Fondasi Keamanan Informasi untuk Sistem Pembayaran
PBI 23/2021 menempatkan keamanan informasi sebagai prioritas tertinggi dalam operasi PJP, mengingat sifat sensitif data yang dikelola dan potensi dampak massive jika terjadi breach. Sistem pembayaran menangani informasi pribadi konsumen (nama, nomor rekening, nomor identitas), data transaksi keuangan, dan infrastructure data yang memiliki nilai tinggi bagi attacker. Keamanan informasi harus melindungi tiga pilar utama: confidentiality (hanya pihak yang authorized yang dapat mengakses data), integrity (data tidak diubah tanpa autorisasi), dan availability (data dan sistem dapat diakses oleh authorized users saat dibutuhkan). PBI 23/2021 mengharuskan PJP untuk mengadopsi standar keamanan internasional seperti ISO 27001 dan menyelaraskan dengan standar nasional yang diterbitkan oleh Badan Siber dan Sandi Negara (BSSN).
Kontrol Akses dan Manajemen Identitas
Kontrol akses yang ketat merupakan foundational control dalam keamanan informasi. PJP harus mengimplementasikan prinsip least privilege, yaitu setiap user hanya diberikan akses minimal yang diperlukan untuk menjalankan pekerjaan mereka. Proses onboarding untuk user baru harus mencakup: authorization form yang menunjukkan approver telah menyetujui akses, setup technical account dalam sistem, dan pemberian akses ke hanya resources yang diperlukan untuk role mereka. Sebaliknya, ketika user berhenti bekerja atau pindah departemen, akses mereka harus segera di-disable atau di-modify sesuai dengan new role. PJP harus memiliki Access Control List (ACL) yang terdokumentasi dengan baik untuk setiap sistem kritis, mencatat siapa yang memiliki akses ke apa dan dengan permission level apa. Review terhadap access rights harus dilakukan minimal setiap tahun, atau setiap kuartal untuk sistem yang paling sensitif.
| KONSEP KUNCI | Multi-factor authentication (MFA) harus diterapkan untuk akses ke sistem pembayaran kritis, khususnya akses administrator. MFA menggabungkan sesuatu yang user tahu (password), sesuatu yang user punya (token atau smartphone), atau sesuatu yang user adalah (biometric), sehingga lebih sulit bagi attacker untuk berhasil brute-force atau phishing. |
Enkripsi Data dan Perlindungan Informasi Sensitif
Data sensitif harus selalu dienkripsi, baik saat in-transit (ketika berpindah antar sistem atau melalui jaringan) maupun at-rest (ketika tersimpan di storage atau database). Untuk data in-transit, PJP harus menggunakan Transport Layer Security (TLS) version 1.2 atau lebih baru untuk semua komunikasi data sensitif. Sertifikat TLS harus valid, diissue dari trusted certificate authority, dan di-renew sebelum expiration. Untuk data at-rest, PJP harus menggunakan algoritma enkripsi yang kuat seperti AES-256 atau setara. Key management adalah aspek kritis dari encryption program: encryption keys harus di-generate secara secure, disimpan di isolated key management system, di-rotate secara berkala (typically annually), dan di-decommission dengan aman ketika no longer needed. Hanya authorized personnel yang dapat mengakses encryption keys, dan akses tersebut harus dicatat dalam audit log.
Keamanan Jaringan dan Segmentasi
Infrastruktur jaringan PJP harus dirancang dengan prinsip defense-in-depth, yaitu multiple layers of security controls yang saling melindungi. Firewall harus diimplementasikan di entrance point dari jaringan PJP, dengan rules yang ketat yang hanya mengizinkan traffic yang necessary dan blocking semua yang lain. Network segmentation harus dilakukan untuk isolasi sistem pembayaran kritis dari network lain yang kurang secure, menggunakan VLAN atau firewall internal. Demilitarized Zone (DMZ) harus diimplementasikan untuk sistem yang harus accessible dari internet (seperti payment gateway), sehingga jika terjadi compromise pada DMZ system, attacker tidak dapat langsung mengakses internal payment systems. Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) harus dipasang untuk memonitor dan memblok traffic yang mencurigakan. Web Application Firewall (WAF) harus melindungi aplikasi berbasis web yang di-expose ke internet, memberikan proteksi terhadap common attacks seperti SQL injection, cross-site scripting, dan DDoS.
Butuh Bantuan dari Strategi sampai Implementasi?
Dari pemetaan kewajiban PBI 23 hingga penguatan governance, risk, dan security controls, Bitlion membantu perusahaan bergerak lebih cepat dengan pendekatan konsultatif dan praktis.
Monitoring Keamanan dan Deteksi Ancaman
PJP harus memiliki Security Information and Event Management (SIEM) system yang mengumpulkan security logs dari seluruh infrastruktur IT (firewalls, servers, databases, applications) dan menganalisis logs tersebut untuk mengidentifikasi aktivitas mencurigakan atau indikasi compromise. SIEM harus dikonfigurasi dengan correlation rules yang sophisticated untuk mendeteksi attack patterns seperti: repeated login failures (brute-force attempts), access dari unusual IP addresses, privilege escalation, data exfiltration patterns, dan malware-like behaviors. Alerts dari SIEM harus dievaluasi oleh Security Operation Center (SOC) atau dedicated security team yang dapat melakukan rapid response. PJP juga harus mengimplementasikan advanced threat detection tools seperti Endpoint Detection and Response (EDR) pada server dan workstations untuk mendeteksi sophisticated threats yang mungkin lolos dari traditional antivirus. Log retention hhharus cukup panjang (minimum 1 tahun) untuk memungkinkan forensic investigation jika terjadi incident.
| PENTING | Security monitoring harus bersifat 24/7 dan real-time. Incident response team harus standby untuk investigate alerts dan melakukan immediate containment ketika threat terdeteksi. Delayed response dapat memungkinkan attacker untuk melakukan lateral movement atau exfiltrate data sebelum remediation. |
Manajemen Vulnerability dan Patch Management
Semua software dan hardware yang digunakan dalam sistem pembayaran harus di-patch dan di-update secara berkala untuk mengatasi security vulnerabilities yang ditemukan oleh vendor atau security researchers. PJP harus memiliki formal vulnerability management program yang mencakup: regular vulnerability scanning menggunakan automated tools, manual penetration testing oleh qualified professionals, collection of vulnerability information dari vendor advisories dan public databases, risk assessment untuk setiap vulnerability, dan prioritized patching schedule. Vulnerabilities dengan severity high atau critical harus di-patch dalam waktu yang sangat singkat (typically 30 hari), sementara medium-severity dapat ditunda hingga scheduled maintenance window. PJP harus memiliki testing environment yang identik dengan production untuk dapat melakukan pre-deployment testing sebelum patch di-apply ke production systems. Patch deployment harus dicatat dalam change log dan di-verify bahwa patch berhasil applied dan tidak memecah aplikasi.
Incident Response dan Forensics
PBI 23/2021 mengharuskan PJP untuk memiliki incident response plan yang detail yang menjabarkan: definition dari apa yang dianggap sebagai security incident, notification hierarchy dan escalation procedures, roles dan responsibilities dalam incident response, investigation procedures, evidence preservation untuk forensic analysis, dan communication plan dengan affected customers dan regulators. Incident response team harus terdiri dari representatives dari security, IT operations, legal, compliance, dan communications. Setiap incident harus dicatat dalam incident log dengan detail lengkap: waktu discovery, initial assessment, investigation findings, remediation actions, root cause analysis, dan lessons learned. Critical incidents (seperti confirmed data breach) harus dilaporkan kepada Bank Indonesia dan BSSN sesuai dengan notification timeline yang ditetapkan (typically 24-72 jam dari discovery).
| Kontrol Keamanan | Implementasi Minimum | Frekuensi Audit |
|---|---|---|
| Kontrol Akses (AAA) | Least privilege, MFA for admins, quarterly reviews | Setiap kuartal |
| Enkripsi Data | TLS 1.2+ in-transit, AES-256 at-rest, key rotation | Tahunan + saat ada perubahan |
| Firewall & Network Segmentation | Perimeter FW, DMZ, internal segmentation, IDS/IPS | Continuous monitoring |
| SIEM & Security Monitoring | 24/7 real-time monitoring, rule-based alerting, SOC | Continuous, incident-triggered |
| Vulnerability Management | Monthly scanning, annual pentesting, 30-day patch SLA | Tahunan plus ad-hoc scans |
| Incident Response | Documented plan, trained team, 24h discovery-to-report | Tahunan tabletop, per incident |
| Access Logging & Audit Trail | All privileged access logged, 1-year retention minimum | Real-time logging, monthly review |
Compliance dengan Standar Keamanan Nasional dan Internasional
PBI 23/2021 mewajibkan PJP untuk menyelaraskan keamanan informasi mereka dengan standar internasional, khususnya ISO 27001 (Information Security Management System). ISO 27001 menyediakan framework komprehensif untuk membangun, mengimplementasikan, dan maintaining an information security management system. PJP harus melakukan gap analysis terhadap ISO 27001 requirements dan mengembangkan action plan untuk address gaps. Sertifikasi ISO 27001 oleh accredited third party adalah bukti yang kuat terhadap Bank Indonesia bahwa PJP memiliki information security program yang mature dan comprehensive. Di Indonesia, PJP juga harus memenuhi standar keamanan yang diterbitkan oleh BSSN, terutama untuk sistem yang mengolah data classified atau critical infrastructure information. BSSN menerbitkan guidelines untuk keamanan infrastruktur critical information dan minimum security standards yang harus dipenuhi oleh operators.
Data Classification dan Handling
PJP harus mengklasifikasikan informasi yang mereka kelola ke dalam kategori sensitivity yang berbeda (misalnya: public, internal, confidential, restricted) dan menetapkan handling requirements yang berbeda untuk setiap kategori. Data yang paling sensitif (seperti personal data konsumen, payment credentials) harus diklasifikasikan sebagai restricted dan subject ke kontrol keamanan yang paling ketat. Data classification harus dikomunikasikan kepada semua karyawan dan contractor, dan training harus diberikan tentang bagaimana menangani setiap kategori data. Classification scheme harus di-review secara berkala untuk memastikan tetap relevan dengan perubahan dalam business atau threat landscape.
| Standar / Framework | Aplikabilitas untuk PJP | Responsibility di BI |
|---|---|---|
| ISO 27001:2022 | Best practice untuk ISMS, sertifikasi recommended | BI accepts ISO 27001 cert as evidence of compliance |
| NIST Cybersecurity Framework | Reference framework untuk assessing risk maturity | BI may reference NIST dalam examination |
| BSSN IKN Guidelines | Mandatory untuk critical infrastructure, data handling | BI coordinates dengan BSSN untuk oversight |
| PBI 23/2021 Appendix | Specific security requirements untuk payment systems | Primary regulatory requirement |
| OWASP Top 10 | Web application security, guidance untuk developers | BI may assess against OWASP in code review |
| CIS Controls | Prioritized security actions, implementation roadmap | BI recognizes CIS maturity assessment |
| COBIT Framework | IT governance & risk management integration point | BI expects COBIT alignment with IT governance |