Compliance & GRC
Kepatuhan dan GRC untuk bank dan lembaga keuangan Indonesia
Ringkasnya
Peta singkat regulasi OJK yang berlaku untuk lembaga Anda, kewajiban UU PDP yang menyertainya, dan tautan ke panduan kepatuhan lengkap untuk segmen Anda.
Lembaga keuangan di Indonesia menjawab kepada lebih dari satu regulator sekaligus, dan aturan mana yang berlaku bergantung pada jenis lembaga yang Anda jalankan. Halaman ini adalah peta singkat dari itu, bukan pengulangan kewajiban detail yang sudah punya halamannya sendiri. Untuk cakupan pekerjaan GRC dan kepatuhan secara umum, lihat halaman layanan Compliance & GRC kami.
Regulasi mana yang berlaku untuk lembaga Anda
| Jenis lembaga | Regulasi | Yang dicakup |
|---|---|---|
| Bank umum | POJK 11/2022 + SEOJK 29/2022 | Tata kelola TI, ketahanan siber di lima domain kontrol, pelaporan insiden ke OJK |
| Bank perkreditan rakyat (BPR dan BPRS) | POJK 34/2025 (berlaku 18 Desember 2026) | Tata kelola TI, manajemen risiko TI, disaster recovery, audit TI berkala |
| Semua lembaga keuangan | UU PDP (UU 27/2022) | Pelindungan data pribadi, notifikasi pelanggaran dalam 72 jam, penunjukan DPO untuk pemrosesan skala besar |
Lebih dalam untuk segmen Anda
Bank umum menghadapi lima domain kontrol SEOJK 29/2022: tata kelola TI, manajemen aset, kontrol akses, manajemen insiden, dan risiko pihak ketiga, di luar dua tenggat pelaporan insiden. Halaman kami tentang kepatuhan keamanan siber bank umum menjabarkan apa yang diminta tiap domain dan bagaimana gap assessment mengubahnya menjadi peta jalan berprioritas.
Bank perkreditan rakyat mengikuti regulasi berbeda dengan tenggat yang lebih longgar. POJK 34/2025 berlaku efektif 18 Desember 2026 dan mencakup tata kelola TI, manajemen risiko, disaster recovery, keamanan informasi, dan audit TI berkala, disesuaikan dengan skala BPR, bukan skala bank umum. Halaman kami tentang kepatuhan BPR menurut POJK 34/2025 membahas kewajiban dan lini waktu transisinya secara penuh.
Di mana pemantauan dan pekerjaan DPO berada
Konsultasi GRC mencakup tata kelola, kebijakan, gap assessment, dan persiapan audit, yaitu bagian kepatuhan yang didokumentasikan dan ditinjau, bukan yang berjalan terus-menerus. Pemantauan berkelanjutan dan tenggat pelaporan insiden OJK ditangani lewat SOC-as-a-Service untuk bank kami. Kewajiban penunjukan DPO menurut UU PDP dan tugas DPO sektor keuangan punya halamannya sendiri, DPO-as-a-Service untuk bank, karena keduanya berkaitan tetapi bukan program yang sama.
Jika Anda belum yakin kerangka mana yang berlaku untuk lembaga Anda atau di mana letak kesenjangannya, tim kami dapat membahasnya bersama Anda dan menyusun langkah pertama yang konkret.
Referensi
Ditinjau oleh Naren Krishnan, Cybersecurity Manager
Pertanyaan umum
Bank umum, termasuk bank syariah, bank asing yang beroperasi di Indonesia, dan bank pembangunan daerah, tunduk pada POJK 11/2022 dan surat edarannya, SEOJK 29/2022. Bank perkreditan rakyat (BPR dan BPRS) tunduk pada kerangka terpisah, POJK 34/2025, yang berlaku efektif 18 Desember 2026. Penyelenggara sistem pembayaran yang berizin Bank Indonesia berada di bawah regulasi tersendiri.
Terkait
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.