Kepatuhan cloud
Keamanan cloud dan kepatuhan OJK untuk bank di Indonesia
Ringkasnya
Syarat POJK 11/2022 sebelum bank pindah ke cloud: lokalisasi data, izin OJK untuk pemrosesan di luar negeri, pelaporan alih daya, dan tanggung jawab bersama.
POJK 11/2022 tentang penyelenggaraan teknologi informasi oleh bank umum, dengan surat edaran pelaksana SEOJK 29/2022, beserta PP 71/2019 tentang sistem elektronik.
OJK mengizinkan bank umum memakai cloud, tetapi memperlakukannya sebagai alih daya TI: bank memegang tanggung jawab penuh, mengelola pengaturannya sesuai persyaratan risiko POJK 11/2022, dan memperoleh persetujuan OJK sebelum menempatkan data serta beban kerja tertentu di luar Indonesia.
Bank di Indonesia berpindah ke cloud dengan alasan yang sama seperti yang lain, tetapi sebuah bank tidak bisa mengalihdayakan tanggung jawabnya bersama infrastrukturnya. OJK mengatur cloud sebagai bentuk alih daya TI di bawah POJK 11/2022, peraturan tentang penyelenggaraan teknologi informasi oleh bank umum, yang dirinci lewat SEOJK 29/2022. Penyedia cloud boleh menjalankan platformnya. Bank tetap menjawab kepada OJK atas apa yang terjadi di atasnya.
Apa yang berubah saat bank teregulasi pindah ke cloud
Pertanyaan keamanan cloud yang dihadapi bank tidak hanya teknis. Tiga ekspektasi regulasi membentuk setiap keputusan desain sebelum beban kerja pertama berpindah.
Tanggung jawab tetap pada bank
OJK memperlakukan cloud sebagai alih daya. Penyedia menjalankan infrastruktur, tetapi bank tetap bertanggung jawab kepada regulator dan nasabah atas perlindungan data, ketersediaan, dan penanganan insiden. Tanggung jawab tidak bisa dialihkan lewat kontrak.
Lokalisasi data sebagai default
POJK 11/2022 mewajibkan persetujuan OJK untuk menyimpan dan memproses data serta sistem tertentu di luar Indonesia. Asumsi awalnya di dalam negeri, jadi beban kerja harus diklasifikasikan sebelum apa pun pindah ke region asing.
Alih daya harus dikelola
Pengaturan cloud tunduk pada aturan manajemen risiko TI dan alih daya: uji tuntas penyedia, pengaman kontraktual, pelaporan ke OJK, serta kemampuan keluar atau pulih jika penyedia gagal.
Kewajiban yang harus dipetakan sebelum migrasi
Rencana migrasi cloud bagi sebuah bank sekaligus adalah rencana kepatuhan. Inilah kewajiban yang menentukan apakah sebuah arsitektur layak disetujui.
| Kewajiban menurut aturan OJK | Status |
|---|---|
| Mempertahankan tanggung jawab bank atas TI yang dialihdayakan, termasuk cloud | Wajib |
| Menerapkan manajemen risiko TI pada pengaturan cloud sesuai POJK 11/2022 | Wajib |
| Memperoleh persetujuan OJK untuk memproses atau menyimpan data dan sistem tertentu di luar negeri | Bersyarat |
| Melakukan uji tuntas penyedia dan mencantumkan klausul perlindungan dalam kontrak | Wajib |
| Melaporkan pengaturan dan rencana alih daya TI kepada OJK | Wajib |
| Memelihara exit, pemulihan, dan kelangsungan bisnis jika penyedia gagal | Wajib |
Di mana data boleh berada
PP 71/2019 mengizinkan penyelenggara sistem elektronik lingkup privat menempatkan data di luar negeri dengan syarat, tetapi lembaga keuangan berada di bawah rezim sektoral yang lebih ketat: bank tetap mengikuti aturan OJK dan Bank Indonesia bahkan ketika peraturan umum lebih longgar. Pada praktiknya Anda memutuskan penempatan per beban kerja, bukan untuk bank secara keseluruhan.
Jalur praktis menuju cloud yang layak disetujui
Urutan pekerjaan penting. Celah kepatuhan yang ditemukan setelah migrasi mahal harganya, jadi asesmen datang lebih dulu.
- 1
Inventaris beban kerja dan data
Daftar setiap sistem dan data yang akan ke cloud, klasifikasikan menurut sensitivitas, dan tandai kategori OJK yang berlaku. Keputusan penempatan bergantung pada peta ini, begitu pula percakapan persetujuan dengan OJK.
- 2
Asesmen celah tanggung jawab bersama
Dokumentasikan secara tepat apa yang diamankan penyedia cloud dan apa yang harus diamankan bank di atasnya: identitas, konfigurasi, enkripsi, pencatatan, dan kontrol jaringan. Celah di sisi bank itulah tempat pelanggaran terjadi.
- 3
Uji tuntas dan kontrak penyedia
Nilai penyedia terhadap ekspektasi alih daya OJK dan tuangkan klausul perlindungan, audit, serta exit yang diwajibkan secara tertulis sebelum memindahkan beban kerja produksi.
- 4
Persetujuan dan pelaporan
Siapkan dasar persetujuan OJK untuk pemrosesan di luar negeri dan selaraskan pelaporan alih daya yang diwajibkan POJK 11/2022 dan SEOJK 29/2022 untuk pengaturan Anda.
- 5
Manajemen postur berkelanjutan
Miskonfigurasi adalah penyebab pelanggaran cloud paling umum. Pantau konfigurasi cloud terhadap benchmark secara terus-menerus alih-alih mengaudit setahun sekali, dan beri peringatan saat ada penyimpangan.
Di sini keamanan dan kepatuhan adalah proyek yang sama
Bagi bank teregulasi, cloud yang aman dan cloud yang patuh bukan dua alur kerja terpisah. Kontrol yang memuaskan OJK, seperti membuktikan siapa yang bisa mengakses data nasabah dan di mana data itu diproses, adalah kontrol yang sama yang mencegah pelanggaran. Memisahkan keduanya adalah cara bank berakhir dengan lingkungan yang lulus audit di atas kertas tetapi bocor dalam praktik.
References
Alpha Code membantu bank di Indonesia merancang lingkungan cloud yang akan disetujui OJK dan tahan dalam praktik, mulai dari klasifikasi beban kerja dan asesmen celah tanggung jawab bersama hingga manajemen postur berkelanjutan di AWS, Azure, dan Google Cloud.
Ditinjau oleh Rizki Pratama, DevSecOps Engineer
Pertanyaan umum
Boleh. OJK tidak melarang penggunaan cloud oleh bank umum. OJK memperlakukan cloud sebagai bentuk alih daya TI dan menetapkan syarat: bank tetap bertanggung jawab atas data dan layanan, pengaturannya harus dikelola dengan manajemen risiko sesuai POJK 11/2022, dan data serta beban kerja tertentu memerlukan persetujuan OJK sebelum disimpan atau diproses di luar Indonesia.
Terkait
Solusi
Dari blog
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.