Memahami kerangka regulasi yang mendasari kewajiban audit dan penetration testing bagi penyelenggara sistem pembayaran di Indonesia
Tentang Penyelenggara Infrastruktur Sistem Pembayaran
Peraturan ini mengatur penyelenggaraan infrastruktur sistem pembayaran yang mencakup infrastruktur switching, infrastruktur ATM bersama, dan infrastruktur sistem pembayaran lainnya. PISP wajib memenuhi standar keamanan sistem informasi dan melakukan audit berkala untuk memastikan integritas dan keandalan infrastruktur pembayaran.
Tentang Penyedia Jasa Pembayaran
Peraturan ini mengatur penyedia jasa pembayaran termasuk e-wallet, payment gateway, remittance, dan layanan pembayaran elektronik lainnya. Regulasi ini menetapkan persyaratan perizinan, operasional, dan keamanan yang harus dipenuhi oleh Penyedia Jasa Pembayaran (PJP), termasuk yang dikategorikan sebagai PJSP.
Tentang Keamanan Sistem Informasi dan Ketahanan Siber bagi Penyelenggara Sistem Pembayaran, Pelaku Pasar Uang dan Pasar Valuta Asing, serta Pihak Lain yang Diatur dan Diawasi Bank Indonesia
Ini adalah regulasi terbaru dan paling komprehensif yang menetapkan standar keamanan sistem informasi dan ketahanan siber untuk seluruh ekosistem sistem pembayaran. Regulasi ini menggantikan dan memperkuat peraturan sebelumnya dengan mengintegrasikan aspek cyber resilience dan threat intelligence.
Manajemen Risiko Keamanan SI
Risk assessment, risk treatment, dan monitoring berkelanjutan
Tata Kelola Keamanan SI
Kebijakan, organisasi, dan prosedur keamanan informasi
Proteksi Aset Informasi
Enkripsi, access control, network security, secure coding
Deteksi dan Respons Insiden
SOC, SIEM, incident response plan, forensik digital
Pemulihan Ketahanan Siber
BCP, DRP, backup & recovery, crisis management
Audit & Assessment Berkala
Audit eksternal SI, pentest, vulnerability assessment
Third-Party Risk Management
Vendor assessment, SLA monitoring, outsourcing governance
Pelaporan ke Bank Indonesia
Laporan berkala, insiden signifikan, hasil audit
Audit Sistem Informasi
Penetration Testing
Vulnerability Assessment
Tentang Sistem Pembayaran - Kerangka umum penyelenggaraan sistem pembayaran di Indonesia
Tentang Penyelenggaraan Teknologi Informasi oleh Bank - Standar TI untuk lembaga jasa keuangan
Penerapan Manajemen Risiko bagi PJSP - Panduan teknis manajemen risiko operasional dan keamanan
Tentang Pelindungan Data Pribadi - Kewajiban perlindungan data nasabah dalam sistem pembayaran
Regulasi Bank Indonesia mengadopsi dan mereferensikan standar internasional berikut yang wajib dipenuhi oleh PJSP dan PISP:
Information Security Management System (ISMS)
Payment Card Industry Data Security Standard
Framework for Improving Critical Infrastructure Cybersecurity
Meski sering disalahartikan sebagai hal yang sama, audit SI dan penetration testing memiliki perbedaan fundamental dalam tujuan, metodologi, dan output:
| Aspek | Audit Sistem Informasi | Penetration Testing |
|---|---|---|
| Tujuan | Evaluasi kepatuhan terhadap standar, regulasi, dan best practices | Identifikasi kerentanan yang dapat dieksploitasi oleh attacker |
| Metodologi | Review dokumentasi, wawancara, observasi, pengujian kontrol | Simulasi serangan aktif menggunakan teknik hacking |
| Scope | Luas - mencakup people, process, technology | Fokus - spesifik pada technical vulnerabilities |
| Output | Laporan audit dengan findings, recommendations, compliance gap | Technical report dengan PoC exploits dan remediation steps |
| Frekuensi | Tahunan atau 2 tahunan (sesuai tier) | Minimal 6 bulan untuk sistem kritis, atau setelah perubahan signifikan |
| Skills Required | IT auditor, risk management, compliance knowledge | Ethical hacker, security researcher, technical expertise |
Keduanya saling melengkapi dan sama pentingnya. Audit SI memastikan framework keamanan yang komprehensif ada di tempat, sementara pentest memvalidasi efektivitas kontrol teknis tersebut dalam menghadapi serangan nyata.
Best Practice: Lakukan audit SI terlebih dahulu untuk memahami posture keamanan secara menyeluruh, kemudian gunakan pentest untuk memvalidasi area berisiko tinggi yang teridentifikasi.
Bank Indonesia dan OJK memiliki persyaratan yang jelas dan tegas terkait audit SI dan penetration testing. Berikut breakdown persyaratan utama:
Audit SI dan pentest harus dilakukan oleh pihak independen yang terdaftar pada otoritas atau SRO. Auditor/pentester harus memiliki sertifikasi yang diakui seperti CISA, CISSP, CEH, OSCP.
Dokumen: Surat penunjukan auditor, CV auditor, sertifikat kompetensi
Audit harus mencakup seluruh sistem pembayaran, termasuk core banking system, payment gateway, switching, clearing & settlement, mobile apps, dan web applications.
Wajib: External pentest, internal pentest, web app pentest, mobile app pentest
Laporan audit harus mencakup executive summary, detailed findings dengan severity rating, evidence/screenshots, remediation recommendations, dan action plan.
Format: Technical report + Management report + Executive summary
PJSP/PISP wajib melakukan remediasi terhadap semua temuan critical dan high dalam waktu yang ditentukan (biasanya 30-90 hari), dan melaporkan progress ke regulator.
Timeline: Critical (30 hari), High (60 hari), Medium (90 hari)
Laporan audit dan pentest harus disampaikan ke Bank Indonesia atau OJK sesuai dengan format dan timeline yang ditetapkan. Keterlambatan pelaporan dapat berakibat sanksi administratif.
Deadline: Maksimal 30 hari setelah penyelesaian audit/pentest
Untuk memaksimalkan nilai dari audit SI dan penetration testing, PJSP dan PISP perlu mengadopsi pendekatan yang terstruktur dan strategis:
Jadwalkan audit dan pentest jauh-jauh hari, alokasikan budget dan resources yang memadai. Koordinasikan dengan stakeholders internal (IT, security, compliance, legal).
Jangan hanya fokus pada harga termurah. Pilih auditor/pentester dengan track record solid, sertifikasi internasional, dan pemahaman mendalam tentang payment systems.
Define scope of work secara detail dalam kontrak. Pastikan semua sistem critical tercakup, termasuk production, staging, dan disaster recovery environment.
Maintain komunikasi rutin dengan auditor selama proses berlangsung. Respond dengan cepat terhadap permintaan dokumen atau akses sistem. Jadwalkan daily/weekly sync-up.
Setelah menerima laporan audit, buat action plan dengan timeline jelas, assign owner untuk setiap finding, dan track progress remediasi secara berkala.
Jangan tunggu audit tahunan untuk improve security posture. Implement continuous security monitoring, vulnerability scanning, dan security awareness training.
Kegagalan memenuhi persyaratan audit SI dan penetration testing dapat berakibat serius bagi PJSP dan PISP, baik dari sisi regulasi maupun reputasi:
Bank Indonesia dan OJK berwenang mengenakan sanksi administratif berupa teguran tertulis, denda finansial, pembatasan kegiatan usaha, hingga pencabutan izin operasional.
Contoh Sanksi: Denda Rp 1-5 miliar, suspend layanan tertentu, atau pencabutan izin PJSP
Tanpa audit dan pentest reguler, kerentanan keamanan kritis dapat tidak terdeteksi, meningkatkan risiko data breach, fraud, dan cyber attacks yang merugikan nasabah dan perusahaan.
Real Case: Beberapa fintech Indonesia mengalami data breach akibat vulnerability yang sebenarnya bisa terdeteksi lewat pentest
Security incident yang terjadi akibat kelalaian keamanan dapat merusak kepercayaan pelanggan, partner, dan investor. Recovery dari reputational damage bisa memakan waktu bertahun-tahun.
Impact: Customer churn, penurunan transaksi, kesulitan fundraising, hilangnya partnership
Biaya yang timbul dari security incident jauh lebih besar daripada biaya audit dan pentest preventif: incident response, forensik investigasi, legal fees, kompensasi nasabah, class action lawsuit.
Perbandingan: Biaya audit+pentest ~Rp 200-500 juta/tahun vs Biaya data breach ~Rp 5-50 miliar
Partner terpercaya untuk kepatuhan PJSP dan PISP - Terdaftar di ASPI
PJSP/PISP Clients
Compliance Rate
Audits Completed
Years Experience
Audit sistem informasi dan penetration testing bukan sekadar kewajiban regulasi bagi PJSP dan PISP - ini adalah investasi strategis untuk melindungi aset, reputasi, dan kepercayaan stakeholders. Dalam ekosistem pembayaran digital yang semakin kompleks dan menghadapi ancaman siber yang terus berkembang, organisasi yang proaktif dalam memastikan keamanan sistem akan memiliki keunggulan kompetitif jangka panjang.
Regulasi Bank Indonesia dan OJK telah memberikan framework yang jelas untuk pengelolaan risiko keamanan informasi. Kepatuhan terhadap regulasi ini, dikombinasikan dengan implementasi best practices keamanan siber, akan menciptakan ekosistem pembayaran yang aman, terpercaya, dan resilient terhadap ancaman.
Bagi PJSP dan PISP yang belum memulai atau ingin meningkatkan program audit dan pentest mereka, sekarang adalah waktu yang tepat untuk mengambil langkah konkret. Partner dengan auditor dan pentester berpengalaman yang memahami regulasi lokal dan best practices internasional untuk memastikan kepatuhan dan keamanan optimal.
Tim KRES bersertifikat internasional (CISA, CISSP, OSCP, CEH) dan
terdaftar di ASPI.
Kami siap membantu audit SI dan
penetration testing dengan standar tertinggi.
Jelajahi lebih banyak wawasan dan analisis ahli tentang topik keamanan siber
Bank Indonesia dan OJK mewajibkan PJSP dan PISP melakukan audit sistem informasi dan penetration testing secara berkala. Pahami regulasi dan implementasinya.
Pahami kompleksitas UU PDP Indonesia dan persyaratan ISO 27701 dengan panduan kepatuhan komprehensif kami.
Pelajari tentang kerentanan keamanan yang paling umum ditemukan di aplikasi web dan cara mencegahnya.
Dapatkan wawasan praktis dari proyek implementasi ISO 27001 yang sukses dan hindari kesalahan umum.