Kepatuhan keamanan siber penyelenggara sistem pembayaran (PBI 2/2024)

Transaksi digital Indonesia melampaui ratusan juta per bulan, melewati lapisan-lapisan sistem pembayaran yang sebagian besar tidak terlihat oleh pengguna akhir. Di balik setiap tap pembayaran ada payment gateway yang mengotorisasi, dompet digital yang menyimpan dana, jaringan switching yang menghubungkan penerbit dan acquirer, serta penyedia infrastruktur kliring dan settlement yang menyelesaikan jutaan transfer setiap hari. Setiap lapisan itu membawa risiko tersendiri, dan itulah yang mendorong Bank Indonesia menerbitkan PBI 2/2024.

Berbeda dari OJK yang mengawasi lembaga jasa keuangan seperti bank dan fintech lending, Bank Indonesia mengawasi ekosistem sistem pembayaran. PBI 2/2024 adalah instrumen BI untuk memastikan penyelenggara yang beroperasi di bawah izinnya menerapkan keamanan informasi yang memadai, bukan sekadar sebagai praktik terbaik internal, melainkan sebagai kewajiban yang dapat diverifikasi.

Siapa yang wajib memenuhi PBI 2/2024

PBI 2/2024 berlaku bagi dua kategori besar penyelenggara yang beroperasi di bawah izin Bank Indonesia.

Pertama adalah penyelenggara jasa pembayaran (PJP), yang mencakup operator dompet digital, payment gateway, layanan transfer dana, platform pembayaran berbasis kartu, dan penyedia layanan pembayaran berbasis teknologi lainnya. Kedua adalah penyelenggara infrastruktur sistem pembayaran (PIP), termasuk operator jaringan switching, penyedia kliring, dan penyelenggara settlement antarbank.

Cakupan ini berbeda dari regulasi OJK. POJK 11/2022 dan SEOJK 29/2022 berlaku bagi bank umum yang berizin OJK, sementara PBI 2/2024 menyasar penyelenggara sistem pembayaran yang berizin BI. Perusahaan fintech yang memegang izin pembayaran dari BI sekaligus menjalankan layanan yang diawasi OJK, misalnya karena juga mengelola pinjaman atau investasi, dapat menghadapi kedua rezim regulasi secara bersamaan. Dalam kondisi seperti itu, tim kepatuhan perlu memetakan kewajiban masing-masing regulator secara terpisah, meski banyak kontrol teknis yang tumpang tindih sehingga investasi kepatuhan pada satu sisi sering kali juga membantu sisi yang lain.

Kewajiban keamanan yang diatur

PBI 2/2024 mengharuskan penyelenggara menerapkan manajemen risiko keamanan informasi secara menyeluruh. Ini bukan sekadar kebijakan tertulis, melainkan proses aktif: identifikasi aset dan risiko, penerapan kontrol yang sesuai, serta pemantauan efektivitasnya dari waktu ke waktu.

Di antara kewajiban yang paling langsung berdampak pada infrastruktur teknis, PBI 2/2024 secara eksplisit mewajibkan pemantauan sistem, analisis ancaman dan intelijen keamanan, analisis malware, serta pengujian sistem deteksi secara berkala. Penyelenggara juga wajib menjaga kelangsungan layanan sehingga sistem pembayaran tidak berhenti beroperasi saat terjadi gangguan, mengelola keamanan penyedia layanan pihak ketiga yang menjadi bagian dari rantai pasokan teknologinya, dan melaporkan insiden siber kepada Bank Indonesia sesuai prosedur yang berlaku.

Pemantauan sebagai kewajiban tersurat

Sebelum PBI 2/2024, banyak PJP dan PIP menjalankan pemantauan keamanan berdasarkan kebijakan internal atau kebutuhan bisnis semata, bukan karena ada mandat regulasi yang jelas. Peraturan ini mengubah konteks itu secara langsung.

Penyelenggara kini perlu dapat menunjukkan kepada Bank Indonesia bahwa mereka memiliki kapasitas untuk mendeteksi ancaman, menganalisis malware, dan menguji sistem deteksinya secara berkala. Bagi PJP yang belum memiliki tim keamanan internal yang memadai, kewajiban ini sering kali lebih efisien dipenuhi melalui layanan SOC atau MDR dari penyedia pihak ketiga yang sudah berpengalaman di lingkungan pembayaran digital.

Kewajiban pelaporan insiden menambahkan dimensi operasional yang tidak bisa diabaikan. Ketika insiden terjadi, penyelenggara tidak hanya harus menanganinya secara teknis, tetapi juga harus melaporkannya kepada Bank Indonesia sesuai prosedur yang ditetapkan. Kesiapan ini membutuhkan lebih dari kemampuan teknis semata. Dibutuhkan prosedur respons yang sudah terdokumentasi, jalur eskalasi yang jelas di dalam organisasi, dan kemampuan menyusun laporan yang memenuhi ekspektasi regulator.

Diagram berikut menggambarkan alur penanganan dan pelaporan insiden yang perlu disiapkan oleh PJP dan PIP di bawah PBI 2/2024.

Konteks regulasi: BI bukan OJK

Bagi perusahaan fintech yang sedang membangun program kepatuhan, perbedaan dua jalur regulasi ini penting agar tidak terjadi kesenjangan. Bank Indonesia memberikan izin kepada penyelenggara sistem pembayaran dan mengawasi operasionalnya di bawah kerangka PBI 2/2024. OJK mengawasi lembaga jasa keuangan termasuk bank, perusahaan fintech lending berbasis POJK 10/2022, dan pengelola investasi.

Sebuah perusahaan yang hanya memegang izin pembayaran dari BI cukup memastikan pemenuhan ketentuan BI. Perusahaan yang juga memegang izin dari OJK, seperti fintech yang menjalankan layanan pinjaman dan pembayaran sekaligus, perlu memetakan kewajiban kedua regulator tersebut. Kebingungan antara keduanya cukup umum terjadi karena terminologi seperti "keamanan informasi" dan "ketahanan siber" digunakan oleh BI maupun OJK dengan konteks yang sedikit berbeda.

Untuk memahami kewajiban serupa di sisi OJK bagi bank komersial, lihat artikel kami tentang persyaratan keamanan siber OJK untuk bank.

Jalur menuju kepatuhan PBI 2/2024

Pemenuhan PBI 2/2024 bukan proyek satu kali selesai. Pemantauan berkelanjutan, pengujian berkala, dan pelaporan insiden berjalan terus sepanjang operasional penyelenggara. Pendekatan yang paling efisien biasanya dimulai dari penilaian posisi saat ini, dilanjutkan dengan membangun kapasitas yang belum ada, dan diakhiri dengan mengintegrasikan kewajiban rutin ke dalam operasi sehari-hari.

1. 1

   Penilaian kesenjangan

   Petakan kewajiban PBI 2/2024 terhadap kontrol, kebijakan, dan prosedur yang sudah ada. Identifikasi celah di pemantauan, respons insiden, dan manajemen risiko pihak ketiga.

2. 2

   Penguatan kontrol teknis

   Terapkan atau tingkatkan kapasitas pemantauan, analisis ancaman, analisis malware, dan pengujian sistem deteksi sesuai kewajiban regulasi.

3. 3

   Prosedur dan kesiapan pelaporan

   Dokumentasikan prosedur respons insiden termasuk jalur pelaporan ke Bank Indonesia, dan latih tim yang terlibat agar siap saat insiden terjadi.

4. 4

   Operasi dan pemantauan berkelanjutan

   Jalankan pemantauan harian, pengujian sistem deteksi secara berkala, dan perbarui penilaian risiko pihak ketiga seiring perubahan vendor atau layanan.

Cara Alpha Code membantu

Kami memulai dengan penilaian kesenjangan yang memetakan postur keamanan informasi penyelenggara terhadap kewajiban spesifik PBI 2/2024. Hasilnya bukan sekadar daftar temuan, melainkan peta prioritas yang membedakan kewajiban yang sudah terpenuhi, yang sebagian terpenuhi, dan yang perlu perhatian segera.

Untuk kewajiban pemantauan dan analisis ancaman, layanan SOC kami menyediakan pemantauan berkelanjutan, analisis log dan perilaku anomali, serta deteksi malware yang dapat disesuaikan dengan lingkungan pembayaran digital. Kami juga membantu menyiapkan pengujian sistem deteksi secara berkala sebagaimana disyaratkan regulasi.

Ketika insiden terjadi, layanan respons insiden kami mencakup pendampingan teknis sekaligus dukungan dalam menyusun laporan kepada Bank Indonesia. Tim kami paham format dan konten yang umumnya diharapkan dalam pelaporan regulasi, sehingga penyelenggara tidak perlu belajar dari awal saat berada di bawah tekanan insiden.

Di sisi tata kelola, konsultasi kepatuhan GRC kami membantu menyesuaikan kebijakan dan prosedur keamanan informasi, menilai keamanan penyedia layanan pihak ketiga, dan mempersiapkan dokumentasi yang dibutuhkan untuk review oleh Bank Indonesia.

Langkah berikutnya

PBI 2/2024 sudah berlaku. Bagi PJP dan PIP yang belum menyelesaikan penilaian kesenjangan, memulai sekarang jauh lebih baik daripada menunggu sampai ada permasalahan yang mendorong pembenahan terburu-buru. Jika Anda ingin memahami di mana posisi penyelenggara Anda terhadap kewajiban PBI 2/2024, tim kami siap membantu menyusun langkah pertama yang konkret.