1. Toko Elektronik Sederhana Dengan Forms HTML
Pada awal ledakan WWW, sudah banyak orang mencium manfaat darinya sebagai media perdagangan. Hanya dengan menggunakan tag <forms…> pada HTML dan sedikit program CGI, orang dapat dengan mudah membuah sebuah toko elektronik sederhana. Modifikasi terakhir SPI ini memanfaatkan fasiltas keamanan SSL, tetapi tidak mengubah alur transaksi.
Cukup dengan browser biasa tanpa kemampuan enkripsi, konsumen dapat berbelanja di toko elektronik ini. Pedagang juga tidak perlu menggunakan web server dengan fasilitas enkripsi untuk mengimplementasikan toko elektroniknya. Tentunya jika ingin menggunakan fasilitas keamanan SSL, baik browser konsumen maupun web server pedagang harus menunjang SSL pula.
Gambar 5.1. Diagram topologi transaksi toko elektronik sederhana
Gambar 5.2. Contoh implementasi sebuah toko elektronik sederhana yang menggunakan SSL
Gambar 5.3. Diagram alur data transaksi toko elektronik sederhana
Skenario SPI ini tak berbedanya dengan mail order/telephone order (MOTO), yang disebut dengan card not present transaction. Hal ini memang diperkenankan oleh sebagian besar lembaga pengelola kartu kredit. Konsumen akan ditagih seperti biasa. Sedangkan pedagang tentunya menagih ke aquirer seperti halnya transaksi MOTO. Penggunaan kartu kredit sebagai alat pembayaran langsung mengindikasikan bahwa ini bukan sistem pembayaran peer-to-peer.
Sistem sederhana ini umumnya hanya menerima kartu kredit, karena otorisasi nomor kartu kredit tidak perlu on-line, meskipun kini umumnya lebih banyak pedagang yang menggunakan sistem otorisasi on-line. Memang relatif sulit untuk membuat sendiri sebuah toko elektronik yang melakukan otorisasi on-line langsung ke lembaga pengelola kartu kredit, jika tidak membeli paket perangkat lunak yang sudah jadi. Jika tidak ada otorisasi on-line, sistem ini kurang cocok untuk menjual barang-barang yang bisa di-download segera lewat Internet, karena jika nomor kartu tersebut tidak lagi sah, maka pedagang akan dirugikan. Memang ada pemecahannya, yakni mengirim barang digital itu menggunakan surat elektronik, setelah nomor kartu itu diotorisasi. Jelas pada SPI ini, terlihat pihak mana yang menjadi pedagang dan konsumen. Transaksi ini derajat keanonimitasnya juga sangat rendah, karena pedagang dapat dengan mudah mengetahui informasi kartu kredit konsumen. Seperti halnya transaksi kartu kredit biasa, pada skenario ini keterlacakan transaksi juga tinggi.
Pada dasarnya, tidak ada fasilitas keamanan pada skenario transaksi SPI ini. Jika pedagang tidak menggunakan web server yang secure, maka seluruh kelemahan pada protokol TCP/IP dan HTTP, termasuk web spoofing, akan dimiliki pula oleh SPI uyang sederhana ini. Penyerang dengan mudah bisa mendapatkan informasi kartu kredit.
Pada beberapa pedagang, terkadang toko elektronik mereka juga sudah menggunakan web server dari Netscape yang mendukung SLL. Dengan cara ini, informasi transaksi dan informasi kartu kredit menjadi lebih sulit untuk disadap. Patut diperhatikan disini, komunikasi yang aman hanya dari konsumen ke pedagang. Pedagang pada akhirnya tetap dapat membaca informasi kartu kredit milik konsumen.
Karena pedagang mendapatkan seluruh informasi kartu kredit milik konsumen, maka konsumen harus percaya kepada pedagang bahwa nomor tersebut tidak akan dipergunakan dua kali. Selain itu, karena tidak ada jaminan keotentikan pedagang (apakah pedagang itu ada atau hanya toko yang dibuka oleh orang tak bertanggung jawab), maka konsumen menanggung resiko ditipu.
Di sisi lain, jika pedagang tidak melakukan otorisasi sebelum mengirimkan barang dagangannya kepada konsumen, maka pedagang menanggung resiko tertipu oleh konsumen. Karena itu dalam kasus seperti ini pedagang umumnya menjual barang-barang yang harus dikirim lewat pos, agar ada kesempatan untuk melakukan otorisasi secara konvensional.
Sekali lagi, sama dengan transaksi kartu kredit biasa, pada skenario ini, perangkat lunak konsumen tidak mencatat data-data transaksi. Semua pencatatan pembelian ada di web server milik pedagang.
Penerimaan Pembayaran dan Biaya Transaksi
Pedagang menerima pembayaran dari aquirer seperti dalam transaksi MOTO card not present. Patut dicatat bahwa untuk mendapatkan izin dari aquirer untuk menjadi pedagang yang menjalankan transaksi card not present relatif sulit. Biaya transaksi tidak berbeda dengan transaksi kartu kredit biasa.
Meskipun banyak diimplementasikan oleh pedagang dengan mudah, namun meningkatnya kesadaran konsumen akan perlunya keamanan dalam transaksi perdagangan di Internet, maka mungkin membuat para pedagang beralih ke skenario lain yang lebih aman.