Penyelenggara Penunjang: Definisi dan Kategori Baru
PBI 10/2025 untuk pertama kalinya dalam sejarah regulasi Bank Indonesia mengatur secara eksplisit Penyelenggara Penunjang — entitas pihak ketiga yang menyediakan layanan atau infrastruktur pendukung kepada PSP. Sebelumnya, vendor teknologi, penyedia layanan cloud, dan entitas sejenisnya beroperasi di "shadow zone" regulasi: tidak diatur langsung oleh BI, namun secara faktual memiliki dampak signifikan terhadap kelangsungan sistem pembayaran.
Pasal 65 PBI 10/2025 menetapkan kerangka regulasi komprehensif untuk Penyelenggara Penunjang:
| KONSEP KUNCI | Penyelenggara Penunjang adalah entitas yang menyediakan layanan atau infrastruktur pendukung kepada PSP dan Peserta dalam penyelenggaraan sistem pembayaran. Ini mencakup penyedia teknologi (software, hardware), layanan cloud, payment gateway, fraud detection, clearing house, dan entitas serupa. PBI 10/2025 mengkategorikan Penyelenggara Penunjang menjadi tiga tingkat: (1) Kritikal (critical), (2) Penting (important), dan (3) Standar (standard). Kategorisasi ini menentukan tingkat persyaratan regulasi yang harus dipenuhi. |
Tiga Kategori Penyelenggara Penunjang dan Kriteria Penetapan
Pasal 65 ayat 2 menetapkan tiga kategori, sementara ayat 3-7 menjelaskan kriteria dan pertimbangan penetapan kategori:
| Kategori | Definisi Layanan | Tingkat Risiko | Contoh Konkret | Persyaratan Regulasi |
|---|---|---|---|---|
| KRITIKAL (Critical) | Menyediakan layanan atau infrastruktur pendukung tahap inisiasi, otorisasi, kliring, dan setelmen transaksi pembayaran | Gangguan akan segera menyebabkan disruption sistem pembayaran dan ancaman stabilitas sistem | Payment gateway, sistem kliring, sistem setelmen, core banking system untuk pembayaran, clearing house, real-time gross settlement (RTGS) system, fraud detection engine untuk transaksi real-time | Pendaftaran wajib; asesmen berkala; BCP dan DRP terstandar; SLA ketat dengan PSP; monitoring aktif oleh BI |
| PENTING (Important) | Menyediakan layanan atau infrastruktur pendukung yang cakupannya mencakup tahap inisiasi, otorisasi, kliring, atau setelmen transaksi pembayaran yang signifikan | Gangguan akan menyebabkan disruption pada bagian material sistem pembayaran atau lini bisnis PSP tertentu | Penyedia API gateway, sistem routing, merchant acquiring platform untuk kategori besar, fraud scoring untuk merchant, tokenization system, backup payment channel | Pendaftaran wajib (dalam 3 tahun); asesmen berkala; BCP dan DRP; SLA yang sesuai dengan criticality; kewajiban pelaporan ke PSP |
| STANDAR (Standard) | Menyediakan layanan pendukung praktransaksi (pre-transaction) dan pascatransaksi (post-transaction), atau layanan yang sifatnya tidak langsung mendukung tahap core transaksi | Gangguan memiliki dampak terbatas dan dapat ditolerir dengan impact kecil terhadap sistem pembayaran | Data analytics, reporting tools, customer service platform, settlement reconciliation system, billing system, regulatory reporting tools, training platform | Pendaftaran optional (atas inisiatif atau permintaan PSP); asesmen sesuai kebutuhan; SLA dasar; persyaratan regulasi lebih ringan |
Proses Penetapan Kategori dan Ambang Batas (Threshold)
Pasal 65 ayat 4-5 menetapkan bahwa penetapan kategori dilakukan melalui penilaian berdasarkan:
(a) Tahapan Pemrosesan Transaksi Pembayaran
Layanan yang mendukung tahap inisiasi, otorisasi, kliring, dan setelmen dipertimbangkan lebih kritikal dibanding layanan praktransaksi atau pascatransaksi.
(b) Klasifikasi PSP yang Bermitra
Penyelenggara Penunjang yang melayani PSP Utama (dengan transaksi besar dan interkoneksi luas) akan dikategorikan lebih tinggi dibanding yang melayani PSP Standar.
(c) Nilai Ambang Batas (Threshold)
Pasal 65 ayat 5 mengacu pada nilai ambang batas yang akan ditetapkan dalam PADG. Ambang batas ini kemungkinan akan mencakup:
- Nilai transaksi harian / bulanan yang diproses oleh Penyelenggara Penunjang
- Persentase volume transaksi sistem pembayaran yang bergantung pada layanan tersebut
- Jumlah PSP atau peserta yang bergantung pada layanan
- Cakupan geografis atau demografi pengguna akhir
| PENTING | Kategorisasi bukan determinatif sekali untuk selamanya. Pasal 65 memberikan BI wewenang untuk menetapkan kriteria secara dinamis, dan kategori dapat berubah seiring dengan perkembangan PSP, volume transaksi, atau kondisi pasar. PSP yang bermitra dengan Penyelenggara Penunjang harus memantau kategori mitra mereka dan menyesuaikan level of control sesuai kategori. |
Kewajiban Pendaftaran dan Jadwal Implementasi
Pasal 67 menetapkan kewajiban pendaftaran untuk Penyelenggara Penunjang Kritikal dan Penting:
Pihak yang Wajib Mendaftar
Penyelenggara Penunjang Kritikal dan Penting yang bekerja sama dengan PSP dan Peserta di Indonesia wajib melakukan pendaftaran ke Bank Indonesia (atau pihak yang ditunjuk BI).
Pihak yang Dapat Mengajukan Pendaftaran
Pendaftaran dapat diajukan oleh:
(a) Penyelenggara Penunjang itu sendiri (proactive registration)
(b) PSP atau Peserta yang bermitra dengan Penyelenggara Penunjang (sebagai requirement sebelum kerja sama dapat berlanjut)
Persyaratan Pendaftaran
Pasal 67 menyebutkan pendaftaran harus mencakup persyaratan SDM, proses, dan teknologi yang sesuai dengan PBI 10/2025. Detail persyaratan akan diatur lebih lanjut dalam PADG.
Jadwal Implementasi: Batas Waktu 3 Tahun
Pasal 67 memberikan waktu selama 3 tahun sejak PBI 10/2025 berlaku (hingga ~Maret 2029) bagi Penyelenggara Penunjang Kritikal dan Penting untuk melakukan pendaftaran. Ini adalah jadwal yang agresif namun realistis mengingat skala industri.
Implikasi praktis: PSP harus mulai melakukan inventory Penyelenggara Penunjang yang bermitra dan mengkategorisasi mereka sedini mungkin, sehingga dapat merencanakan dan memfasilitasi proses pendaftaran dalam timeframe yang disediakan.
Perjanjian Kerja Sama: Kewajiban PSP terhadap Penyelenggara Penunjang
Pasal 58 dan 70 menetapkan muatan minimum perjanjian kerja sama dan kewajiban tambahan untuk Penyelenggara Penunjang Kritikal dan Penting:
Muatan Minimum untuk Semua Penyelenggara Penunjang (Pasal 58 ayat 3):
(a) Ruang lingkup layanan dan deliverables
(b) Hak dan kewajiban masing-masing pihak
(c) Jangka waktu kerjasama dan prosedur perubahan/pengakhiran
(d) Keamanan dan kerahasiaan data
(e) Service Level Agreement (SLA) dengan metrik dan komitmen
(f) Monitoring dan pelaporan kinerja
(g) Akses untuk pengawasan dan audit oleh PSP dan BI
(h) Pilihan hukum (law governing contract) dan penyelesaian sengketa
(i) Perubahan persyaratan dan mekanisme pengakhiran kerja sama
Muatan Tambahan untuk Penyelenggara Penunjang Kritikal/Penting (Pasal 70 ayat 2):
(a) Keamanan dan perlindungan data pribadi (dengan referensi ke UU PDP)
(b) Business Continuity Plan (BCP) dan Disaster Recovery Plan (DRP) dengan standar yang sesuai
(c) Kapabilitas keuangan dan financial resilience
(d) Kewajiban Penyelenggara Penunjang merespons permintaan informasi dari BI
| WAWASAN BITLION | Perjanjian kerja sama dengan Penyelenggara Penunjang bukan sekadar agreement procurement standar. Dengan persyaratan muatan yang detail di Pasal 58 dan 70, perjanjian ini menjadi dokumen tata kelola yang substantive. PSP perlu melakukan review legal yang ketat terhadap template perjanjian vendor mereka dan memastikan bahwa semua persyaratan regulatory terintegrasi dalam kontrak, bukan hanya dalam SOW (statement of work) atau annex terpisah. |
Tanggung Jawab Penuh PSP atas Penyelenggara Penunjang
Pasal 62 menetapkan prinsip fundamental yang menggeser paradigma third-party risk management:
Pasal 62: Tanggung Jawab Penuh PSP
PSP bertanggung jawab PENUH atas manajemen risiko Penyelenggara Penunjang terhadap dampak kelangsungan layanan sistem pembayaran. Tanggung jawab ini tidak dapat didelegasikan sepenuhnya kepada Penyelenggara Penunjang, meskipun Penyelenggara Penunjang juga memiliki kewajiban sendiri.
Implikasi Operasional Pasal 62:
1. Internalisasi Risiko Penyelenggara Penunjang dalam Penilaian Risiko PSP
Risiko yang timbul dari Penyelenggara Penunjang harus diidentifikasi, diukur, dan dikelola sebagai bagian integral dari manajemen risiko PSP, bukan sebagai risiko "eksternal" yang dapat diisolasi.
2. Kendali Pemrosesan Transaksi Tetap pada PSP
Meskipun infrastruktur teknis dikelola Penyelenggara Penunjang, PSP harus mempertahankan kendali penuh atas proses bisnis dan keputusan operasional yang mempengaruhi transaksi pembayaran.
3. Kewajiban Monitoring dan Enforcement Berkelanjutan
PSP wajib melakukan monitoring berkelanjutan terhadap kinerja Penyelenggara Penunjang dan memiliki mekanisme enforcement jika terjadi pelanggaran atau underperformance.
PSP juga harus memiliki kemampuan untuk dengan cepat beralih ke alternatif atau contingency jika Penyelenggara Penunjang tidak dapat memenuhi kewajibannya.