Langsung ke konten utama
← BlogDevSecOps

DevSecOps di Fintech Indonesia: Memenuhi Persyaratan OJK Sambil Bergerak Cepat

Bagaimana fintech Indonesia memenuhi ekspektasi keamanan OJK tanpa melambat, dengan membangun gerbang keamanan di pipeline CI/CD dan menggeser ke kiri.

R
Rizki Pratama · DevSecOps Engineer
3 Juni 2026·4 menit

Fintech Indonesia hidup dengan ketegangan yang dikenal setiap tim teknik. Pasar menghargai kecepatan, merilis fitur lebih cepat dari bank mapan, sementara regulator menghargai kontrol. Lama keduanya terasa berlawanan: Anda bergerak cepat atau tetap patuh. DevSecOps adalah cara tim modern berhenti memilih di antara keduanya. Dengan membangun keamanan ke dalam pipeline pengiriman alih-alih menempelkannya di akhir, Anda bisa merilis sering dan membuktikan kontrol pada saat yang sama.

Ekspektasi OJK yang membentuk pengiriman fintech

Jika Anda beroperasi sebagai bank, regulasi jangkarnya adalah POJK 11/POJK.03/2022 tentang penyelenggaraan teknologi informasi oleh bank umum. Aturan ini menetapkan ekspektasi untuk tata kelola TI, manajemen risiko TI, dan penggunaan sistem yang teruji serta aman sebelum mencapai produksi. Surat edaran pendampingnya, SEOJK 29/SEOJK.03/2022 tentang ketahanan dan keamanan siber, membuat sisi keamanannya konkret: pengujian keamanan siber berkala termasuk asesmen kerentanan dan penetration testing, unit keamanan siber khusus yang dijaga independen dari operasi TI, serta tenggat pelaporan insiden yang ketat, dengan notifikasi awal ke OJK dalam 24 jam dan laporan rinci dalam lima hari.

Penyelenggara fintech lending berada di bawah rezim berbeda namun paralel. Aturan peer-to-peer lending dalam POJK 10/POJK.05/2022, yang kini digantikan POJK 40/2024, membawa persyaratannya sendiri untuk sistem elektronik yang aman, jejak audit, dan penanganan data. Benang merah dari semuanya adalah regulator mengharapkan Anda menunjukkan kontrol secara terus-menerus, bukan menghasilkan audit sekali jalan lalu berlalu.

Kabar baiknya, ekspektasi ini terpetakan dengan rapi ke dalam pipeline yang dibangun baik.

Pipeline dengan keamanan terbangun di dalam

Inti DevSecOps adalah menempatkan pemeriksaan keamanan otomatis di tiap tahap pipeline pengiriman, sehingga kode tak aman ditangkap mesin dalam hitungan menit alih-alih oleh auditor berbulan kemudian. Tiap gerbang juga menghasilkan bukti, yang persis ingin dilihat regulator. Jelajahi pipeline di bawah ini untuk melihat fungsi tiap gerbang dan ekspektasi OJK yang didukungnya.

Tak satu pun gerbang ini eksotis. Pemindaian rahasia, pemindaian dependensi, analisis statis dan dinamis, pemindaian infrastruktur dan kontainer, serta pemantauan runtime semuanya tersedia sebagai alat matang, banyak di antaranya sumber terbuka. Disiplinnya ada pada merangkainya ke dalam pipeline agar berjalan pada setiap perubahan dan memblokir rilis ketika menemukan sesuatu yang serius. Urutan adopsi yang praktis adalah memulai dengan pemindaian rahasia dan dependensi, yang bersinyal tinggi dan rendah derau, lalu menambahkan analisis statis, lalu pemindaian kontainer dan infrastruktur.

Mengapa menggeser ke kiri menguntungkan

Istilah shift left berarti menemukan dan memperbaiki masalah sedini mungkin dalam siklus pengembangan. Alasannya ekonomis. Cacat yang ditangkap saat pengembang masih menulis kode sangat murah diperbaiki. Cacat sama yang ditemukan di produksi jauh lebih mahal, karena kini melibatkan insiden, rollback, dampak ke pelanggan, dan mungkin laporan ke regulator.

Pengali ini adalah perkiraan yang umum dikutip, bukan pengukuran presisi, tetapi bentuknya konsisten di setiap studi: biaya perbaikan naik tajam semakin lambat Anda menemukannya. Bagi fintech yang diatur, ujung produksi dari kurva itu bahkan lebih curam, karena cacat keamanan yang mencapai produksi dapat memicu jam insiden 24 jam dan kerusakan reputasi yang menyertainya.

Bergerak cepat tanpa melanggar kepatuhan

Keberatan yang diajukan para insinyur adalah semua pemeriksaan ini pasti memperlambat mereka. Datanya berkata sebaliknya. Riset DORA tentang kinerja pengiriman perangkat lunak secara konsisten menemukan bahwa tim berkinerja tertinggi menerapkan lebih sering dan pulih lebih cepat, sekaligus lebih jarang gagal. Kecepatan dan stabilitas naik bersama ketika pemeriksaan keamanan diotomatiskan alih-alih manual.

Tim yang kesulitan adalah yang mengandalkan gerbang tinjauan manual dan pengujian keamanan di akhir siklus, yang menciptakan kemacetan dan tetap meloloskan cacat. Mengotomatiskan pemeriksaan menghapus kemacetan dan meningkatkan kualitas, itulah mengapa pipeline DevSecOps yang matang membuat fintech bisa bergerak cepat dan memenuhi OJK pada saat yang sama.

Di Alpha Code, kami membantu fintech Indonesia merancang dan mengoperasikan pipeline pengiriman aman yang menghasilkan bukti yang diminta OJK sebagai produk sampingan dari proses rilis. Jika pengujian keamanan Anda masih terjadi di akhir, di situlah tempat pertama untuk menggeser.

On This Page
Ekspektasi OJK yang membentuk pengiriman fintechPipeline dengan keamanan terbangun di dalamMengapa menggeser ke kiri menguntungkanBergerak cepat tanpa melanggar kepatuhan
Written By
R
Rizki Pratama
DevSecOps Engineer

Rizki builds secure delivery pipelines for Indonesian fintechs, embedding OJK-aligned controls without slowing release velocity.

LinkedIn