Langsung ke konten utama

Compliance & GRC

Kepatuhan dan GRC untuk bank dan lembaga keuangan Indonesia

Ringkasnya

Peta singkat regulasi OJK yang berlaku untuk lembaga Anda, kewajiban UU PDP yang menyertainya, dan tautan ke panduan kepatuhan lengkap untuk segmen Anda.

Compliance solutions

Lembaga keuangan di Indonesia menjawab kepada lebih dari satu regulator sekaligus, dan aturan mana yang berlaku bergantung pada jenis lembaga yang Anda jalankan. Halaman ini adalah peta singkat dari itu, bukan pengulangan kewajiban detail yang sudah punya halamannya sendiri. Untuk cakupan pekerjaan GRC dan kepatuhan secara umum, lihat halaman layanan Compliance & GRC kami.

Regulasi mana yang berlaku untuk lembaga Anda

Jenis lembagaRegulasiYang dicakup
Bank umumPOJK 11/2022 + SEOJK 29/2022Tata kelola TI, ketahanan siber di lima domain kontrol, pelaporan insiden ke OJK
Bank perkreditan rakyat (BPR dan BPRS)POJK 34/2025 (berlaku 18 Desember 2026)Tata kelola TI, manajemen risiko TI, disaster recovery, audit TI berkala
Semua lembaga keuanganUU PDP (UU 27/2022)Pelindungan data pribadi, notifikasi pelanggaran dalam 72 jam, penunjukan DPO untuk pemrosesan skala besar
Gap assessment terhadap regulasi OJK yang berlakuTata kelola TI dan kebijakan di tingkat dewanTinjauan risiko pihak ketiga dan vendorPersiapan audit dan pemeriksaan OJK

Lebih dalam untuk segmen Anda

Bank umum menghadapi lima domain kontrol SEOJK 29/2022: tata kelola TI, manajemen aset, kontrol akses, manajemen insiden, dan risiko pihak ketiga, di luar dua tenggat pelaporan insiden. Halaman kami tentang kepatuhan keamanan siber bank umum menjabarkan apa yang diminta tiap domain dan bagaimana gap assessment mengubahnya menjadi peta jalan berprioritas.

Bank perkreditan rakyat mengikuti regulasi berbeda dengan tenggat yang lebih longgar. POJK 34/2025 berlaku efektif 18 Desember 2026 dan mencakup tata kelola TI, manajemen risiko, disaster recovery, keamanan informasi, dan audit TI berkala, disesuaikan dengan skala BPR, bukan skala bank umum. Halaman kami tentang kepatuhan BPR menurut POJK 34/2025 membahas kewajiban dan lini waktu transisinya secara penuh.

Di mana pemantauan dan pekerjaan DPO berada

Konsultasi GRC mencakup tata kelola, kebijakan, gap assessment, dan persiapan audit, yaitu bagian kepatuhan yang didokumentasikan dan ditinjau, bukan yang berjalan terus-menerus. Pemantauan berkelanjutan dan tenggat pelaporan insiden OJK ditangani lewat SOC-as-a-Service untuk bank kami. Kewajiban penunjukan DPO menurut UU PDP dan tugas DPO sektor keuangan punya halamannya sendiri, DPO-as-a-Service untuk bank, karena keduanya berkaitan tetapi bukan program yang sama.

Jika Anda belum yakin kerangka mana yang berlaku untuk lembaga Anda atau di mana letak kesenjangannya, tim kami dapat membahasnya bersama Anda dan menyusun langkah pertama yang konkret.

Referensi

  1. 1.OJK, POJK No. 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum
  2. 2.OJK, SEOJK No. 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum
  3. 3.OJK, POJK Nomor 34 Tahun 2025 tentang Penyelenggaraan Teknologi Informasi oleh BPR dan BPRS

Ditinjau oleh Naren Krishnan, Cybersecurity Manager

Pertanyaan umum

Bank umum, termasuk bank syariah, bank asing yang beroperasi di Indonesia, dan bank pembangunan daerah, tunduk pada POJK 11/2022 dan surat edarannya, SEOJK 29/2022. Bank perkreditan rakyat (BPR dan BPRS) tunduk pada kerangka terpisah, POJK 34/2025, yang berlaku efektif 18 Desember 2026. Penyelenggara sistem pembayaran yang berizin Bank Indonesia berada di bawah regulasi tersendiri.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.