Kebijakan, Standar, dan Prosedur Penggunaan Teknologi Informasi Khususnya Dalam Bidang

Akuntansi dan Keuangan

(Mitigasi risiko yang berhubungan dengan penyelenggaraan Teknologi Informasi)
Oleh :
ERVIAN RIDHO MAWLIDY 042023143004
KAHFI PRASETYO 042023143006
YACOBUS SOEGIARTO 042023143007
RIKA MEIDIANA RAHAYU 042023143008

BAB V
PENGAMANAN INFORMASI

Informasi adalah aset yang sangat penting bagi Bank, Kebocoran, kerusakan,
ketidakakuratan, ketidaktersediaan, atau gangguan lain terhadap informasi tersebut dapat
menimbulkan dampak yang merugikan bagi Bank dan nasabah.
Mengingat pentingnya informasi maka informasi harus dilindungi atau diamankan oleh seluruh
personel Bank. Pengamanan informasi tidak hanya mencakup pengamanan terhadap semua
aspek.
Kebijakan, Standar, dan Prosedur terkait Pengamanan Informasi Sesuai Pasal 16 POJK
MRTI, Bank wajib memastikan pengamanan informasi dilaksanakan secara efektif,
komprehensif dan berkesinambungan dengan menetapkan kebijakan, standar, dan prosedur
pengamanan informasi. Selain itu Bank juga harus mempertimbangkan implementasi standar
nasional seperti International Organization for Standardization (ISO), International
Electrotechnical Commission (IEC), Control Objective for Information and Related Technology
(COBIT), Information Technology Infrastructure Library (ITIL) dan standar nasional seperti
Standar Nasional Indonesia (SNI)

Kebijakan Pengamanan Informasi

Manajemen Bank harus menetapkan kebijakan yang sesuai dengan penerimaan risiko
(risk appetite) dan memiliki komitmen yang tinggi terhadap pengamanan informasi. Kebijakan
tersebut harus dikomunikasikan secara berkala kepada seluruh pegawai Bank dan pihak
ekstern yang terkait serta perlu di evaluasi secara berkala.

Standar Pengamanan Informasi

Manajemen Bank harus menetapkan standar pengamanan informasi sesuai dengan
kebijakan pengamanan informasi dengan antara lain mengacu pada ketentuan peraturan
perundang- undangan dan best practice. Standar tentang pengamanan informasi merupakan:
● Dasar untuk melaksanakan dan menilai kepatuhan pelaksanaan ketentuan terkait
pengamanan informasi; dan
● Acuan untuk menyusun prosedur pengamanan informasi.
Contoh standar pengamanan informasi antara lain:
1) Standar password;
2) Standar enkripsi;
3) Standar pengamanan server;
4) Standar pengamanan perangkat jaringan;
5) Standar pengamanan end-point atau komputer;
6) Standar logging; dan
7) Standar pengamanan aplikasi.

Prosedur Pengamanan Informasi

Dalam mengamankan informasi, Bank memiliki beberapa prosedur yang harus dilakukan, yaiu:
1) Prosedur Pengelolaan Aset
2) Prosedur Pengelolaan Sumber Daya Manusia
3) Prosedur Pengamanan Fisik dan Lingkungan
4) Prosedur Pengendalian Akses
5) Prosedur Pengamanan Operasional TI
6) Prosedur Pemantauan Pengamanan Informasi
7) Prosedur Penanganan Insiden dalam Pengamanan Informasi
Dimana disetiap prosedur diatas harus meliputi beberapa aspek dan standar operasional
yang telah ditentukan.

Proses Manajemen Risiko terkait Pengamanan Informasi

Proses manajemen risiko terkait pengamanan informasi dilakukan dengan memperhatikan
Pengukuran Risiko Pengamanan Informasi serta Pengendalian dan Mitigasi Risiko. Dalam
pengukuran risiko pengamanan informasi Bank melakukan pengukuran kecenderungan atau
probabilitas terjadinya risiko terkait pengamanan informasi (ancaman mengeksploitasi
kelemahan) atas setiap aset dan besarnya dampak kerugian akibat hilangnya kerahasiaan
(confidentiality), integritas (integrity), dan ketersediaan (availability) dari aset yang mungkin
terjadi untuk dapat mengetahui besarnya risiko potensial yang harus dihadapi. Hal ini
dilakukan agar Bank dapat melakukan penanganan yang tepat terhadap risiko karena dapat
berpengaruh pada kesuksesan bisnis bank.
Kemudian Bank melakukan pengendalian dan mitigasi risiko berdasarkan dari hasil
pengukuran risiko. Bank menetapkan bentuk penanganan dan pengendalian risiko yang
diterapkan untuk meminimalisasi risiko yang dihadapi. Pengendalian intern juga dilakukan untuk
memastikan bahwa pengendalian pengamanan informasi telah diterapkan, memadai, dan
berjalan secara efektif sesuai dengan kebijakan, standar, dan prosedur pengamanan informasi
yang berlaku. Evaluasi dan penyempurnaan terhadap kebijakan, standar, prosedur, dan sistem
pengamanan informasi harus selalu dilakukan secara terencana, antara lain dengan
melaksanakan pemantauan terhadap:
1. Perkembangan teknik atau metode baru yang mengancam sistem pengamanan
informasi Bank;
2. Laporan kinerja pengamanan informasi dalam rangka mengidentifikasi tren
ancaman atau kelemahan pengendalian pengamanan;
3. Tindak lanjut penanganan serangan atau insiden pengamanan informasi terhadap Bank; dan
4. Defektivitas penerapan kebijakan, standar, prosedur, dan pengendalian pengamanan
informasi.
RENCANA PEMULIHAN BENCANA
1. Pendahuluan
Kegiatan perbankan tidak dapat terhindar dari adanya gangguan atau kerusakan yang
disebabkan oleh alam dan/atau manusia misalnya terjadinya gempa bumi, bom, kebakaran,
banjir, power failure, kesalahan teknis, kelalaian manusia, demo buruh, huruhara, dan
sebagainya.Bank harus memiliki Rencana Pemulihan Bencana yaitu proses manajemen terpadu
dan menyeluruh untuk menjamin kegiatan operasional Bank tetap dapat berfungsi walaupun
terdapat gangguan atau bencana guna melindungi kepentingan para pemangku kepentingan.
Rencana Pemulihan Bencana menekankan pada aspek teknologi dengan fokus pada pemulihan
data (data recovery atau restoration plan) dan berfungsinya sistem aplikasi dan infrastruktur TI
yang kritikal

2. Kebijakan, Standar, dan Prosedur terkait Rencana Pemulihan Bencana

2.1 Kebijakan terkait Rencana Pemulihan Bencana

● Kebijakan terkait Rencana Pemulihan Bencana

○ Penyusunan tim kerja Rencana Pemulihan Bencana
○ Prinsip-Prinsip Penyusunan Rencana Pemulihan Bencana Dalam penyusunan
kebijakan, strategi, dan prosedur yang akan diterapkan untuk menangani kondisi
bencana
○ Analisis Dampak Bisnis (Business Impact Analysis)
○ Risk Assessment
○ Penyusunan Rencana Pemulihan Bencana

Rencana Pemulihan Bencana terdiri dari kebijakan, strategi, dan prosedur yang
diperlukan untuk dapat memastikan kelangsungan proses bisnis pada saat terjadinya gangguan
atau bencana.

Rencana Pemulihan Bencana harus memuat beberapa alternatif strategi yang dapat
diambil Bank untuk mengatasi masing-masing jenis dan ukuran gangguan atau bencana.

2.2 Prosedur terkait Rencana Pemulihan Bencana

● Jenis Prosedur Rencana Pemulihan Bencana Adapun jenis prosedur dalam Rencana
Pemulihan Bencana antara lain mencakup:
a. Prosedur tanggap darurat
b. Prosedur pemulihan sistem
c. Prosedur sinkronisasi data
● Komponen Prosedur Rencana Pemulihan Bencana Setiap prosedur Rencana
Pemulihan Bencana paling sedikit mencakup komponen sebagai berikut:
a. Personel
b. Teknologi
● Pusat Pemulihan Bencana Bank harus memastikan ketersediaan Pusat Pemulihan
Bencana sebagai rekam cadang (backup) Pusat Data yang dapat dioperasikan apabila
Pusat Data tidak dapat beroperasi akibat gangguan dan/atau bencana. Sesuai dengan
 alternatif strategi yang dipilih Bank, Pusat Pemulihan Bencana dapat dikelola sendiri
maupun oleh pihak penyedia jasa TI.
● Rekam Cadang (Backup) Dokumentasi, Sistem, dan Data Bank harus meyakini
ketersediaan rekam cadang (backup) yang efektif dari informasi bisnis yang penting,
perangkat lunak, dan dokumentasi terkait sistem dan pengguna untuk setiap proses
fungsi bisnis yang penting (critical).
● Fasilitas Komunikasi Bank harus memastikan bahwa alternatif jalur komunikasi yang
terdapat di wilayah operasional Bank dapat digunakan pada saat gangguan dan/atau
bencana, baik di lingkungan intern maupun dengan pihak ekstern Bank.
3 Pengujian Rencana Pemulihan Bencana
Pengujian Rencana Pemulihan Bencana diperlukan untuk meyakini bahwa Rencana
Pemulihan Bencana dapat diimplementasikan dengan baik pada saat terjadi gangguan
dan/atau bencana. Uji coba dilakukan atas Rencana Pemulihan Bencana paling sedikit 1 (satu)
kali dalam 1 (satu) tahun untuk seluruh sistem atau aplikasi kritikal sesuai hasil analisis dampak
bisnis (business impact analysis) dan mewakili seluruh infrastruktur yang kritikal serta
melibatkan pengguna TI. Jika Bank menggunakan pihak penyedia jasa TI dalam kegiatan
operasionalnya maka pengujian yang dilakukan juga perlu melibatkan pihak ekstern tersebut.
3.1. Ruang Lingkup Pengujian Rencana Pemulihan Bencana
Manajemen harus secara jelas menentukan fungsi, sistem, dan proses yang akan diuji.
Hal-hal yang perlu diuji antara lain meliputi efektivitas dari:
a. prosedur penetapan kondisi gangguan dan/atau bencana;
b. prosedur pemulihan atas data penting (critical); dan
c. pengembalian kegiatan operasional Bank dan Pusat Data ke lokasi unit bisnis dan Pusat
Data semula.
3.2. Skenario Pengujian (Test Plan) Rencana Pemulihan Bencana
Bank harus memiliki skenario pengujian untuk setiap uji coba yang akan dilakukan dan
skenario tersebut harus dikaji kecukupannya. Pelaksanaan skenario tersebut tidak boleh
mengganggu kegiatan operasional Bank. Hasil uji coba diharapkan dapat mendeteksi adanya
kelemahan dari prosedur yang ada dalam rangka perbaikan Rencana Pemulihan Bencana.
Dalam hal ini, Bank perlu memvalidasi asumsi yang digunakan dalam skenario
pengujian, antara lain mengenai:
a. Kritikalitas fungsi proses bisnis atau sistem yang diuji;
b. Volume transaksi; dan
c. Strategi Rencana Pemulihan Bencana yang dipilih Bank.
3.3. Analisis dan Laporan Hasil Pengujian Rencana Pemulihan Bencana
Hasil pengujian dan analisis dari setiap permasalahan yang ditemukan pada saat
pengujian harus dilaporkan kepada Direksi. Hal yang dilaporkan antara lain meliputi:
a. penilaian ketercapaian tujuan pengujian;
b. penilaian atas validitas pengujian pemrosesan data;
c. tindakan korektif untuk mengatasi permasalahan yang terjadi;
d. deskripsi mengenai kesenjangan antara Rencana Pemulihan Bencana dan hasil
pengujian serta usulan perubahannya;
e. rekomendasi untuk pengujian selanjutnya.
Dalam hal hasil uji coba mengalami kegagalan maka Bank harus mengkaji penyebab kegagalan
atau permasalahan yang terjadi dan melakukan pengujian ulang.
4 Pemeliharaan Rencana Pemulihan Bencana
Bank harus memastikan bahwa Rencana Pemulihan Bencana dapat digunakan setiap
saat dengan menyimpan salinan dokumen Rencana Pemulihan Bencana di lokasi alternatif
(alternate site). Bank juga harus melakukan pembaruan Rencana Pemulihan Bencana untuk
meyakinkan kesesuaiannya dengan kondisi ekstern maupun intern dengan memperhatikan
beberapa aspek perubahan. Disetiap perubahan tersebut kemudian dianalisis pengaruhnya
terhadap rencana pemulihan bencana yang ada dan kemudian melakukan penyesuaian yang
diperlukan untuk menentukan rencana pemulihan bencana terbaru.

Auditor Intern harus melakukan pemeriksaan terhadap:

1. Kesesuaian Rencana Pemulihan Bencana dengan kebijakan manajemen risiko Bank;

2. Rencana Pemulihan Bencana mencakup kegiatan kritikal berdasarkan analisis
dampak bisnis (business impact analysis) yang telah dilakukan oleh Bank;
3. Kecukupan Rencana Pemulihan Bencana untuk mengendalikan dan memitigasi risiko
yang telah ditetapkan dalam risk assessment;
4. Kecukupan prosedur pengujian Rencana Pemulihan Bencana;
5. Efektifitas pelaksanaan pengujian Rencana Pemulihan Bencana;
6. Keterkinian Rencana Pemulihan Bencana sesuai perkembangan kegiatan operasional
Bank dan hasil pengujian terakhir.

Auditor intern harus mengomunikasikan hasil pemeriksaan dan memberikan rekomendasi

kepada Direksi. Direksi hendaknya melakukan kaji ulang atas laporan hasil audit tersebut dan
merencanakan penyempurnaan atau perbaikan

LAYANAN PERBANKAN ELEKTRONIK

A. Persyaratan, Tata Cara, dan Prosedur Penyelenggaraan/Pembukaan Digital
Branch
Persyaratan
a. Bank mencantumkan rencana penyelenggaraan/pembukaan digital branch
dalam Rencana Bisnis Bank (RBB).
b. Berdasarkan hasil penilaian posisi terakhir oleh pengawas, Bank memiliki modal
inti paling sedikit memenuhi kriteria sebagai Bank Umum Berdasarkan Kegiatan
Usaha (BUKU) 2.
c. Electronic banking yang akan diterapkan oleh Bank pada digital branch telah
mendapatkan persetujuan dari Otoritas Jasa Keuangan (OJK).
d. Bank memiliki modal inti sesuai dengan persyaratan pemenuhan kewajiban
Alokasi Modal Inti (AMI) untuk penyelenggaraan/pembukaan jenis digital branch
sesuai dengan ketentuan mengenai Kegiatan Usaha dan Jaringan Kantor
Berdasarkan Modal Inti Bank.
e. Selain syarat tersebut di atas, Bank harus memenuhi persyaratan pembukaan
jaringan kantor sebagaimana diatur dalam ketentuan kelembagaan mengenai
 Bank Umum atau Bank Umum Syariah, dan ketentuan mengenai Kegiatan
Usaha dan Pembukaan Jaringan Kantor Berdasarkan Modal Inti Bank.
Jenis Digital Bank
a. Kantor Cabang Pembantu Digital yaitu digital branch yang setara Kantor Cabang
Pembantu dan secara fisik berdiri secara tersendiri, dengan cakupan layanan
yang bersifat digital setara dengan layanan Kantor Cabang Pembantu sesuai
ketentuan yang berlaku.
b. Kantor Kas Digital yaitu digital branch yang setara dengan Kantor Kas dan
secara fisik berdiri secara tersendiri, dengan cakupan layanan yang bersifat
digital setara dengan layanan Kantor Kas sesuai ketentuan yang berlaku,
termasuk dapat melakukan pengumpulan (collecting) data/informasi permohonan
kredit.
c. Gerai Digital yaitu digital branch yang secara fisik menyatu dengan kantor Bank
(Kantor Pusat/ Kantor Cabang/ Kantor Cabang Pembantu/ Kantor Kas/ Kantor
Fungsional), dengan cakupan layanan yang bersifat digital setara dengan
layanan kantor tempat lokasi keberadaan digital branch. Dalam hal Gerai Digital
menyatu dengan Kantor Pusat atau Kantor Cabang, cakupan layanan bersifat
digital setara dengan layanan Kantor Cabang Pembantu.
d. Khusus bagi kantor cabang dari Bank yang berkedudukan di luar negeri, jenis
digital branch yang diperbolehkan hanya setara kantor kas atau gerai dari Bank
yang bersangkutan.
Tata Cara dan Prosedur
a. Pengajuan penyelenggaraan/pembukaan digital branch mengacu pada tata cara
pembukaan kantor sesuai dengan jenis jaringan kantor sebagaimana diatur
dalam ketentuan kelembagaan mengenai Bank Umum atau Bank Umum Syariah
dan aturan pelaksanaannya.
b. Bank menyampaikan permohonan penyelenggaraan/pembukaan digital branch
kepada OJK (cq. Satuan Kerja Pengawasan Bank terkait) paling lambat 1 (satu)
bulan sebelum rencana pelaksanaan penyelenggaraan/ pembukaan digital
branch.
c. Pengajuan permohonan penyelenggaraan/pembukaan digital branch dilampiri
dengan data atau informasi sesuai dengan tata cara pembukaan kantor
sebagaimana dimaksud pada angka 1, dan disertai dengan tambahan data atau
informasi pendukung berupa:
i. struktur organisasi yang mendukung termasuk pengawasan dari pihak
manajemen;
ii. kebijakan, sistem, prosedur, dan kewenangan dalam penyelenggaraan
digital branch;
iii. cost and benefit analysis;
iv. informasi mengenai jenis dan jumlah perangkat keras (seperti layar
monitor, mesin pembaca KTP-el, perangkat keras yang berfungsi sebagai
alat untuk meng-capture image fisik KTP-el, perangkat keras yang
berfungsi sebagai sarana bagi nasabah untuk melakukan registrasi dan
meng-input data tambahan calon nasabah, perangkat Video Banking,
 CDM, ATM, perangkat keras yang berfungsi sebagai alat untuk mencetak
kartu, serta perangkat komputer untuk mengakses internet banking dan
pengisian digital form pengajuan aplikasi kredit);
v. layout ruangan;
vi. bagan alur proses (flowchart) bisnis (antara lain registrasi dan
pembukaan rekening nasabah digital branch serta prakiraan waktu
penyelesaiannya);
vii. hasil analisis (digital readiness assessment) terhadap kesiapan
infrastruktur TI untuk mendukung digital branch;
viii. perjanjian/draft perjanjian kerjasama Bank dengan Direktorat Jenderal
Kependudukan dan Pencatatan Sipil (Dukcapil);
ix. hasil analisis dan identifikasi risiko terhadap risiko yang melekat pada
digital branch;
x. hasil analisis kesiapan penerapan manajemen risiko khususnya
pengendalian pengamanan (security control) untuk memastikan
terpenuhinya prinsip kerahasiaan (confidentiality), integritas (integrity),
keaslian (authentication), tidak dapat dipungkiri (non repudiation),
ketersediaan (availability), pengendalian otorisasi dalam sistem dan
aplikasi (authorization of control), pemisahan tugas dan tanggung jawab
(segregation of duties), serta pemeliharaan jejak audit (maintenance of
audit trails);
xi. perjanjian/draft perjanjian kerjasama dengan pihak ketiga dalam hal
layanan digital branch merupakan hasil kerjasama Bank dengan pihak
ketiga, yang mencakup paling sedikit:
1. hak, kewajiban, dan tanggung jawab masing-masing pihak;
2. perlindungan kerahasiaan data;
3. kewajiban dan tanggung jawab masing-masing pihak terhadap
perlindungan nasabah.
xii. hasil assessment terhadap kelayakan dan kinerja pihak ketiga dalam hal
layanan digital branch merupakan hasil kerjasama Bank dengan pihak
ketiga;
xiii. hasil analisis aspek hukum;
xiv. laporan hasil audit pihak independen terhadap kesiapan operasional
digital branch;
xv. program perlindungan dan edukasi nasabah digital branch;
xvi. kantor yang menjadi kantor cabang induk dari digital branch.
d. Dalam rangka menilai kelengkapan dan pemenuhan persyaratan serta kesiapan
operasional, OJK dapat melakukan pemeriksaan (on-site visit) ke lokasi digital
branch.
e. Bank mencantumkan jenis pada lokasi digital branch (contoh “Gerai Digital Bank
XYZ”, atau “Kantor Kas Digital Bank XYZ”, atau “Kantor Cabang Pembantu
Digital Bank XYZ”). Bagi jenis digital branch ”Gerai Digital”, Bank mencantumkan
kesetaraan layanannya sesuai dengan layanan kantor lokasi keberadaan Gerai
Digital (contoh Kantor Kas atau Kantor Cabang Pembantu)
 f. Bagi Bank yang telah mendapat persetujuan penyelenggaraan/pembukaan jenis
digital branch berupa Gerai Digital dapat menyelenggarakan/ membuka Gerai
Digital berikutnya tanpa persetujuan terlebih dulu dari OJK, sepanjang:
i. tidak terdapat perubahan substansi data atau informasi sebagaimana
dimaksud pada huruf c;
ii. tercantum dalam RBB.
g. Bagi kantor cabang dari bank yang berkedudukan di luar negeri tetap harus
mendapatkan persetujuan terlebih dahulu dari OJK sebagaimana diatur dalam
SK Direksi Bank Indonesia No.32/37/KEP/DIR tanggal 12 Mei 1999 tentang
Persyaratan, dan Tata Cara Pembukaan Kantor Cabang, Kantor Cabang
Pembantu, dan Kantor Perwakilan dari Bank yang Berkedudukan di Luar Negeri.

B. Penerapan Manajemen Risiko Teknologi Informasi

1. Dalam rangka penerapan manajemen risiko teknologi informasi untuk
penyelenggaraan/pembukaan digital branch, Bank harus memenuhi hal-hal
sebagai berikut:
a. Pengamanan logic, Bank :
i. menerapkan prinsip two factor authentication pada saat
pendaftaran/registrasi calon nasabah maupun pada saat
transaksi.
ii. menggunakan KTP-el sebagai basis data dan verifikasi calon
nasabah.
iii. menggunakan mesin pembaca KTP-el yang telah disertifikasi oleh
badan yang berwenang sesuai dengan ketentuan yang berlaku.
iv. menyimpan gambar/image KTP-el calon nasabah.
v. menyimpan informasi calon nasabah untuk penerapan program
APUPPT.
vi. melakukan validasi beberapa data calon nasabah terhadap data
kependudukan yang ada di Dukcapil.
vii. menentukan batas toleransi kesalahan input verifikasi data.
viii. menjaga kerahasiaan informasi pribadi nasabah atau calon
nasabah saat proses pendaftaran, transaksi, maupun layanan
lainnya.
ix. memastikan seluruh perangkat dan aplikasi yang digunakan
dalam digital branch telah memperhatikan ketentuan lain yang
berlaku.
b. Pengamanan fisik, Bank:
i. melakukan pengamanan terhadap seluruh sarana dan prasarana,
seperti mesin pembaca KTP-el, terminal, dan kabel jaringan.
ii. menggunakan perangkat elektronik yang bersifat tempered proof.
iii. mengoperasikan kamera Closed-Circuit Television (CCTV) yang
dapat meliput seluruh area digital branch dan infrastruktur
pendukung, serta menyimpan hasil rekaman kamera CCTV
selama periode tertentu sesuai kebijakan Bank.
 c. Pengendalian operasional, Bank:
i. menyediakan panduan, penjelasan, serta ilustrasi jenis dan cara
penggunaan layanan pada digital branch sebagai bagian dari
aspek edukasi dan perlindungan nasabah.
ii. melakukan verifikasi serta meyakini keabsahan dan kesesuaian
nomor telepon seluler yang didaftarkan nasabah, antara lain
dengan mengirimkan kode one time password (OTP) ke nomor
telepon seluler yang didaftarkan oleh nasabah.
iii. menyediakan bukti transaksi dalam bentuk elektronik dan/atau
tercetak kepada nasabah.
iv. menyediakan layanan notifikasi kepada nasabah untuk jenis
transaksi tertentu sesuai dengan risk-appetite Bank atau
kebutuhan nasabah.
v. memiliki metode pemantauan aktivitas digital branch, termasuk
menyediakan sarana jejak (audit trail) dari sistem yang digunakan
dalam mendukung penyelenggaraan digital branch.
vi. memiliki mekanisme untuk memastikan pengamanan log pada
mesin pembaca KTP-el.
vii. menjaga keamanan dan kerahasiaan data biometric, dalam hal
Bank merekam data biometric calon nasabah.
viii. menyediakan fasilitas telepon pada digital branch untuk
berkomunikasi dengan call center.
ix. memiliki fungsi dan prosedur untuk menangani pengaduan
nasabah dan penyelesaian perselisihan terkait transaksi digital.
x. memiliki Disaster Recovery Plan (DRP) yang memadai untuk
memastikan selalu tersedianya layanan pada digital branch.
xi. melakukan audit terhadap infrastruktur digital branch secara
berkala paling sedikit 1 (satu) kali dalam 1 (satu) tahun.
xii. memastikan bahwa pihak ketiga yang bekerja sama dengan Bank
menerapkan pengendalian pengamanan yang memadai paling
sedikit sesuai dengan risk appetite dan standar yang dimiliki oleh
Bank, dalam hal layanan yang disediakan bank merupakan hasil
kerjasama dan/atau produk pihak ketiga

2. Tidak terdapat perubahan proses bisnis pada saat nasabah melakukan transaksi
pasca pembukaan/registrasi nasabah Bank, yaitu tetap memperhatikan 2 (dua)
dari 3 (tiga) faktor otentikasi.

PENGGUNAAN PIHAK PENYEDIA JASA TI

1. Pendahuluan
Dalam rangka meningkatkan efektivitas dan efisiensi pencapaian tujuan strategis, Bank
dimungkinkan menggunakan pihak penyedia jasa TI. Hal ini sesuai dengan Pasal 20 POJK
MRTI yang mengatur bahwa penyelenggaraan TI dapat dilakukan oleh Bank sendiri dan/atau
pihak penyedia jasa TI.

Otoritas Jasa Keuangan memiliki kewenangan untuk mengawasi semua aktivitas

penyelenggaraan TI yang dilakukan sendiri oleh Bank atau pihak penyedia jasa TI. Untuk itu,
pemeriksaan dan pengawasan Bank tidak boleh terhambat dengan adanya pengalihan fungsi-
fungsi operasional Bank kepada pihak penyedia jasa TI.

2. Kebijakan, Standar, dan Prosedur Penggunaan Penyedia Jasa TI

Jika penyelenggaraan TI Bank dilakukan oleh pihak penyedia jasa TI, Bank harus
memenuhi ketentuan sebagaimana diatur dalam Pasal 20 POJK MRTI, serta memiliki kebijakan,
standar, dan prosedur penggunaan penyedia jasa TI. antara lain :

● Kebijakan Penggunaan Penyedia Jasa TI

○ Prinsip-prinsip penggunaan penyedia jasa TI
○ Pernyataan kebijakan dari manajemen
○ Peran dan tanggung jawab pihak-pihak yang terkait dengan penggunaan penyedia
jasa TI
● Standar Penggunaan Penyedia Jasa TI
○ standar pemilihan penyedia jasa TI sesuai dengan kompleksitas jasa TI yang
dibutuhkan Bank
○ standar pengelolaan penyedia jasa TI sesuai dengan ketentuan peraturan
perundang-undangan dan tata kelola (governance) yang memadai
○ standar isi perjanjian kerja sama dengan penyedia jasa TI

● Prosedur Penggunaan Penyedia Jasa TI → Bank harus memiliki prosedur

penggunaan penyedia jasa TI yaitu prosedur pemilihan penyedia jasa TI yang paling
sedikit mencakup
○ Pendefinisian Kebutuhan
○ Permintaan Proposal dari Penyedia Jasa TI
○ Uji Tuntas (Due Diligence) Penyedia Jasa TI
○ Penentuan Penyedia Jasa TI
○ Pembuatan Perjanjian Kerja Sama dengan Penyedia Jasa TI
○ Klausula Khusus
○ Penggunaan Penyedia Jasa TI di Luar Wilayah Indonesia
3. Proses Manajemen Risiko
 ● Identifikasi Risiko → Identifikasi risiko paling sedikit memperhatikan hal-hal sebagai
berikut :
○ Penggunaan pihak penyedia jasa TI lain dalam menyelenggarakan TI Bank dapat
memberikan kontribusi terhadap beberapa jenis risiko
○ Dalam melakukan identifikasi, pengukuran, pemantauan, dan pengendalian risiko,
Bank harus mempertimbangkan
● Pengukuran Risiko → Bank harus mengukur risiko tersebut untuk mengetahui
tingkat risiko yang dihadapi. Pengukuran risiko penggunaan penyedia jasa TI harus
terintegrasi dengan pengukuran risiko terkait TI lainnya dengan menggunakan
pendekatan pengukuran risiko yang sama.
● Mitigasi Risiko → Dari hasil pengukuran risiko, Bank mengetahui tingkat risiko
yang dihadapi. Selanjutnya, Bank harus menetapkan strategi mitigasi risiko sesuai
dengan tingkat risiko tersebut
● Pengendalian Risiko Lainnya → Bank harus memastikan adanya pengendalian
pengamanan untuk memitigasi risiko
4. Pengendalian Intern dan Audit Intern
● Pemantauan dan Pengawasan Penyedia Jasa TI → Bank harus memiliki program
pemantauan untuk memastikan penyedia jasa TI telah melaksanakan pekerjaan atau
memberikan jasa sesuai dengan perjanjian
● Audit Intern → Bank melaksanakan fungsi audit terhadap pihak penyedia jasa TI secara
berkala, baik dilakukan oleh audit intern Bank maupun pihak audit ekstern yang ditunjuk
oleh Bank
1. Area yang diaudit antara lain
a. sistem TI
b. keamanan data
c. kerangka kerja pengendalian intern
d. Rencana Pemulihan Bencana.

PENYEDIAAN JASA TEKNOLOGI INFORMASI OLEH BANK

1. Pendahuluan
Dalam menyelenggarakan TI, Bank memerlukan infrastruktur TI yang memadai.
Penyediaan infrastruktur tersebut dapat dilakukan sendiri oleh Bank, ataupun oleh penyedia
jasa TI. Dalam hal Bank menyediakan infrastruktur TI secara mandiri, ada kemungkinan bahwa
infrastruktur dimaksud belum terpakai secara penuh (idle) sehingga menjadi tidak efisien. Oleh
karena itu, dalam rangka meningkatkan efisiensi Bank dapat berperan sebagai penyedia jasa
TI.
2. Kebijakan, Standar, dan Prosedur Penyediaan Jasa TI
 Dalam melakukan penyediaan jasa TI, Bank harus memenuhi ketentuan sebagaimana
diatur dalam Pasal 25 POJK MRTI, serta memiliki kebijakan, standar, dan prosedur penyediaan
jasa TI.
2.1. Kebijakan Penyediaan Jasa TI oleh Bank
Bank harus memiliki kebijakan mengenai penyediaan jasa TI oleh Bank, yang paling
sedikit mengatur mengenai:
● Prinsip-prinsip penyediaan jasa TI
a. memenuhi persyaratan penyediaan jasa Teknologi Informasi tidak menjadi salah
satu kegiatan pokok Bank;
b. memenuhi prinsip kehati-hatian;
c. memperhatikan analisa biaya dan manfaat (cost and benefit analysis);
d. memenuhi ketentuan peraturan perundang-undangan;
e. memenuhi prinsip hubungan kerja sama secara wajar.
● Pernyataan kebijakan dari manajemen
Keputusan penyediaan jasa TI pada dasarnya harus mempertimbangkan faktor efisiensi
dan risiko. Oleh karena itu, penyediaan jasa TI harus memenuhi prinsip-prinsip
penyediaan jasa TI sebagaimana tertulis pada huruf a dan harus:
a. mendapatkan persetujuan manajemen;
b. memiliki perjanjian penyediaan jasa TI yang memungkinkan adanya klausula
kondisi pemutusan perjanjian sesuai dengan jangka waktu perjanjian maupun
sebelum perjanjian berakhir;
c. menetapkan peran dan tanggung jawab dari pihak-pihak yang terkait dengan
penyediaan jasa TI; dan
d. mengevaluasi calon penerima jasa TI antara lain berdasarkan kondisi keuangan
dan reputasi.
2.2. Standar Penyediaan Jasa TI oleh Bank
Standar penyediaan jasa TI oleh Bank paling sedikit mencakup:
a. standar isi perjanjian kerja dengan penerima jasa TI;
b. jangka waktu perjanjian penyediaan jasa TI;
c. hak dan kewajiban Bank maupun penerima jasa TI;
d. jaminan pengamanan dan kerahasiaan data, terutama data nasabah.
e. jaminan tingkat pelayanan SLA, berisi mengenai standar kinerja seperti tingkat
pelayanan yang diperjanjikan (service levels) dan target kinerja;
f. SLA tetap berlaku apabila terjadi perubahan kepemilikan baik pada Bank
maupun penerima jasa TI;
g. batasan risiko yang ditanggung oleh Bank dan penerima jasa TI, antara lain:
1) risiko perubahan ruang lingkup perjanjian;
2) perubahan aspek hukum dan regulasi; dan
3) aspek hukum yang meliputi hak cipta, paten, dan logo atau merek (trade
mark);
h. pengaturan yang jelas mengenai perlindungan terhadap data Bank (record
protection) termasuk infrastruktur pendukung berupa perangkat keras,
perlengkapan (equipment), dan perangkat lunak, untuk menjamin kelangsungan
penyelenggaraan TI;
 i. kepemilikan dan hak cipta (license) dalam hal penyediaan jasa TI berupa
aplikasi;
j. perubahan, pengakhiran, atau pemutusan perjanjian termasuk dalam hal Otoritas
Jasa Keuangan memerintahkan Bank menghentikan penyediaan jasa TI
sebelum berakhirnya jangka waktu perjanjian;
k. sanksi dan penalti terhadap alasan-alasan yang tidak jelas terhadap pembatalan
perjanjian dan pelanggaran isi perjanjian;
l. kepatuhan pada ketentuan peraturan perundang-undangan di Indonesia; dan
m. standar pengamanan sistem yang harus dipenuhi.
2.3 Prosedur Penyediaan Jasa TI oleh Bank
Bank harus memiliki prosedur penyediaan jasa TI oleh Bank yaitu prosedur
pendefinisian kebutuhan penerima jasa TI. Pendefinisian kebutuhan bisnis penerima jasa
terhadap penyediaan jasa TI oleh Bank harus dilakukan sebelum Bank memutuskan
menyediakan jasa TI, antara lain melalui:
a. proses penilaian risiko yang timbul akibat penyediaan jasa TI oleh Bank; dan
b. penetapan dasar yang akan digunakan untuk mengidentifikasi pengukuran
pengendalian risiko yang memadai.
2.4. Pembuatan Perjanjian Penyediaan Jasa TI oleh Bank
Setelah pendefinisian kebutuhan bisnis penerima jasa TI terhadap penyediaan jasa TI
oleh Bank, selanjutnya dalam menyusun perjanjian, Bank harus memperhatikan hal-hal sebagai
berikut:
a. melalui proses pembahasan dengan satuan kerja hukum; dan
b. mempertimbangkan adanya klausula khusus untuk pemutusan perjanjian sebelum
berakhirnya perjanjian apabila penerima jasa TI wanprestasi.
3. Proses Manajemen Risiko
3.1. Identifikasi Risiko
Identifikasi risiko paling sedikit memperhatikan hal-hal sebagai berikut.
● Penyediaan jasa TI oleh Bank dapat memberikan kontribusi terhadap beberapa jenis
risiko, sebagai berikut:
1. risiko operasional yaitu ketidakmampuan Bank menyediakan jasa TI sesuai
perjanjian;
2. risiko hukum yaitu ketidakpastian hukum atas perselisihan dengan penerima jasa
TI;
3. risiko reputasi yaitu ketidakpuasan penerima jasa TI karena ketidakmampuan
Bank memenuhi SLA; dan
4. risiko kepatuhan yaitu ketidakmampuan Bank memenuhi ketentuan peraturan
perundang-undangan.
● Dalam melakukan identifikasi, pengukuran, pemantauan, dan pengendalian risiko, Bank
harus mempertimbangkan:
1. aktivitas dan fungsi penyediaan jasa TI meliputi sensitivitas data yang diakses,
dilindungi, atau dikendalikan oleh Bank;
2. penerima jasa TI seperti misalnya kondisi keuangan dan reputasi penerima jasa
TI; dan
 3. teknologi yang digunakan meliputi keandalan (reliability), keamanan (security),
ketersediaan (availability), dan ketepatan waktu (timeliness) serta kemampuan
mengikuti perkembangan teknologi dan perubahan ketentuan peraturan
perundang-undangan.
3.2. Pengukuran dan Mitigasi Risiko
Setelah risiko diidentifikasi, Bank harus mengukur risiko tersebut untuk mengetahui
tingkat risiko yang dihadapi. Pengukuran risiko penyediaan jasa TI harus terintegrasi dengan
pengukuran risiko terkait TI lainnya dengan menggunakan pendekatan pengukuran risiko yang
sama. Dari hasil pengukuran risiko, Bank mengetahui tingkat risiko yang dihadapi. Selanjutnya,
Bank harus menetapkan strategi mitigasi risiko sesuai dengan tingkat risiko tersebut. Tindakan
mitigasi risiko yang dilakukan Bank harus efektif untuk mengendalikan risiko.
Contoh mitigasi risiko dalam penyediaan jasa TI:
1. Bank harus memiliki perjanjian penyediaan jasa TI yang memadai dan memantau
penyediaan jasa TI secara berkala.
2. Bank mampu mengurangi dampak kerugian apabila risiko-risiko yang diidentifikasi telah
terjadi.