Fondasi Keamanan Transaksi Pembayaran
PBI 23/2021 menetapkan persyaratan keamanan transaksi pembayaran yang komprehensif untuk melindungi data nasabah dan memastikan integritas sistem pembayaran. Persyaratan ini mengcover seluruh siklus transaksi mulai dari inisiasi transaksi, autentikasi pihak-pihak terkait, enkripsi data dalam transit dan at rest, hingga pengesahan transaksi dan penolakan untuk mengingkari tanggung jawab (non-repudiation). Standar keamanan ini berlaku universal kepada semua Penyedia Jasa Pembayaran (PJP) tanpa terkecuali, baik bank maupun fintech, dalam setiap saluran transaksi baik melalui aplikasi mobile, web, atau API terbuka.
| KONSEP KUNCI | Keamanan transaksi pembayaran dibangun atas tiga pilar utama: (1) Autentikasi yang kuat untuk memverifikasi identitas pengguna dan pemilik rekening, (2) Enkripsi data untuk melindungi informasi sensitif dalam transit dan penyimpanan, dan (3) Non-repudiation untuk memastikan accountability dan mencegah penolakan transaksi yang telah dilakukan. |
Persyaratan Autentikasi Nasabah
Standar autentikasi yang diatur dalam PBI 23/2021 mengharuskan PJP menerapkan Strong Customer Authentication (SCA) untuk setiap transaksi pembayaran, terutama untuk transaksi yang melibatkan pergerakan dana. SCA minimum harus mencakup multi-factor authentication (MFA) yang menggabungkan minimal dua dari tiga kategori faktor autentikasi: sesuatu yang diketahui (knowledge factor), sesuatu yang dimiliki (possession factor), dan sesuatu yang melekat pada diri (inherence factor). Kombinasi umum termasuk password + OTP, password + biometric, atau kartu + PIN.
Untuk transaksi pembayaran bernilai tinggi atau dalam kategori risiko tertentu, PJP wajib menerapkan continuous authentication atau re-authentication pada titik-titik kritis dalam alur transaksi. Transaksi satu sentuh (one-tap/one-click) tanpa autentikasi ulang hanya diperbolehkan untuk transaksi bernilai rendah dengan batas maksimal yang ditetapkan PJP berdasarkan profil risiko nasabah. PJP juga harus memastikan bahwa mekanisme autentikasi tidak dapat diatasi melalui metode social engineering atau teknik manipulasi teknis lainnya.
Enkripsi Data Transaksi
Semua data transaksi pembayaran harus dienkripsi baik dalam perjalanan (in transit) maupun saat disimpan (at rest). Untuk enkripsi in transit, PJP wajib menggunakan protokol TLS/SSL versi terbaru (minimal TLS 1.2, direkomendasikan TLS 1.3) dengan cipher suite yang kuat dan tidak mengandung kelemahan yang diketahui. Sertifikat SSL/TLS yang digunakan harus dari Certificate Authority (CA) terpercaya dan harus divalidasi secara rutin untuk memastikan keabsahannya.
Untuk enkripsi at rest, data sensitif seperti nomor rekening, nomor kartu, PIN, dan password harus dienkripsi menggunakan algoritma enkripsi yang telah teruji (AES-256 atau setara). Kunci enkripsi harus disimpan terpisah dari data terenkripsi dan dikelola melalui Hardware Security Module (HSM) atau Key Management Service (KMS) yang aman. PJP harus menerapkan key rotation policy untuk secara berkala mengganti kunci enkripsi guna mengurangi risiko kompromi kunci.
| PENTING | Kegagalan menerapkan enkripsi yang memadai dapat mengakibatkan exposure data sensitif nasabah dan membuka peluang fraud. Auditor Bank Indonesia secara rutin memverifikasi implementasi enkripsi melalui penetration testing dan code review. PJP yang terbukti tidak menerapkan enkripsi yang sesuai standar dapat dikenakan teguran, denda, atau pembatasan kegiatan operasional. |
Tokenisasi dan Secure Element
PBI 23/2021 mendorong PJP untuk menerapkan tokenisasi sebagai mekanisme untuk mengurangi exposure data kartu pembayaran. Tokenisasi adalah proses mengganti data sensitif (seperti Primary Account Number/PAN) dengan token unik yang tidak berisi informasi sensitif dan tidak dapat di-reverse untuk mendapatkan kembali data asli. Token dapat digunakan dalam multiple channels dan devices tanpa perlu menyimpan atau mengirimkan data kartu asli.
Selain tokenisasi software-based, PJP juga didorong menggunakan secure element yang merupakan lingkungan komputasi terpisah dalam perangkat yang terlindungi dengan level keamanan tinggi. Secure element dapat berupa embedded SIM, embedded microSD, atau virtualized secure element tergantung pada teknologi yang digunakan. Data dalam secure element tetap aman meski perangkat host (smartphone/tablet) telah dikompromikan oleh malware.
Butuh Bantuan dari Strategi sampai Implementasi?
Dari pemetaan kewajiban PBI 23 hingga penguatan governance, risk, dan security controls, Bitlion membantu perusahaan bergerak lebih cepat dengan pendekatan konsultatif dan praktis.
Penandatanganan Transaksi dan Non-Repudiation
Setiap transaksi pembayaran harus ditandatangani secara digital menggunakan mekanisme yang memastikan authentic, integrity, dan non-repudiation. Penandatanganan ini berfungsi sebagai bukti bahwa transaksi telah disetujui oleh pemilik rekening dan mencegah pemilik rekening mengingkari telah melakukan transaksi. Skema tanda tangan digital yang umum digunakan termasuk Public Key Infrastructure (PKI) dengan asymmetric cryptography atau Message Authentication Code (MAC) untuk keamanan symmetric.
PJP wajib memelihara audit trail lengkap yang mencatat setiap tahapan transaksi, siapa yang melakukan autentikasi, kapan autentikasi dilakukan, metode autentikasi yang digunakan, dan status penyelesaian transaksi. Audit trail ini harus tidak dapat diubah (immutable) dan dapat disajikan sebagai bukti dalam audit, investigasi fraud, atau penyelesaian perselisihan dengan nasabah.
| Aspek Keamanan | Persyaratan PBI 23/2021 | Tujuan Utama |
|---|---|---|
| Autentikasi Nasabah | Multi-factor authentication (minimal 2 faktor) | Memverifikasi identitas pengguna dan mencegah unauthorized access |
| Enkripsi In Transit | TLS 1.2+ dengan cipher suite kuat, sertifikat CA terpercaya | Melindungi data transaksi dari eavesdropping selama perjalanan |
| Enkripsi At Rest | AES-256 atau setara untuk data sensitif, key rotation teratur | Melindungi data transaksi dalam penyimpanan dari akses tidak sah |
| Tokenisasi | Penggantian PAN dengan token unik yang tidak reversible | Mengurangi surface area serangan dengan tidak menyimpan data sensitif |
| Hardware Security Module | Manajemen kunci melalui HSM atau KMS yang aman | Memastikan kunci enkripsi tidak dapat diakses oleh pihak tidak berwenang |
| Non-Repudiation | Penandatanganan digital untuk setiap transaksi | Membuktikan bahwa transaksi telah disetujui dan tidak dapat disangkal |
Kontrol Transaksi dan Monitoring Real-time
PBI 23/2021 mengharuskan PJP menerapkan kontrol transaksi yang komprehensif untuk mendeteksi dan mencegah transaksi yang mencurigakan atau tidak normal. Kontrol ini mencakup velocity checks (pengecekan kecepatan dan frekuensi transaksi), amount limits (batas maksimal transaksi per kategori), dan geographic checks (deteksi transaksi dari lokasi geografis yang tidak biasa). PJP juga wajib menerapkan real-time monitoring menggunakan sistem scoring dan rules engine untuk mengidentifikasi pola transaksi yang anomali.
Ketika sistem monitoring mendeteksi transaksi yang suspicious, sistem harus secara otomatis memberikan respons sesuai dengan severity risikonya. Respons dapat berupa challenge untuk autentikasi tambahan, blocking transaksi sementara pending manual review, atau referral ke tim fraud investigation untuk investigasi lebih lanjut. PJP harus memiliki SLA (Service Level Agreement) yang jelas untuk penyelesaian challenge dan approval/rejection transaksi yang sedang di-queue.
Standar API Pembayaran Terbuka (SNAP)
Untuk transaksi melalui saluran API terbuka (open banking/open payment), PBI 23/2021 mewajibkan PJP menerapkan standar API yang telah ditetapkan Bank Indonesia yaitu SNAP (Standar Nasional Open API Pembayaran). SNAP mendefinisikan persyaratan keamanan spesifik untuk API endpoints termasuk OAuth 2.0 untuk autentikasi aplikasi, TLS untuk enkripsi in transit, signing request/response menggunakan JWS (JSON Web Signature), dan rate limiting untuk mencegah brute force atau DoS attacks.
PJP yang menyediakan API untuk pihak ketiga harus menerapkan mekanisme API key rotation, scope-based authorization untuk membatasi akses hanya ke fitur yang diperlukan, dan comprehensive logging untuk setiap API call. Third-party developer harus menjalani proses onboarding yang ketat termasuk verification identitas, compliance assessment, dan security certification sebelum diberi akses ke production API.
| Mekanisme Kontrol | Penerapan | Frekuensi Monitoring |
|---|---|---|
| Velocity Checks | Batas maksimal transaksi per jam, hari, bulan berdasarkan profil nasabah | Real-time per transaksi |
| Geographic Checks | Deteksi login/transaksi dari lokasi yang tidak biasa atau negara terlarang | Real-time per session |
| Device Fingerprinting | Tracking device ID, IP address, user agent untuk mendeteksi device baru | Per transaksi dan per session |
| Behavioral Analysis | Machine learning untuk mengidentifikasi deviasi dari pola transaksi normal | Continuous learning dan real-time scoring |
| Amount Limits | Batas transaksi per jenis transaksi, beneficiary, dan kategori | Real-time per transaksi |
| Whitelist/Blacklist | Pemeliharaan daftar beneficiary/merchant yang preapproved atau banned | Update regular, enforce real-time |
| Manual Review Queue | Escalation untuk transaksi dengan risk score tinggi untuk review manual | On-demand dengan SLA resolution |
Kepatuhan dan Audit Keamanan
Bank Indonesia melakukan audit keamanan periodik terhadap PJP untuk memverifikasi compliance dengan standar keamanan yang ditetapkan dalam PBI 23/2021. Audit mencakup technical testing seperti penetration testing, vulnerability scanning, dan code review untuk mengidentifikasi kelemahan keamanan. PJP diwajibkan untuk melakukan remediation terhadap findings audit dalam timeframe yang ditentukan dan melaporkan status remediation secara berkala ke Bank Indonesia.
PJP juga wajib melakukan internal security assessment minimal setiap tahun dan sesaat ada perubahan signifikan dalam infrastruktur atau aplikasi. Third-party assessment oleh security auditor independent direkomendasikan untuk memberikan assurance tambahan. Hasil assessment harus didokumentasikan dan digunakan sebagai input untuk improvement plan. Kegagalan mengatasi security gaps yang significant dapat mengakibatkan enforcement action dari Bank Indonesia termasuk denda dan pembatasan operasional.