TIKMI Aspek Infrastruktur TI: Empat Sub-Aspek Keamanan
Pasal 45 huruf e PBI 10/2025 menetapkan persyaratan TIKMI aspek Infrastruktur Teknologi Informasi dalam proses perizinan PSP. Aspek ini mencakup empat sub-aspek yang harus dipenuhi setiap pemohon izin PSP:
| KONSEP KUNCI | Empat sub-aspek TIKMI Infrastruktur TI adalah: (1) infrastruktur pengelolaan fraud; (2) resiliensi aplikasi dan infrastruktur sistem informasi, termasuk tata kelola sistem informasi; (3) keamanan siber; (4) keamanan dan keandalan infrastruktur teknologi yang disediakan oleh pihak ketiga. Setiap sub-aspek bukan silang yang terpisah, tetapi saling terintegrasi dalam ekosistem teknologi yang coherent dan aman. |
Pemetaan Detail Empat Sub-Aspek TIKMI Infrastruktur TI
| Sub-Aspek | Definisi dan Cakupan | Komponen Teknis Utama | Bukti Kepatuhan Minimal |
|---|---|---|---|
| (1) Infrastruktur Pengelolaan Fraud | Kemampuan PSP untuk mengidentifikasi, mencegah, dan menangani fraud (kecurangan) dalam transaksi pembayaran dan operasional sistem. Ini mencakup fraud detection systems, investigasi fraud, dan remediation mechanisms | Tools fraud detection (real-time scoring, rule-based engine, machine learning models); fraud case management system; investigation protocols; corrective action procedures; fraud monitoring dashboard; integration dengan monitoring authorities | Dokumentasi fraud detection policy; log fraud detection rules dan thresholds; case files investigasi fraud minimal 6 bulan terakhir; bukti tindakan perbaikan; laporan fraud trends kepada BI |
| (2) Resiliensi Aplikasi dan Infrastruktur SI + Tata Kelola SI | Kemampuan infrastruktur sistem informasi PSP untuk tetap beroperasi dan melayani transaksi dalam kondisi normal maupun kondisi stress (surge traffic, partial outage). Termasuk high availability, redundancy, disaster recovery, dan governance struktur untuk mengelola SI | Infrastructure: multi-data center, load balancing, database replication, backup systems; monitoring dan alerting systems; capacity planning dan testing; change management; configuration management; testing automation (unit test, integration test, UAT) | System architecture diagram menunjukkan redundancy; uptime metrics (SLA compliance) minimal 99.5%; backup test logs (minimal quarterly); change management logs; incident response logs; disaster recovery test results |
| (3) Keamanan Siber | Kemampuan PSP untuk melindungi infrastruktur TI dan data transaksi dari ancaman cyber (hacking, malware, DDoS, data breach, unauthorized access). Mencakup technical security controls dan security governance | Firewall dan intrusion detection/prevention; encryption (in transit dan at rest); vulnerability scanning dan patching; access control dan authentication (MFA); SSL/TLS certificates; API security; web application firewall; security awareness training; incident response plan untuk cyber incidents | Penetration testing report (minimal tahunan); vulnerability assessment results; evidence of patching cycle (critical ≤30 hari); access control logs; MFA implementation proof; security incident logs; evidence of security training attendance |
| (4) Keamanan dan Keandalan Infrastruktur TI Pihak Ketiga | Kemampuan untuk memastikan bahwa pihak ketiga (cloud provider, vendor teknologi, CDN, payment gateway) yang menyediakan infrastruktur TI kepada PSP telah memenuhi standar keamanan dan keandalan yang memadai | Due diligence hasil audit vendor; Service Level Agreement (SLA) mencakup keamanan dan availability; compliance audit pihak ketiga (e.g., SOC 2 Type II, ISO 27001); monitoring terhadap vendor compliance; incident response procedures jika vendor terkena security breach | Vendor security assessment template dan hasil; SLA contracts dengan keamanan dan availability clauses; audit reports pihak ketiga (SOC 2, ISO 27001); vendor incident notification logs; proof of vendor monitoring activities |
Persyaratan Pemrosesan Domestik Transaksi Pembayaran (Pasal 122)
Pasal 122 ayat 3 PBI 10/2025 menetapkan persyaratan kritis yang sebelumnya tidak diatur secara eksplisit:
Persyaratan Lokasi Data Center dan Disaster Recovery
Sistem elektronik yang digunakan untuk pemrosesan transaksi pembayaran pada SELURUH tahap — inisiasi, otorisasi, kliring, dan setelmen — WAJIB DITEMPATKAN pada pusat data dan pusat pemulihan bencana (disaster recovery center) yang berlokasi di wilayah Nusantara Kepulauan Republik Indonesia (NKRI).
Implikasi regulasi ini adalah:
1. Tidak Boleh Cloud Processing Eksternal
PSP tidak dapat menggunakan public cloud (AWS, Google Cloud, Microsoft Azure, atau cloud providers internasional lainnya) untuk memproses transaksi pembayaran jika pusat data mereka berada di luar Indonesia, meskipun cloud provider tersebut memiliki data center di Indonesia. Persyaratan adalah bahwa pusat data HARUS secara fisik dan operasional berada di Indonesia dan dikelola oleh infrastruktur yang tunduk pada hukum Indonesia.
2. Physical Security dan Jurisdictional Control
PSP harus memiliki pengendalian penuh terhadap infrastruktur fisik dan operasional pusat data. Jika menggunakan colocation facility, PSP harus memastikan bahwa data center operator dalam yurisdiksi Indonesia dan mematuhi regulasi BI.
3. Data Center Redundancy dan Disaster Recovery
PSP wajib memiliki minimal dua lokasi pusat data: satu sebagai primary data center dan satu sebagai disaster recovery center. Keduanya harus berlokasi di Indonesia. Jarak antara keduanya harus cukup jauh untuk menghindari risiko disaster yang sama (misalnya, 100+ km terpisah atau di pulau yang berbeda).
| PENTING | Persyaratan pemrosesan domestik ini adalah manifestasi dari prioritas keamanan data nasional Indonesia. Regulasi ini sejalan dengan kebijakan nasional perlindungan data pribadi (UU PDP 2022) dan data sovereignty yang menjadi tren global. PSP harus mengklasifikasi ulang infrastruktur teknologi mereka: jika saat ini menggunakan cloud internasional, PSP perlu melakukan migrasi infrastruktur ke data center domestik sebelum batas waktu yang ditentukan dalam PADG implementasi. Investasi infrastruktur lokal ini menjadi cost item material bagi PSP dalam compliance planning 2026-2029. |
Keselarasan dengan Standar Keamanan Internasional
Meskipun PBI 10/2025 menetapkan persyaratan pemrosesan domestik, regulasi juga mengakui pentingnya keselarasan dengan standar keamanan internasional untuk memastikan interoperabilitas dan kredibilitas global infrastruktur pembayaran Indonesia.
Pasal 132: BI Dapat Mewajibkan Standar Internasional
Pasal 132 PBI 10/2025 memberikan wewenang kepada BI untuk mewajibkan PSP mengacu pada standar internasional tertentu dalam pengelolaan keamanan dan operasional sistem pembayaran. Standar yang kemungkinan akan dimaksud dalam PADG implementasi antara lain:
Pasal 90: Infrastruktur Sistemik Wajib Standar Internasional
Pasal 90 secara eksplisit menetapkan bahwa infrastruktur pembayaran yang bersifat sistemik — yaitu infrastruktur yang jika terganggu dapat menyebabkan disruption luas di ekosistem pembayaran — WAJIB menerapkan standar internasional dalam operasional dan keamanan mereka. Infrastruktur sistemik termasuk:
- Infrastruktur Penunjang BI (BI-RTGS untuk setelmen nilai besar, BI-FAST untuk setelmen retail real-time)
- Sistem Kliring Nasional Berhadiah (SKNBI)
- Infrastruktur pembayaran lain yang ditetapkan BI sebagai sistemik
Standar internasional yang relevan mencakup:
| Standar Internasional | Scope | Relevansi untuk SP Indonesia | Level Compliance yang Diharapkan |
|---|---|---|---|
| ISO 27001 (Information Security Management System) | Comprehensive framework untuk manajemen keamanan informasi: security policies, access control, incident management, security awareness | Minimum untuk PSP Utama dan Infrastruktur Sistemik; recommended untuk semua PSP; establishes baseline dalam security governance | Certification minimal setiap 3 tahun; documented SOA (Statement of Applicability) untuk setiap klausul |
| PCI DSS (Payment Card Industry Data Security Standard) | Specific security requirements untuk penyimpanan, pemrosesan, dan transmisi data kartu kredit | Mandatory untuk PSP yang menangani kartu kredit; mencakup merchant acquiring, card processing, tokenization | Compliance level tergantung volume transaksi kartu; annual certification dari qualified assessor |
| ISO 20022 (Financial Message Standards) | Standardized message format untuk komunikasi dalam sistem pembayaran internasional | Relevant untuk interoperability dengan sistem pembayaran global; alignment dengan SWIFT standards; enables cross-border payments | Implementation untuk layanan transaksi lintas negara dan cross-border clearing |
| NIST Cybersecurity Framework | Strategic-level framework: Identify, Protect, Detect, Respond, Recover (IPDRR cycle) | Best practice untuk risk-based cybersecurity management; alignment dengan international practice; reference untuk BI dalam menyusun kriteria keamanan siber lokal | Adoption optional namun recommended untuk maturity assessment; alignment dengan NIST framework dalam internal policies |
Standar Keamanan Sistem Informasi Nasional (Pasal 128)
Selain mengacu pada standar internasional, PBI 10/2025 juga membuka ruang untuk standar keamanan nasional yang ditetapkan oleh otoritas nasional. Pasal 128 menyebutkan bahwa BI dapat mewajibkan kepatuhan terhadap standar nasional keamanan sistem informasi, yang kemungkinan dikoordinasikan dengan:
- Badan Siber dan Sandi Negara (BSSN) — otoritas nasional untuk cybersecurity policy
- Peraturan Pemerintah tentang Sistem Keamanan Informasi Nasional
- Standar teknis dari lembaga standardisasi nasional (BSN)
Standar nasional ini akan menjadi bagian dari PADG implementasi dan akan disesuaikan dengan perkembangan threat landscape nasional.
| WAWASAN BITLION | Persyaratan keamanan siber dan infrastruktur TI dalam PBI 10/2025 mencerminkan evolusi regulasi BI dari prescriptive (yang mengatakan "harus bagaimana") menjadi principle-based (yang mengatakan "harus apa hasilnya"). Daripada meresepkan teknologi tertentu, PBI 10/2025 menetapkan persyaratan outcome (fraud harus dikelola, sistem harus resilient, keamanan siber harus kuat) dan kemudian memberikan fleksibilitas kepada PSP untuk memilih teknologi dan approach yang tepat untuk mencapai outcome tersebut. Ini mengakui bahwa teknologi terus berkembang dan regulasi yang terlalu prescriptive akan cepat obsolete. Namun fleksibilitas ini juga membawa tanggung jawab: PSP harus mampu membuktikan bahwa choice yang dipilih adalah sufficient untuk memenuhi persyaratan regulasi. |
Keamanan Siber dalam Pengawasan BI (Pasal 150)
Pasal 150 PBI 10/2025 menetapkan bahwa pengawasan BI terhadap sistem pembayaran mencakup pengawasan terhadap keamanan dan keandalan sistem informasi dan siber. Ini membuat keamanan siber menjadi area pengawasan regulasi yang eksplisit, bukan sekadar best practice opsional.
Implikasi praktis:
(1) Akses Audit: BI memiliki hak akses untuk melakukan audit cybersecurity terhadap PSP. PSP wajib menyiapkan dokumentasi dan memberikan akses kepada tim audit BI.
(2) Incident Reporting: PSP wajib melaporkan insiden keamanan siber yang material kepada BI dalam waktu yang ditentukan (segera atau dalam 24-48 jam, sesuai severity).
(3) Vulnerability Disclosure: PSP wajib mengidentifikasi dan melaporkan vulnerability dalam sistem mereka kepada BI sebelum dipublikasikan atau sebelum ditargetkan oleh attacker.
(4) Remediation Tracking: BI akan melakukan follow-up terhadap timeline remediation temuan keamanan yang diidentifikasi dalam audit.