Langsung ke konten utama

Kepatuhan cloud

Keamanan cloud dan kepatuhan OJK untuk bank di Indonesia

Ringkasnya

Syarat POJK 11/2022 sebelum bank pindah ke cloud: lokalisasi data, izin OJK untuk pemrosesan di luar negeri, pelaporan alih daya, dan tanggung jawab bersama.

Compliance solutions

POJK 11/2022 tentang penyelenggaraan teknologi informasi oleh bank umum, dengan surat edaran pelaksana SEOJK 29/2022, beserta PP 71/2019 tentang sistem elektronik.

OJK mengizinkan bank umum memakai cloud, tetapi memperlakukannya sebagai alih daya TI: bank memegang tanggung jawab penuh, mengelola pengaturannya sesuai persyaratan risiko POJK 11/2022, dan memperoleh persetujuan OJK sebelum menempatkan data serta beban kerja tertentu di luar Indonesia.

Otoritas: Otoritas Jasa Keuangan (OJK)

Bank di Indonesia berpindah ke cloud dengan alasan yang sama seperti yang lain, tetapi sebuah bank tidak bisa mengalihdayakan tanggung jawabnya bersama infrastrukturnya. OJK mengatur cloud sebagai bentuk alih daya TI di bawah POJK 11/2022, peraturan tentang penyelenggaraan teknologi informasi oleh bank umum, yang dirinci lewat SEOJK 29/2022. Penyedia cloud boleh menjalankan platformnya. Bank tetap menjawab kepada OJK atas apa yang terjadi di atasnya.

Apa yang berubah saat bank teregulasi pindah ke cloud

Pertanyaan keamanan cloud yang dihadapi bank tidak hanya teknis. Tiga ekspektasi regulasi membentuk setiap keputusan desain sebelum beban kerja pertama berpindah.

Tanggung jawab tetap pada bank

OJK memperlakukan cloud sebagai alih daya. Penyedia menjalankan infrastruktur, tetapi bank tetap bertanggung jawab kepada regulator dan nasabah atas perlindungan data, ketersediaan, dan penanganan insiden. Tanggung jawab tidak bisa dialihkan lewat kontrak.

Lokalisasi data sebagai default

POJK 11/2022 mewajibkan persetujuan OJK untuk menyimpan dan memproses data serta sistem tertentu di luar Indonesia. Asumsi awalnya di dalam negeri, jadi beban kerja harus diklasifikasikan sebelum apa pun pindah ke region asing.

Alih daya harus dikelola

Pengaturan cloud tunduk pada aturan manajemen risiko TI dan alih daya: uji tuntas penyedia, pengaman kontraktual, pelaporan ke OJK, serta kemampuan keluar atau pulih jika penyedia gagal.

Kewajiban yang harus dipetakan sebelum migrasi

Rencana migrasi cloud bagi sebuah bank sekaligus adalah rencana kepatuhan. Inilah kewajiban yang menentukan apakah sebuah arsitektur layak disetujui.

Kewajiban menurut aturan OJKStatus
Mempertahankan tanggung jawab bank atas TI yang dialihdayakan, termasuk cloudWajib
Menerapkan manajemen risiko TI pada pengaturan cloud sesuai POJK 11/2022Wajib
Memperoleh persetujuan OJK untuk memproses atau menyimpan data dan sistem tertentu di luar negeriBersyarat
Melakukan uji tuntas penyedia dan mencantumkan klausul perlindungan dalam kontrakWajib
Melaporkan pengaturan dan rencana alih daya TI kepada OJKWajib
Memelihara exit, pemulihan, dan kelangsungan bisnis jika penyedia gagalWajib

Di mana data boleh berada

PP 71/2019 mengizinkan penyelenggara sistem elektronik lingkup privat menempatkan data di luar negeri dengan syarat, tetapi lembaga keuangan berada di bawah rezim sektoral yang lebih ketat: bank tetap mengikuti aturan OJK dan Bank Indonesia bahkan ketika peraturan umum lebih longgar. Pada praktiknya Anda memutuskan penempatan per beban kerja, bukan untuk bank secara keseluruhan.

Klasifikasikan tiap beban kerja menurut sensitivitas data dan kategori OJKTempatkan data inti dan nasabah di dalam negeri sebagai defaultMinta persetujuan OJK sebelum memproses beban kerja yang memenuhi syarat di luar negeriJaga akses untuk pengawasan dan penegakan hukumDokumentasikan di mana setiap data disimpan dan diprosesPeriksa ulang penempatan setiap kali arsitektur berubah

Jalur praktis menuju cloud yang layak disetujui

Urutan pekerjaan penting. Celah kepatuhan yang ditemukan setelah migrasi mahal harganya, jadi asesmen datang lebih dulu.

  1. 1

    Inventaris beban kerja dan data

    Daftar setiap sistem dan data yang akan ke cloud, klasifikasikan menurut sensitivitas, dan tandai kategori OJK yang berlaku. Keputusan penempatan bergantung pada peta ini, begitu pula percakapan persetujuan dengan OJK.

  2. 2

    Asesmen celah tanggung jawab bersama

    Dokumentasikan secara tepat apa yang diamankan penyedia cloud dan apa yang harus diamankan bank di atasnya: identitas, konfigurasi, enkripsi, pencatatan, dan kontrol jaringan. Celah di sisi bank itulah tempat pelanggaran terjadi.

  3. 3

    Uji tuntas dan kontrak penyedia

    Nilai penyedia terhadap ekspektasi alih daya OJK dan tuangkan klausul perlindungan, audit, serta exit yang diwajibkan secara tertulis sebelum memindahkan beban kerja produksi.

  4. 4

    Persetujuan dan pelaporan

    Siapkan dasar persetujuan OJK untuk pemrosesan di luar negeri dan selaraskan pelaporan alih daya yang diwajibkan POJK 11/2022 dan SEOJK 29/2022 untuk pengaturan Anda.

  5. 5

    Manajemen postur berkelanjutan

    Miskonfigurasi adalah penyebab pelanggaran cloud paling umum. Pantau konfigurasi cloud terhadap benchmark secara terus-menerus alih-alih mengaudit setahun sekali, dan beri peringatan saat ada penyimpangan.

Di sini keamanan dan kepatuhan adalah proyek yang sama

Bagi bank teregulasi, cloud yang aman dan cloud yang patuh bukan dua alur kerja terpisah. Kontrol yang memuaskan OJK, seperti membuktikan siapa yang bisa mengakses data nasabah dan di mana data itu diproses, adalah kontrol yang sama yang mencegah pelanggaran. Memisahkan keduanya adalah cara bank berakhir dengan lingkungan yang lulus audit di atas kertas tetapi bocor dalam praktik.

References

  1. 1.Pemetaan kepatuhan OJK untuk cloud (Google Cloud)
  2. 2.Aturan alih daya cloud Indonesia (Baker McKenzie)
  3. 3.PP 71/2019 tentang sistem elektronik (ringkasan Google Cloud)

Alpha Code membantu bank di Indonesia merancang lingkungan cloud yang akan disetujui OJK dan tahan dalam praktik, mulai dari klasifikasi beban kerja dan asesmen celah tanggung jawab bersama hingga manajemen postur berkelanjutan di AWS, Azure, dan Google Cloud.

Ditinjau oleh Rizki Pratama, DevSecOps Engineer

Pertanyaan umum

Boleh. OJK tidak melarang penggunaan cloud oleh bank umum. OJK memperlakukan cloud sebagai bentuk alih daya TI dan menetapkan syarat: bank tetap bertanggung jawab atas data dan layanan, pengaturannya harus dikelola dengan manajemen risiko sesuai POJK 11/2022, dan data serta beban kerja tertentu memerlukan persetujuan OJK sebelum disimpan atau diproses di luar Indonesia.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.