VIDA adalah perusahaan Penyelenggara Sertifikat Elektronik (Certificate Authority) pertama di Indonesia yang memperoleh akreditasi dari WebTrust. Dalam mendapatkan akreditasi tersebut, VIDA melalui berbagai audit yang disyaratkan. Dengan mendapatkan akreditasi dari Webtrust, maka tanda tangan digital sebagai layanan yang VIDA berikan, sejajar dengan penyedia tanda tangan digital atau digital signature kelas dunia lainnya.
Tapi, apakah itu WebTrust, dan apa pentingnya? Sebagai analogi umum, pelaku bisnis dan konsumen umum sewajarnya membutuhkan jaminan mengenai layanan yang ia dapatkan. Jaminan itu akan makin dipercaya bila penjaminnya adalah pihak lain yang memiliki kriteria ketat dan melakukan pemeriksaan sebelum mengeluarkan jaminan, serta membatasi durasi berlakunya jaminan tersebut.
Dalam urusan identitas digital dan autentikasinya, proses jaminan seperti itu menjadi sangat penting karena terkait urusan keabsahan transaksi digital dan terkait pula dengan perlindungan data konsumen, yang diatur oleh negara melalui undang-undang dan berbagai aturan turunannya. Pelaku bisnis maupun konsumen harus yakin bahwa identitas digital dan proses autentikasi multifaktornya ditangani oleh pihak yang sudah melalui proses audit oleh lembaga terpercaya, mengacu pada standar tertinggi.
Akreditasi dari WebTrust adalah bentuk jaminan tersebut, karena program WebTrust dibuat mengikuti kriteria yang ditetapkan organisasi akuntansi acuan dunia: American Institute of Chartered Public Accountants (AICPA) dan Canadian Institute of Chartered Accountants (CICA). Akreditasi diperoleh bila menempuh dan lolos proses audit oleh kantor akuntan atau lembaga independen yang berlisensi.
Apa saja yang kriteria yang dicakup dalam evaluasi terhadap perusahaan untuk mendapatkan akreditasi WebTrust? Ada sejumlah area yang dievaluasi:
Privacy. Selain menaati aturan negara-negara terkait mengenai privasi, perusahaan perlu memperhatikan rasa aman konsumen dalam hal pengumpulan, penyimpanan dan penggunaan informasi konsumen maupun kliennya.
Security. Sistem perusahaan terkait aman dari akses tak dikenal, baik dari internal perusahaan, pihak eksternal, maupun pihak intelektual lainnya. Artinya, perlu ada proses pengawasan yang terus-menerus, pengkinian langkah-langkah keamanan yang dilakukan tim khusus dengan kewenangan tersebut, untuk memproteksi konsumen maupun data perusahaan tersebut.
Availability. Konsistensi dalam tingkat pelayanan sesuai kesepakatan dengan konsumen bisa memperkuat daya tarik bagi konsumen. Maka, perlu ada review berkala mengenai tingkat layanan yang dijanjikan terhadap pelaksanaannya.
Processing Integrity. Biasa juga disebut business practices integrity atau transaction integrity, kriteria ini adalah mengenai adanya sistem yang menjamin tiap transaksi akan sukses/berhasil dan aman, demi pengalaman positif yang mendorong terjadinya repetisi penggunaan layanan. Konsumen perlu merasa aman dari pencurian data saat ia bertransaksi.
Confidentiality. Informasi bisnis-ke-bisnis haruslah dilindungi. Pelanggan yang tahu dan percaya bahwa website terkait punya berbagai penjagaan terhadap data personalnya, bakal lebih mungkin menjadi pelanggan setia.
Non-Repudiation. Kriteria ini memberi keuntungan bagi perusahaan, karena menjaga terjadinya saling percaya dengan pelanggan. Salah satu caranya adalah memastikan adanya proses konfirmasi, misalnya terhadap kemampuan konsumen membayar sebuah transaksi online. Pemasukan aman, hubungan dengan pelanggan juga terjaga.
Sebuah situs web milik perusahaan yang telah mendapat akreditasi WebTrust berhak memasang segel atau stempel dari WebTrust. Segel tersebut bisa diklik, yang akan membuka rincian akreditasi dari situs WebTrust, spesifik untuk perusahaan tersebut.
Certificate Authority (CA), alias Penyelenggara Sertifikat Elektronik (PSrE), menjadi kunci kepercayaan terhadap keamanan di dunia internet. PSrE adalah pihak yang mengeluarkan sertifikat digital yang memuat berbagai informasi: public key, enkripsi yang digunakan, pemilik sertifikat, tanda tangan digital PSrE yang memverifikasi pemilik, hingga durasi validitasnya.
Sertifikat digital itulah yang digunakan untuk mengenkripsi dalam proses tanda tangan digital yang dilakukan oleh pelanggan. Keabsahan identitas seorang pengirim pesan bisa diverifikasi berdasar sertifikat digitalnya, yaitu melalui verifikasi identitas dengan mencocokan pada sumber yang memiliki otoritas dalam penerbitan dan manajemen identitas yang dikenal dengan proses verifikasi identitas.
[Baca juga apa itu verifikasi identitas dan verifikasi identitas digital]
Maka, sebuah PSrE harus bisa memberi jaminan pada pelaku bisnis maupun pelanggannya bahwa aplikasinya menjaga privasi dan keamanan data pengguna. Pelaku bisnis perlu memperhatikan privasi dan keamanan data karena konsumen memiliki hak atas privasinya, dan seiring meningkatnya kesadaran akan perlindungan data pribadi, semakin tinggi pula permintaan atas diterapkannya praktik-praktik perlindungan privasi. Alasan lainnya adalah untuk mematuhi regulasi pemerintah terkait privasi dan keamanan data.
Dengan terakreditasinya VIDA oleh WebTrust for CA, maka VIDA ingin memberikan jaminan standar pelayanan kelas dunia kepada pelaku bisnis, bahwa PSrE terkait telah memiliki praktik sesuai standar yang dilakukan oleh penyedia tanda tangan digital kelas dunia lainnya.
Akreditasi spesifik untuk PSrE ini memiliki rincian kriteria audit yang lebih panjang lagi. Auditor independen, berdasar beberapa standar internasional yang diakui AICPA dan CICA, lebih jauh lagi akan melihat bahwa PSrE yang diaudit antara lain:
Memiliki keterbukaan mengenai bisnisnya, manajemen lifecycle key dan sertifikat, dan praktik kontrol lingkungannya termasuk pengelolaan dan pemeliharaan operasional dan integritas sistem
Secara efektif memiliki dan menjalankan kontrol yang menjamin perlindungan integritas key dan sertifikat yang dikelola; permohonan registrasi akurat, diotentikasi, dan diterima
Memiliki kontrol terhadap akses fisik maupun non-fisik ke sistem dan data CA, dan hanya dibatasi pada orang-orang yang memiliki izin.
Berdasar standar-standar yang ditetapkan, auditor menguji secara selektif transaksi-transaksi yang terjadi yang memakai key maupun sertifikat dari PSrE terkait, dalam rangka mengevaluasi efektivitas PSrE. Bila lolos berbagai kriteria tersebut, barulah WebTrust merilis jaminan bagi PSrE terkait.
Akreditasi terkini adalah WebTrust for CA 2.2, yang diperoleh VIDA setelah melalui audit terhadap 7 kriteria yang dirinci menjadi 325 poin kontrol, yang selanjutnya akan diverifikasi berkala setiap tahun sesuai standar dari WebTrust. “Dengan fitur-fitur canggih, sistem keamanan terbaik dan sertifikasi dari WebTrust, tujuan VIDA tak hanya untuk melayani klien dengan baik, tapi juga menunjukkan bahwa sebuah startup kecil dari Indonesia seperti kami bisa menyediakan tingkatan jaminan yang setara dengan perusahaan-perusahaan teknologi multinasional yang besar,” kata CEO VIDA Sati Rasuanto.
Di Indonesia, stempel akreditasi WebTrust for CA juga telah diberikan kepada pemerintah Indonesia yaitu ke Kementerian Komunikasi dan Informatika, setelah diaudit oleh kantor akuntan publik independen. Audit pertama kali berlangsung pada akhir 2018, dengan hasil bahwa Root CA kelolaan Direktorat Jenderal Aplikasi Informatika Kemkominfo telah memenuhi standar WebTrust untuk menerbitkan sertifikat digital.
VIDA, selain sebagai perusahaan swasta pertama di Indonesia yang mendapat akreditasi WebTrust untuk PT Identitas Digital Indonesia, juga merupakan Certificate Authority tersertifikasi berdasarkan Surat Keputusan Menteri Komunikasi dan Informatika; serta memiliki ISO 27001 untuk standar sistem manajemen keamanan informasi pada perusahaan yang mengelola data konfidensial.
Deretan jaminan dan sertifikasi itu menempatkan VIDA sebagai platform identitas digital terpercaya, di mana identitas dan data pelanggannya disimpan dengan tingkat keamanan tertinggi, agar penggunanya senantiasa bisa membuktikan identitasnya dengan mudah dan aman, kapan saja dan di mana saja.