Pada Februari 2026 lalu, Bank Pembangunan Daerah Jambi mengalami peretasan sistem yang mengakibatkan kerugian sebesar Rp 143 miliar dari lebih 6.000 rekening nasabah.
Selama lebih dari dua minggu, layanan mobile banking dan ATM Bank Jambi lumpuh total. Pembayaran THR pun sempat terancam tertunda karena sistem belum dinyatakan aman oleh Bank Indonesia.
Dari kasus ini, kita bisa melihat bahwa keamanan mobile banking tidak hanya menyangkut uang nasabah, tetapi juga operasional bank dan kepercayaan publik yang dibangun selama puluhan tahun.
Artikel ini akan mengupas seluruh standar mobile banking security yang wajib ada di dalam checklist tim IT Anda sehingga kejadian seperti ini bisa diminimalisir.
Mengenal Mobile Banking Security
Mobile banking security adalah seluruh lapisan perlindungan yang memastikan aplikasi perbankan di ponsel tetap aman dari ancaman siber.
Secara umum, ada tiga lapisan utama yang harus dilindungi:
1. Aplikasi
Lapisan pertama adalah kode dan data yang tersimpan di dalam ponsel nasabah.
2. Komunikasi
Selanjutnya jalur data yang menghubungkan aplikasi dengan server bank.
3. Identitas
Terakhir adalah mekanisme yang memastikan bahwa pengguna aplikasi adalah nasabah yang sah.
Jika salah satu lapisan ini berhasil dibobol oleh peretas, maka dampaknya sangat berbahaya.
Layanan mobile banking bisa lumpuh selama lebih dari dua minggu dan nasabah terpaksa mengantre di kantor cabang. Akibatnya reputasi dan kepercayaan publik terhadap bank pun menjadi turun.
Baca Juga : ISO 27001 untuk Sistem Pembayaran: Strategi Memenuhi TIKMI dalam PBI 10/2025 dan PADG 32/2025
10 Standar Keamanan Mobile Banking yang Wajib Dipenuhi
Berikut adalah sepuluh standar keamanan mobile banking yang wajib ada dalam checklist tim IT Anda.
1. OWASP MASVS
OWASP Mobile Application Security Verification Standard atau MASVS adalah kerangka acuan global untuk mengukur tingkat keamanan aplikasi mobile.
Standar ini mendefinisikan persyaratan teknis yang harus dipenuhi, seperti:
- Penyimpanan data
- Kriptografi
- Autentikasi
- Keamanan jaringan
- Ketahanan aplikasi terhadap rekayasa balik
Pada aplikasi mobile banking, keberadaan MASVS sangat krusial karena aplikasi perbankan memproses data keuangan yang sangat sensitif. Jika Anda mengabaikan standar ini, sama saja dengan membiarkan celah keamanan terbuka lebar.
2. PCI DSS v4.0
Payment Card Industry Data Security Standard versi 4.0 adalah standar wajib bagi setiap aplikasi yang memproses, menyimpan, atau mentransmisikan data kartu pembayaran.
Aplikasi mobile banking yang menyediakan fitur pembayaran atau transfer antar bank wajib tunduk pada standar ini.
3. ISO/IEC 27001
ISO 27001 adalah standar internasional untuk Sistem Manajemen Keamanan Informasi. Standar ini mencakup kebijakan, prosedur, sumber daya manusia, dan tata kelola organisasi secara menyeluruh.
Sertifikasi ini menjadi bukti bahwa keamanan informasi dikelola secara sistematis, sehingga mengantongi sertifikasi ISO 27001 ini menandakan bahwa tata kelola keamanan telah diakui secara global.
4. POJK 11/POJK.03/2022 dan SEOJK 29/2022
Regulasi wajib dari Otoritas Jasa Keuangan untuk bank umum di Indonesia.
POJK 11/2022 menetapkan kerangka manajemen keamanan siber yang komprehensif, mulai dari kewajiban menunjuk CISO, penerapan manajemen risiko siber, kontrol akses, hingga manajemen pihak ketiga.
Sementara SEOJK 29/2022 adalah panduan teknis yang mewajibkan pelaporan insiden dalam tenggat waktu tertentu serta pengujian keamanan tahunan.
Jika aplikasi mobile banking tidak mematuhi regulasi ini, bisa berujung pada sanksi administratif hingga pencabutan izin operasional.
5. POJK 12/2024
POJK 12/2024 adalah OJK yang mewajibkan seluruh Lembaga Jasa Keuangan, termasuk bank dan fintech, untuk menerapkan strategi anti-fraud yang terdiri dari empat pilar:
- Pencegahan
- Deteksi
- Investigasi
- Pemantauan dan evaluasi
Direksi dan komisaris bertanggung jawab secara langsung atas implementasi strategi ini.
6. Enkripsi TLS 1.3 dan Certificate Pinning
Komunikasi antara aplikasi mobile banking dan server bank wajib menggunakan TLS 1.3, sebuah protokol enkripsi terbaru yang menawarkan keamanan lebih tinggi dan proses negosiasi koneksi yang lebih cepat dibanding versi sebelumnya.
TLS 1.3 mendukung Forward Secrecy sehingga meskipun kunci server bocor di masa depan, sesi komunikasi yang sudah direkam tidak bisa didekripsi.
Certificate pinning menambahkan lapisan perlindungan berikutnya dengan memastikan aplikasi hanya menerima sertifikat dari server yang sah, mencegah serangan man-in-the-middle meskipun ada otoritas sertifikat yang telah disusupi.
7. Multi-Factor Authentication
Multi-Factor Authentication atau MFA mengacu pada panduan National Institute of Standards and Technology dalam dokumen NIST SP 800-63B.
Standar ini menetapkan bahwa autentikasi harus mengombinasikan dua faktor yaitu kepemilikan dan biometrik.
Untuk aplikasi mobile banking, kombinasi yang direkomendasikan adalah kata sandi ditambah verifikasi biometrik sidik jari atau wajah.
8. Anti-Tampering dan Runtime Protection
Runtime Application Self-Protection atau RASP adalah teknologi yang menanamkan mekanisme pertahanan langsung ke dalam kode aplikasi.
Teknologi ini mendeteksi dan memblokir serangan secara real-time saat aplikasi sedang berjalan. Perlindungannya mencakup:
- Deteksi perangkat yang sudah di-root atau di-jailbreak
- Pencegahan reverse engineering
- Deteksi overlay attack yang biasa digunakan malware untuk mencuri kredensial login
- Pemantauan integritas kode aplikasi
Tanpa RASP, aplikasi mobile banking ibarat rumah tanpa alarm yang mudah dimasuki pencuri.
Baca Juga : Penyelenggaraan Teknologi Informasi oleh Bank Umum
9. Secure SDLC
Secure Software Development Lifecycle atau Secure SDLC adalah pendekatan yang mengintegrasikan keamanan pada setiap tahap pengembangan perangkat lunak:
- Perancangan
- Penulisan kode
- Pengujian
- Perilisan
- Pemeliharaan
Praktik ini mencakup threat modeling di awal perancangan, static application security testing saat penulisan kode, dan dependency scanning untuk mendeteksi kerentanan pada pustaka pihak ketiga.
Bank modern rata-rata merilis puluhan pembaruan per hari dan Secure SDLC memastikan tidak satu pun pembaruan itu membuka celah keamanan baru.
10. Penetration Testing Secara Berkala
Penetration testing atau pentest adalah simulasi serangan yang dilakukan oleh tim keamanan independen untuk menguji seberapa tangguh sistem pertahanan yang sudah dibangun.
OJK pun mewajibkan bank untuk melakukan uji penetrasi tahunan untuk menguji seluruh lapisan, mulai dari aplikasi mobile, API, jaringan, hingga server backend.
Hasil dari pengujian aplikasi finansial ini yang menjadi bukti valid bahwa standar-standar di atas benar-benar berfungsi sebagaimana mestinya.
Sepuluh standar ini butuh diterapkan untuk menjaga mobile banking security.
Lalu bagaimana agar seluruh standar ini bisa diterapkan?
Standar Tanpa Pengujian Bukan Jaminan, Saatnya Lakukan Penetration Testing Bersama DSG
Kesenjangan yang paling sering terjadi di lapangan adalah ketika bank sudah mengimplementasikan berbagai standar keamanan dan merasa sudah aman, tetapi belum pernah menguji sistem mereka secara independen.
Penetration testing untuk mobile banking mencakup pengujian menyeluruh pada empat area kritis, yaitu:
- Lapisan aplikasi mobile
- API yang menghubungkan aplikasi dengan server
- Keamanan jaringan komunikasi
- Sistem backend yang memproses seluruh transaksi
Bank wajib menunjukkan hasil pengujian yang valid, komprehensif, dan dapat ditindaklanjuti.
DSG menyediakan layanan penetration testing untuk aplikasi mobile banking yang dirancang khusus memenuhi kebutuhan regulasi OJK sekaligus standar internasional.
Pengujian kami mensimulasikan serangan nyata, mulai dari percobaan SQL Injection di celah API hingga XSS yang dapat mencuri sesi pengguna.
Setelah uji penetrasi selesai, tim kami akan memberikan laporan komprehensif dan actionable sehingga tim teknis bisa langsung menindaklanjuti setiap temuan. Seluruh dokumentasi pengujian juga siap digunakan untuk keperluan audit kepatuhan dan pelaporan ke regulator.
Jadwalkan konsultasi gratis bersama tim kami untuk mendapatkan gambaran langkah teknis yang perlu diprioritaskan dalam mengamankan mobile banking Anda.
