LAMPIRAN LAPORAN KONDISI TERKINI POJK SPTI

B. Pengembangan dan pengadaan sistem elektronik

B.2. Daftar sistem elektronik yang sudah diimplementasikan (dikembangkan oleh penyedia jasa TI)

- Infra struktur Data Center dan DRC

- Jaringan komunikasi dari masing-masing kantor ke Data Center
- Core Banking System “Sarana Transaksi Keuangan” (disingkat SATU) yang running di mesin mini IBM AS/400
- Backup data ke media eksternal (Tape) yang disimpan oleh telkomsigma dan dikirim ke customer secara harian
- Delivery Channel meliputi : EDC ( untuk skema yang berlangganan ) , Billing Payment, ATM (bagi yang sudah memiliki ijin
Issuer)
B.3. Arsitektur Bsnis / Satu Ekosistem
B.4. Daftar sistem elektronik dalam proses pengembangan dan pengadaan (dikembangkan oleh penyedia jasa TI)

- Pengembangan skala menengah ke besar (kompleks) dan regulasi, melalui Road Map sesuai jadwal yang disusun (tahunan)
adapun roadmap 2017 yang sudah reales adalah sebagai berikut :

- Pengembangan skala kecil/sederhana dan Error, melalui mekanisme yang diatur SOP Sigma, yang dimaksud dengan
Proses pengembangan meliputi kegiatan : Kajian bisnis dan teknis, penentuan cakupan/scope, development, Quality
Assurance, SIT, implementasi. Masing-masing kegiatan dilengkapi dengan dokumentasi.

C. Aktivitas Operasional TI

Informasi pusat data BPR (alamat) :

- Pusat data (Data center) Sigma di Surabaya – Jawa Timur
- DRC Sigma Serpong - Banten

C.1. b. Spesifikasi peladen ( Server Production & DRC) dan perangkat keras lainnya:

- Mesin IBM AS/400 i-Series Power 5 & 6

- Data Center Production TIER III 2N
- Data Center DRC TIER III 2N
- Core Banking Syatem “SATU” dan Delivery Channel
 c. Kelengkapan pengamanan fisik pada pusat data :
- Three way access
- CCTV 24 jam
- Security 24 Jam
- Aplikasi VAM ( Visitor Access Management )
- Gedung Standart Tier III

C.2. Terdapat peladen yang ditempatkan diluar pusat data : Tidak ada

C.3. Aplikasi khusus untuk pengamanan informasi : Standart O/S IBM AS/400

C.4. Prosedur pengamanan masalah (problem handling termasuk helpdesk) :

- BPR/BPRS menyampaikan masalah/konsultasi kepada Customer Contact Center (C3) Sigma melalui email
- C3 Log Ticket-Incident dan meneruskan ke Support BPR
- C3 me-replay email customer untuk update status permasalahan
- Team support melakukan problem solving,
- C3 verifikasi ke customer untuk memastikan problem solved

C.8. Ketersediaan jejak audit pada sistem dan data : Audit Log tersedia pada level aplikasi & Sistem

C.9. Kebijakan dan prosedur rekam cadang data :

- Backup data dilakukan setiap hari ke media eksternal (Tape) yang disimpan oleh Sigma
- Data master dan Transaksi dikirim juga kepada client (BPR/BPRS) melalui FTP setiap hari

D. Jaringan Komunikasi

D.1. Struktur / topologi jaringan komunikasi data (utama dan rekam cadang) :
D.2. Kebijakan dan prosedur pengamanan jaringan komunikasi :

- Menggunakan jaringan komunikasi yang aman dan dedicated (VPN-IP dan VSAT)
- Pemantauan koneksi jaringan antara data center ke BPR dilakukan selama 24 x 7 oleh team monitoring Sigma

D.3. Daftar perangkat keras dan lunak yang digunakan untuk jaingan komunikasi :

- Switch
- Router
- Firewall
- Whatsup-gold ( software monitoring )
D.5. Kebijakan dan prosedur untuk mengatur pengamanan jaringan komunikasi data (misal Firewall) :

- Firewall operational di lakukan oleh team network Sigma

- Maintenance firewall dilakukan setiap 3 bulan
- Monitoring firewall dilakukan oleh team sevice desk Sigma

E. Pengamanan informasi (Kebijakan dan prosedur pengamanan informasi, mencakup) :

E.1. Kebijakan dan prosedur pengamanan informasi, mencakup :

E.1.1 Pemberian, perubahan, dan akses pengguna ( dijawab oleh BPR )

a. Security awareness program :

User yang memiliki program-program Security Aplikasi diberikan kepada manajemen Bank
karena memiliki fungsi dan kewenangan yang tinggi yakni : Create User untuk Operasional, pemberian menu program untuk
User-user Operasional sesuai dengan tugas dan kewenangannya, seting Limitasi User, seting agar dapat akses pada display
mana saja, dll

b. Tim penanganan insiden dalam pengamanan informasi : Yang terkait dengan Operasional Bank ditangani oleh pihak Bank,
sedangkan
yang terkait dengan sistem dan aplikasi ditangani oleh penyedia jasa IT (program error).

c. Klasifikasi data : Tabel-parameter, master, temporary data untuk Otorisasi, transaksi harian, history transaksi dan laporan ke
BI/OJK

d. Penggunaan emergency user ID : User emergency (system) di kelola oleh penyedia jasa IT dimana penggunaannya mengikuti
SOP ( SOP tidak bisa di submit, bisa diperlihatkan jika team OJK minta )
yang telah ditentukan. Penggunaan user Emergency antara lain untuk Seting environment pada saat persiapan awal
Implementasi,
maintenance mesin, Instalasi program baru atau program error dan kondisi yang dalam kategori tidak normal (emergency)

E.3. Pengamanan Akses

a. Penerapan pengamanan password pada aplikasi, misalnya aplikasi memaksa pengguna untuk merubah password secara berkala
 Parameter untuk mengatur perubahan password ( sysval ) diseting melalui Operating System yang dapat disesuaikan dengan
regulasi dimana satuan hitungannya dalam hari (saat ini parameter diseting agar password berlaku untuk 30 hari kalender)
b. Pengelompokan hak akses yang diberikan kepada masing-masing pengguna untuk setiap aplikasi yang dimiliki : Disesuaikan
dengan tugas dan kewenangan penggunanya yakni Security aplikasi, Supervisor dan Operator (user Input)
c. Terdapat fungsi audit (audit log / jejak audit) untuk setiap aktivitas yang dilakukan oleh pengguna dan dilakukan analisa
terhadap jejak audit tersebut : Setiap data yang di Input/maintenance oleh User akan dicatat pada file aplikasi dan setelah
dilakukan Otorisasi baru akan di update ke file master dan/atau transaksi

E.5. Ketentuan tentang pengamanan dalam identifikasi dan otentikasi akses misalnya penggunaan password, token, biometric, dll
Untuk dapat masuk ke aplikasi harus memiliki User dan Password, sehingga apabila salah satu dari 2 syarat tersebut tidak
dipenuhi maka tidak akan dapat masuk ke aplikasi. Menu program yang dapat diakses diberikan oleh managemen sesuai
dengan tugas dan kewenangannya

F. Rencana pemulihan bencana

F.1. BPR memiliki rencana pemulihan bencana : Ya, dalam realisasinya BPR mengajukan permintaan Test DRC ke Sigma

F.2. a. Pusat pemulihan bencana (alamat) : Gedung Telkomsigma – BSD – Banten

b. Spesifikasi rekam cadang peladen dan perangkat keras lainnya : Sesuai dengan point C1
c. Kelengkapan pengamanan fisik pada pusat pemulihan bencana : Sesuai dengan point C1
d. Konfigurasi pusat pemulihan bencana (topologi jaringan, perangkat keras, perangkat lunak, dan pendukung lainnya) : Sesuai
dengan point D
e. Rekam cadang data (hot, warm, cold backup) untuk masing-masing aplikasi yang tersedia di pusat pemulihan bencana : Hot
mirror menggunakan Mimix

F.3. Uji coba rencana pemulihan bencana

a. Kebijakan dan prosedur uji coba : BPR menyampaikan pemberitahuan tertulis kepada Sigma untuk melakukan uji coba DR
b. Pengujian menyeluruh untuk seluruh sitem / aplikasi kritikal dilakukan terakhir kali (tgl) : di isi oleh BPR sesuai dengan realisasi
pelaksanaan uji coba DRC yang terakhir
c. Pengujian parsial sistem / aplikasi selama 1 tahun terakhir (tgl) : di isi oleh BPR sesuai dengan realisasi pelaksanaan uji coba
DRC yang terakhir

H. Kerjasama dengan penyedia jasa teknologi informasi

H.3. Daftar jasa teknologi informasi yang diselenggarakan oleh penyedia jasa TI :

- Infrastruktur berikut mesin Produksi dan DRC

- Cadangan catu daya Genset dan UPS
- Jaringan komunikasi VPN IP dan VSAT
- Aplikasi Core Banking
- Aplikasi Delivery Channel ATM ( bagi yang memiliki ijin issuer ) , EDC, SMS Banking

H.4. Jaringan komunikasi data yang digunakan oleh penyedia jasa TI : VPN-IP dan VSAT
H.6. Hasil evaluasi terkini mengenai analisis biaya dan manfaat penyelenggaraan TI oleh penyedia jasa TI : di isi oleh masing-masing BPR