Langsung ke konten utama
← BlogCompliance

Persyaratan Penetration Testing untuk Bank Indonesia Berdasarkan POJK 11/2022

Apa yang diwajibkan POJK 11/2022 dan surat edaran keamanan sibernya SEOJK 29/2022 bagi bank Indonesia untuk penetration testing: irama, ruang lingkup, pelaporan, dan remediasi.

K
Karina Kosasih · Offensive Security Lead
7 Juni 2026·4 menit

Penetration testing telah bergeser dari praktik baik yang bersifat opsional menjadi ekspektasi regulator bagi bank Indonesia. Jika Anda menjalankan teknologi untuk bank umum, program pengujian Anda perlu memenuhi regulator, bukan sekadar tujuan asurans internal. Panduan ini menjelaskan dari mana persyaratan ini sebenarnya berasal, seberapa sering Anda perlu menguji, apa yang harus dicakup, dan apa yang harus dilakukan dengan temuannya.

Apa yang diminta POJK 11/2022 dari bank

Penting untuk cermat soal regulasinya, karena angka utamanya hanya separuh cerita. POJK No. 11/POJK.03/2022, tentang penyelenggaraan teknologi informasi oleh bank umum, adalah regulasi payung. Diterbitkan pada Juli 2022, aturan ini menetapkan ekspektasi untuk tata kelola TI, manajemen risiko TI, dan pengoperasian sistem yang teruji serta aman sebelum mencapai produksi.

POJK 11/2022 sendiri tidak merinci frekuensi, ruang lingkup, atau tenggat pelaporan penetration testing. Detail itu ada dalam surat edaran pelaksananya, SEOJK No. 29/SEOJK.03/2022 tentang ketahanan dan keamanan siber bagi bank umum, yang terbit pada Desember 2022. Jadi ketika orang berbicara tentang kewajiban pentest berdasarkan POJK 11/2022, detail operasional yang dimaksud ada di SEOJK 29/2022. Keduanya harus dibaca bersama.

SEOJK 29/2022 membingkai pengujian keamanan siber dalam dua bentuk. Pertama adalah pengujian berbasis analisis kerentanan, yang mengidentifikasi kelemahan lalu mencoba mengeksploitasinya melalui penetration testing. Kedua adalah pengujian berbasis skenario, yang memvalidasi seberapa baik bank mendeteksi, memitigasi, dan pulih dari insiden.

Menentukan ruang lingkup pengujian

Seberapa banyak pengujian yang Anda perlukan ditentukan oleh risiko, bukan oleh tingkat permodalan. SEOJK 29/2022 meminta bank menilai risiko siber inheren mereka dalam lima tingkat, dengan menimbang faktor seperti teknologi yang dipakai, produk yang ditawarkan, karakteristik bank, dan riwayat insiden sibernya. Bank dengan kanal digital yang masif dan riwayat temuan serius berada lebih tinggi pada skala itu dan sebaiknya menguji lebih intensif dibanding bank kecil yang eksposurnya rendah.

Gunakan penentu di bawah ini untuk melihat bagaimana tingkat risiko, eksposur digital, dan temuan sebelumnya membentuk ruang lingkup dan irama pengujian yang masuk akal.

Rekomendasi ini bersifat indikatif, tetapi logikanya mencerminkan cara OJK mengharapkan bank berpikir: makin besar eksposur dan risiko, makin sering dan luas pengujiannya. Aplikasi perbankan yang menghadap internet, baik web maupun mobile, layak mendapat perhatian khusus karena di situlah sebagian besar serangan nyata mendarat.

Seberapa sering dan apa yang dicakup

Dasarnya jelas. SEOJK 29/2022 mewajibkan pengujian keamanan siber minimal sekali setahun. Bank berisiko lebih tinggi, dan bank mana pun yang melakukan perubahan signifikan pada sistemnya, sebaiknya menguji lebih sering dari minimum tahunan. Pengujian dapat dilakukan oleh tim internal atau pihak ketiga yang memenuhi syarat, sesuai ketentuan yang ditetapkan OJK.

Program yang matang menyebar pengujian sepanjang tahun alih-alih menumpuknya dalam satu kegiatan tahunan. Penetration test eksternal dan internal tahunan menjadi intinya, dilengkapi pengujian sebelum sistem baru yang signifikan dirilis, latihan ketahanan berbasis skenario, serta asesmen risiko inheren dan maturitas tahunan. Satu detail pelaporan penting: hasil pengujian berbasis skenario wajib dilaporkan ke OJK dalam sepuluh hari kerja setelah selesai.

Mengubah temuan menjadi remediasi

Sebuah pengujian hanya berguna jika temuannya diperbaiki. Hasil penetration test biasanya diberi peringkat berdasarkan tingkat keparahan, umumnya selaras dengan skala CVSS, dari kritis hingga rendah. Sebaran keparahan di bawah ini bersifat ilustratif, tetapi mencerminkan pola umum: sejumlah kecil temuan kritis dan tinggi membawa sebagian besar risiko nyata, sementara deretan panjang temuan sedang dan rendah perlu perhatian yang konsisten.

Kerangka waktu remediasi yang ditampilkan adalah konvensi industri, bukan mandat OJK. POJK 11/2022 dan SEOJK 29/2022 tidak menerbitkan tenggat remediasi tetap berdasarkan keparahan, sehingga bank sebaiknya menetapkan service level-nya sendiri, memprioritaskan temuan kritis dan tinggi secara agresif, serta menyimpan bukti remediasi untuk regulator. Yang OJK harapkan adalah Anda menguji, menindaklanjuti temuan, dan dapat menunjukkan keduanya.

Di Alpha Code, kami menjalankan penetration test dan latihan ketahanan untuk bank Indonesia yang terpetakan langsung ke SEOJK 29/2022, dan kami membantu mengubah temuan menjadi rencana remediasi yang dapat Anda pertanggungjawabkan. Jika pengujian tahunan Anda mendekat, menentukan ruang lingkupnya dengan benar adalah tempat nilai itu dimulai.

On This Page
Apa yang diminta POJK 11/2022 dari bankMenentukan ruang lingkup pengujianSeberapa sering dan apa yang dicakupMengubah temuan menjadi remediasi
Written By
K
Karina Kosasih
Offensive Security Lead

Karina leads penetration testing and red-team engagements for Indonesian banks, aligning technical assurance with regulatory expectations.

LinkedIn
Related Articles