalam kesempatan ini, Muhaimin Iskandar mengingatkan perusahaan-perusahaan untuk menerapkan ketentuan Sistem Manajemen K3 (SMK3). Pasalnya, sejumlah negara menetapkan persyaratan baru dalam perdagangan bebas, yakni persyaratan terhadap penerapan sistem mutu manajemen melalui ISO 9001 Series, Sistem Manajemen Lingkungan ISO 14000 Series, OHSAS 18001 dan SMK3.

Kepala Pusat Hubungan Masyarakat Kementerian Tenaga Kerja dan Transmigrasi Suhartono menambahkan, pengusaha wajib melengkapi sarana dan prasarana K3 sesuai Undang-Undang Nomor 1 Tahun 1970 tentang Keselamatan Kerja. Kepatuhan pengusaha menjalankan prinsip K3 akan berdampak positif bagi peningkatan produktivitas dan efisiensi perusahaan.

"Minimal tingkat kecelakaan kerja yang mengganggu kegiatan produksi akibat kekurangan orang karena sakit atau terhentinya proses kerja bisa ditekan. Hal ini tentu berdampak positif bagi perusahaan itu sendiri,” ujar Suhartono. (Sumber: Kompas, konsultan/pelatihan/k3/smk3/safety/hse/ehs/ohsas18001/training)

ISO 27001 dalam industri bank/perbankan, asuransi, dan leasing

Industri perbankan, asuransi, leasing dan industri keuangan lainnya telah mengalami perubahan besar dalam beberapa tahun terakhir, di mana industri ini menjadi lebih kompetitif seiring dengan perkembangan kemajuan sistem dan teknologi informasi.

Keamanan sistem informasi menjadi hal yang sangat penting, dikarenakan data dan informasi nasabah adalah aset informasi yang harus dilindungi industri keuangan dan perbankan dari penyalahgunaan. Keamanan sistem informasi berbasis TI merupakan sesuatu yang harus dijaga dengan baik karena merupakan asset berharga. Mekanisme entitas industri keuangan dan perbankan dalam memproses dan menyimpan data akan menimbulkan  celah ancaman pada keamanan data tersebut, oleh sebab itu dibutuhkan suatu sistem manajemen keamanan informasi yang handal.

Tantangan lain yang harus dihadapi adalah bagaimana menjamin kelangsungan bisnis bila suatu peristiwa penting terjadi tanpa terduga dan tak terkendali. Pengaruh tak terkendali seperti bencana alam, gangguan politik atau kegagalan sistem TI sering memiliki konsekuensi yang luas.

Konsultan Deltaprima memberikan jasa audit independen untuk membantu membuktikan bahwa organisasi atau produk bisnis finansial Anda telah sesuai dengan regulasi dan perundang-undangan yang berlaku. Layanan kami mencakup Audit TI, Audit Kepatuhan atas Peraturan Bank Indonesia (PBI), pengujian kehandalan produk serta  jaringan TI dan sebagainya.

Konsultan kami juga memberikan pelatihan dan jasa konsultan pendampingan untuk pengembangan prosedur operasional standar (SOP), manajemen resiko, peningkatan kualitas layanan TI, pengembangan keamanan informasi dan data, respon dan pemulihan pasca insiden/bencana, dan manajemen kelangsungan bisnis, serta  pelatihan dan pendampingan untuk mencapai sertifikasi standar internasional tertentu, termasuk ISO 9001, ISO 14001, ISO 20000, ISO 27001, dan ISO 22301 dengan aplikasi sektor bank/perbankan, asuransi dan leasing. (konsultan iso 27001 bank/asuransi/leasing).


Bagaimana Cara Memilih Konsultan ISO ?

Untuk membantu masyarakat dan industri pengguna standar-standar, organisasi ISO telah menerbitkan panduan untuk pemilihan konsultan sistem manajemen mutu dan penggunaan layanan mereka, yaitu ISO 10019:2005.

Standar Internasional ini dirilis pada tahun 2005 dengan judul asli Guidelines for the selection of quality management system consultants and use of their services.
Hal ini dimaksudkan untuk membantu organisasi ketika memilih konsultan sistem manajemen mutu. Ini memberi bimbingan
proses untuk mengevaluasi kompetensi seorang konsultan sistem manajemen mutu dan memberikan keyakinan bahwa kebutuhan dan harapan organisasi akan jasa konsultan terpenuhi, yang mampu memenuhi kebutuhan spesifik mereka, harapan dan tujuan dalam realisasi sistem manajemen mutu. Sebagai tambahan standar ini juga dapat digunakan oleh
a) konsultan sistem manajemen mutu sebagai pedoman untuk konsultasi sistem manajemen mutu, dan
b) organisasi konsultan untuk pemilihan konsultan sistem manajemen mutu.

ISO 31000

ISO 31000, dirilis pada tahun 2009, adalah dimaksudkan untuk menjadi sebuah keluarga standar yang berhubungan dengan manajemen risiko dikodifikasikan oleh Organisasi Internasional untuk Standardisasi. Tujuan dari ISO 31000 adalah untuk memberikan prinsip-prinsip dan pedoman generik pada manajemen risiko. ISO 31000 berusaha untuk memberikan paradigma yang diakui secara universal bagi para praktisi dan perusahaan dalam menggunakan proses manajemen risiko untuk mengganti metodologi standar dan paradigma yang berbeda di berbagai industri dan wilayah.

 
Saat ini, keluarga ISO 31000 mencakup:
  • ISO 31000:2009 – Prinsip dan Pedoman Pelaksanaan
  • ISO / IEC 31010:2009 – Manajemen Risiko – Teknik Penilaian Risiko
  • ISO Guide 73:2009 – Manajemen Risiko – Kosakata
Konsultan ISO 31000 Training TEL.021-7511984

ISO 27001

ISO IEC 27001 International Standard covers all types of organizations (e.g. commercial enterprises, government agencies, non-profit organizations). This International Standard specifies the requirements for establishing, implementing, operating, monitoring, reviewing, maintaining and improving a documented ISMS within the context of the organization’s overall business risks. It specifies requirements for the implementation of security controls customized to the needs of individual organizations or parts thereof. The ISMS is designed to ensure the selection of adequate and proportionate security controls that protect information assets and give confidence to interested parties.

Benefit of ISO/IEC 27001 implementation
ISO/IEC 27001:2005 is intended to be suitable for several different types of use, including the following:

  • use within organizations to formulate security requirements and objectives;
  • use within organizations as a way to ensure that security risks are cost effectively managed;
  • use within organizations to ensure compliance with laws and regulations;
  • use within an organization as a process framework for the implementation and management of controls to ensure that the specific security objectives of an organization are met;
  • definition of new information security management processes;
  • identification and clarification of existing information security management processes;
  • use by the management of organizations to determine the status of information security management activities;
  • use by the internal and external auditors of organizations to determine the degree of compliance with the policies, directives and standards adopted by an organization;
  • use by organizations to provide relevant information about information security policies, directives, standards and procedures to trading partners and other organizations with whom they interact for operational or commercial reasons;
  • implementation of business-enabling information security;
  • use by organizations to provide relevant information about information security to customers.

Audit ISO IEC 27001
The ISO/IEC 27001 certification, like other ISO management system certifications, usually involves a three-stage audit process:

  • Stage 1 is a “table top” review of the existence and completeness of key documentation such as the organization’s security policy, Statement of Applicability (SoA) and Risk Treatment Plan (RTP).
  • Stage 2 is a detailed, in-depth audit involving testing the existence and effectiveness of the information security controls stated in the SoA and RTP, as well as their supporting documentation.
  • Stage 3 is a follow-up reassessment audit to confirm that a previously-certified organization remains in compliance with the standard. Certification maintenance involves periodic reviews and re-assessments to confirm that the ISMS continues to operate as specified and intended.