Yth. Para Kuasa Pengguna Anggaran satker Mitra kerja KPPN Kotabumi

di tempat

Sehubungan Nota Dinas Direktur Pengelolaan Kas Negara Nomor ND-1301/PB.3/2023 hal Penggunaan Kartu Kredit Pemerintah dalam Digipay, dengan ini dapat disampaikan sebagai berikut: 

1. Sehubungan dengan adanya informasi bahwa terdapat transaksi mencurigakan setelah adanya penggunaan Kartu Kredit Pemerintah (KKP) melalui Digipay, dapat disampaikan penjelasan sebagai berikut: 
   1. KKP merupakan salah satu cara/instrumen pembayaran pada Digipay. 
   2. Digipay menetapkan rule bahwa yang boleh digunakan untuk transaksi dalam Digipay hanya KKP, bukan jenis kartu kredit lainnya. 
   3. Penggunaan KKP dalam Digipay dilakukan dengan alur transaksi sebagai berikut: 
      1. Setelah menerima barang, Pejabat Pengadaan memilih invoice untuk dibayar. Pada tahap ini, tidak terdapat proses penginputan data KKP (no kartu, dsb) dalam Digipay; 
      2. Setelah mengakses (klik) fitur pembayaran, Digipay akan mengirimkan invoice tersebut ke payment gateway (DOKU). Invoice tersebut hanya berisi data rincian barang yang dibeli dan nilai transaksinya; 
      3. Atas invoice dimaksud, DOKU memberikan respon dengan membuka halaman pembayaran dari DOKU. Pada halaman pembayaran yang disediakan DOKU ini, user melakukan input data KKP; 
      4. Selanjutnya, user diarahkan ke halaman Bank (bank mitra pengelola rekening UP) untuk melakukan konfirmasi transaksi. Pada proses ini, user diminta untuk menginput 6 digit kode OTP yang dikirim melalui SMS ke nomor HP yang terdaftar sebagai pemegang KKP; 
      5. Bank akan melakukan proses autentikasi dan mengirim status pembayaran ke DOKU;  
      6. Selanjutnya, DOKU meneruskan status pembayaran (berhasil atau gagal) ke Digipay tanpa mengirimkan data KKP. 
2. Berdasarkan proses bisnis dan alur transaksi sebagaimana angka 2 (dua) di atas, dapat disimpulkan bahwa Digipay sama sekali tidak mengetahui data KKP yang digunakan satker. Data KKP di-maintain oleh payment gateway dan bank mitra dalam kerangka interkoneksi untuk menyelesaikan pembayaran (settlement). 
3. Dalam rangka mitigasi risiko, setiap transaksi dilakukan security process berupa input 6 digit kode OTP lalu proses pembuktian keaslian (autentikasi) dari bank. 
4. Perlu disampaikan juga bahwa pada proses pembayaran di halaman payment gateway, dimungkinkan adanya jejak digital berupa cookies (file yang dibuat oleh website yang dibuka) dan cache (ruang penyimpanan yang menyimpan data sementara dari aplikasi atau website) pada browser dan perangkat yang digunakan. Oleh karena itu, sangat disarankan segera melakukan clear cache dan cookies setelah melakukan transaksi sebagai langkah mitigasi. 
5. Berdasarkan informasi dari Direktorat SITP, terdapat beberapa kemungkinan intercept/ celah/penyebab peretasan data yang potensial menjadi penyebab terjadinya transaksi mencurigakan, antara lain: 
   1. Terdapat malware yaitu perangkat lunak yang diciptakan untuk mencuri data pada perangkat dan/atau jaringan tanpa izin dan sepengetahuan pemilik perangkat; 
   2. Celah keamanan di sisi bank ataupun payment gateway; 
   3. Penggunaan KKP pada platform lain dengan menyimpan data dan/atau menghubungkan KKP pada marketplace, e-commerce, e-wallet, atau aplikasi lain yang datanya rentan diretas; 
   4. Penggunaan internet melalui hotspot, wifi, atau jaringan publik (biasanya di tempat umum) yang tidak dilindungi enkripsi 
6. Direktorat Pengelolaan Kas Negara akan rutin berkoordinasi dengan Direktorat Pelaksanaan Anggaran, Direktorat Sistem Informasi dan Teknologi Perbendaharaan, DOKU, dan Bank Mitra untuk menginvestigasi kejadian tersebut.  
7. Sebagai langkah mitigasi, seluruh pihak khususnya satuan kerja pengguna KKP agar dapat meningkatkan security awareness dalam penggunaan alat bayar transaksi elektronik. 

Demikian disampaikan untuk dapat dipedomani dan dilaksanakan. Atas perhatian dan kerjasamanya, kami ucapkan terima kasih. 

DOWNLOAD S-666 :