Dalam tiga tahun terakhir, hampir semua industri jasa keuangan di Indonesia mulai dari perbankan, fintech, hingga e-commerce, berlomba meluncurkan layanan digital.
Setiap hari, jutaan transaksi terjadi. Setiap detik, data pribadi nasabah, mulai dari nama, KTP, hingga riwayat transaksi dan biometrik, mengalir deras ke dalam sistem informasi Pelaku Usaha Jasa Keuangan (PUJK).
Namun, seberapa siap sistem informasi mengamankan semua data itu?
Otoritas Jasa Keuangan (OJK) menerbitkan POJK Nomor 22 Tahun 2023 (POJK 22/2023) yang secara eksplisit mewajibkan PUJK memastikan keamanan sistem informasi dan ketahanan siber.
Artikel ini akan membahas secara praktis bagaimana PUJK dapat memenuhi amanat POJK 22/2023.
Apa Itu POJK 22/2023?
POJK 22/2023 adalah regulasi yang mengatur tentang tujuh prinsip perlindungan konsumen. Mulai dari transparansi informasi, penanganan pengaduan, edukasi konsumen, tanggung jawab jika terjadi kerugian, dan juga keamanan sistem informasi dan ketahanan siber.
Cakupan PUJK dalam regulasi ini sangat luas. Tidak hanya perusahaan perbankan, tetapi hampir semua lembaga yang bergerak di sektor jasa keuangan. Berikut daftarnya:
- Bank, termasuk bank umum dan bank perkreditan rakyat (BPR)
- Perusahaan pembiayaan, seperti leasing, multifinance, dan fintech lending (pinjol legal)
- Perusahaan efek, termasuk sekuritas dan manajer investasi
- Perusahaan asuransi dan perusahaan reasuransi
- Dana pensiun
- Lembaga jasa keuangan lainnya yang diawasi oleh OJK
Setiap entitas di atas, baik yang sudah lama berdiri maupun baru beroperasi, wajib menyesuaikan diri dengan ketentuan dalam POJK 22/2023. Tidak ada pengecualian.
Di dalam POJK 22/2023, kewajiban tentang sistem informasi secara spesifik tertuang dalam Pasal 24 ayat (1). Bunyinya kurang lebih sebagai berikut:
PUJK wajib memastikan keamanan sistem informasi dan ketahanan siber dalam pelaksanaan kegiatan usaha untuk perlindungan konsumen.
5 Tahap Manajemen Ketahanan Siber yang Wajib Diimplementasikan
Selain mewajibkan PUJK memiliki sistem informasi yang aman, POJK 22/2023 juga menuntut adanya manajemen ketahanan siber yang sistematis.
Manajemen ketahanan siber ini dapat dibagi menjadi lima tahap. Kelima tahap ini harus didokumentasikan, diuji secara berkala, dan direview minimal setahun sekali.
Tahap 1: Identifikasi Aset, Ancaman, dan Kerentanan
Tahap identifikasi mengharuskan PUJK memetakan seluruh aset informasi yang dimiliki. Mulai dari data nasabah, data transaksi, data karyawan, kredensial akses, hingga kode sumber aplikasi semuanya harus dicatat dan diklasifikasikan berdasarkan tingkat sensitivitasnya.
Selain aset, PUJK juga harus mengidentifikasi ancaman potensial (siapa yang mungkin menyerang dan bagaimana caranya) serta kerentanan (celah teknis atau prosedural yang bisa dieksploitasi). Hasil dari tahap ini adalah dokumen risk assessment yang menjadi dasar bagi seluruh upaya keamanan berikutnya.
Tahap 2: Perlindungan Aset
Setelah risiko diketahui, langkah berikutnya adalah menerapkan pengamanan. Perlindungan aset mencakup dua hal yaitu perlindungan teknis dan perlindungan non teknis.
Perlindungan teknis meliputi:
- Pemasangan firewall dan sistem pencegahan intrusi (IPS).
- Penerapan enkripsi untuk data saat disimpan (data at rest) maupun saat dikirim (data in transit).
- Manajemen akses berbasis peran (RBAC) dan penerapan autentikasi multifaktor (MFA) untuk semua akses penting.
- Patch management terjadwal untuk menutup celah keamanan pada sistem operasi dan aplikasi.
Perlindungan non teknis meliputi:
- Kebijakan keamanan informasi yang tertulis dan disosialisasikan ke seluruh karyawan.
- Pelatihan kesadaran keamanan siber, khususnya untuk mengenali serangan phishing dan rekayasa sosial (social engineering).
Tahap 3: Deteksi Ancaman dan Insiden
Tidak ada perlindungan yang sempurna. Oleh karena itu, PUJK harus memiliki kemampuan untuk mendeteksi anomali atau serangan secara real time. Deteksi yang cepat menentukan seberapa besar kerusakan yang terjadi.
Sistem yang umum digunakan untuk deteksi antara lain:
- Security Information and Event Management (SIEM) untuk mengumpulkan dan menganalisis log dari berbagai perangkat.
- Intrusion Detection System (IDS) untuk memantau lalu lintas jaringan yang mencurigakan.
- Endpoint Detection and Response (EDR) untuk memantau perilaku mencurigakan pada perangkat karyawan.
PUJK juga harus menetapkan ambang batas (threshold) dan mekanisme alerting sehingga tim keamanan segera tahu ketika terjadi kejadian yang tidak wajar.
Tahap 4: Penanggulangan Insiden
Ketika terdapat insiden siber, tentu perusahaan harus bergerak cepat dalam waktu singkat supaya data bisa tetap aman. Tahap penanggulangan mengharuskan PUJK memiliki Incident Response Plan (IRP) yang sudah diuji sebelumnya.
IRP yang baik harus bisa menjawab pertanyaan berikut:
- Siapa anggota tim tanggap insiden dan apa peran masing masing?
- Bagaimana prosedur mengisolasi sistem yang terinfeksi agar tidak menyebar?
- Bagaimana cara mengamankan bukti forensik untuk investigasi dan keperluan hukum?
- Kapan dan bagaimana melaporkan insiden ke OJK serta pihak berwenang lainnya?
Tanpa adanya IRP yang jelas, biasanya karyawan akan panik. Sementara, keputusan yang diambil dalam keadaan panik sering kali justru memperparah situasi, misalnya dengan mematikan server yang sebenarnya masih bisa diselamatkan.
Tahap 5: Pemulihan dan Evaluasi Pasca Insiden
Tahap pemulihan bertujuan mengembalikan layanan ke kondisi normal dengan aman. Di sinilah peran Disaster Recovery Plan (DRP) dan Business Continuity Plan (BCP) menjadi sangat krusial.
DRP memastikan sistem dan data dapat dipulihkan dari cadangan (backup) yang bersih dan belum terkontaminasi. BCP memastikan operasional bisnis tetap berjalan, meskipun dalam kapasitas terbatas, selama proses pemulihan berlangsung.
Setelah semuanya pulih, PUJK wajib melakukan evaluasi pasca insiden. Hasil evaluasi ini harus menjadi masukan untuk menyempurnakan kelima tahap di atas, sehingga ketahanan siber akan terus membaik dari waktu ke waktu.
Tanggung Jawab Spesifik untuk Berbagai Sektor PUJK
Tidak semua PUJK memiliki risiko dan kebutuhan yang sama. POJK 22/2023 mengakui karakteristik unik setiap sektor. Berikut rincian tanggung jawab spesifik:
1. Perbankan & Super Apps
Fokus utama adalah perlindungan nasabah lintas layanan (tabungan, investasi, pembayaran). Sistem harus secure by default namun tetap ramah pengguna (user experience). Bank juga wajib memiliki fraud detection system yang terintegrasi.
2. Fintech Lending (Pinjol Legal)
Sektor ini menjadi fokus utama pada perlindungan data pribadi (KTP, kontak darurat, riwayat transaksi).
Industri fintech lending dari awal memang sudah diwajibkan memiliki sertifikasi ISO 27001 untuk manajemen keamanan informasi . Di dalamnya mencakup tersedianya SOP, pelaksanaan dan monitoring SOP, kelengkapan infrastruktur, perlindungan sistem termasuk enkripsi, dan lainnya, yang kemudian diaudit tahunan .
3. Pasar Modal & Asuransi
Sektor ini fokus pada integritas data transaksi dan perlindungan dana investasi atau polis. PUJK di bidang ini wajib memiliki sistem pencatatan yang tamper-proof (tidak bisa diubah tanpa jejak). Perubahan tarif atau kebijakan harus melalui mekanisme persetujuan yang terdokumentasi.
Jika PUJK lalai dalam memenuhi keamanan sistem informasi, maka OJK berwenang memberikan sanksi administratif yang berat. Sanksi tersebut meliputi peringatan tertulis, pembatasan kegiatan usaha, denda administratif (mencapai miliaran rupiah), hingga pencabutan izin usaha .
Selain itu, PUJK dilarang bekerja sama dengan pihak ilegal atau menerima konsumen dari entitas yang tidak berizin OJK. OJK juga bisa melakukan gugatan perdata jika PUJK merugikan konsumen akibat kelalaian sistem.
Melindungi Data Pelanggan dengan Ketahanan Siber
Membangun sistem yang memenuhi kelima tahap ketahanan siber bukanlah pekerjaan instan. Mulai dari identifikasi kerentanan, penyusunan dokumen kebijakan, hingga pendampingan menghadapi audit, semua membutuhkan ahli bersertifikasi.
Untuk memastikan operasional PUJK berjalan lancar dan data pelanggan aman, Anda bisa melakukan sertifikasi ISO 27001.
ISO 27001 adalah standar internasional untuk sistem manajemen keamanan informasi yang mengatur bagaimana organisasi mengelola risiko, melindungi data, dan memastikan kepatuhan terhadap regulasi seperti POJK 22/2023.
DSG siap membantu PUJK Anda memenuhi amanat POJK 22/2023 melalui jasa pendampingan sertifikasi ISO 27001.
Jadwalkan konsultasi gratis dan dapatkan insight tentang kebutuhan kepatuhan perusahaan Anda bersama tim DSG sekarang!
