Manajemen Risiko Pihak Ketiga PJP

Prinsip Akuntabilitas PJP untuk Layanan Outsourced

PBI 23/2021 menetapkan prinsip fundamental bahwa Penyedia Jasa Pembayaran tetap fully accountable kepada Bank Indonesia dan kepada pelanggan pembayaran atas kualitas, keamanan, dan reliability dari semua layanan pembayaran yang ditawarkan, termasuk layanan yang di-outsource kepada pihak ketiga. Tidak ada transfer of responsibility ketika PJP menggunakan vendor eksternal atau partner untuk operasi tertentu. Oleh karena itu, third-party risk management bukan optional—ia adalah critical component dari overall risk management framework PJP. Bank Indonesia akan hold PJP accountable jika vendor mereka melakukan breach keamanan, service failure, atau operational lapses. Prinsip ini disebut "the responsibility goes with the service"—jika PJP menawarkan service, PJP harus memastikan bahwa service delivered secara aman dan reliably, apakah delivered langsung oleh internal team atau melalui vendor.

 

Vendor Due Diligence dan Seleksi

Sebelum PJP memasuki engagement dengan vendor untuk critical payment services, PJP harus melakukan comprehensive due diligence untuk memastikan bahwa vendor memiliki financial stability, technical capabilities, security practices, dan operational maturity yang memadai. Due diligence harus mencakup: review dari vendor financial statements untuk ensure financial viability, assessment dari vendor technical infrastructure dan capability untuk handle required volume, evaluation dari vendor security practices dan certifications (seperti ISO 27001, SOC 2), review dari vendor references dan track record dengan previous clients, assessment dari vendor management team dan organizational structure, dan identification dari any regulatory or legal issues. Untuk critical vendors yang menangani high-volume transactions atau sensitive data, on-site visit untuk inspect vendor infrastructure dapat recommended. Due diligence report harus di-dokumentasi dan approved oleh risk management function sebelum engagement disetujui.

KONSEP KUNCIVendor classification harus dilakukan untuk determine the level of due diligence dan ongoing monitoring required. Vendors yang critical (e.g., payment gateway provider, settlement partner, core system provider) harus subject ke highest level of scrutiny, sementara vendors untuk non-critical services dapat undergo lighter due diligence. Classification harus berdasarkan: impact if vendor fails (is service critical to PJP operations?), sensitivity dari data handled (does vendor access customer personal data?), dan complexity dari vendor relationship.

 

Vendor Kontrak dan Minimum Terms

Setiap engagement dengan vendor harus di-formalize melalui detailed contract yang menetapkan clear terms dan expectations. PBI 23/2021 mengharuskan bahwa vendor contracts untuk critical payment services mencakup minimum terms, yaitu: clear definition dari services didelivered, Service Level Agreements (SLAs) dengan specific uptime targets, security requirements yang setara dengan PJP internal standards, audit rights yang memberikan PJP hak untuk audit vendor operations dan inspect compliance, data handling requirements termasuk encryption, access controls, dan data retention, incident notification procedures dengan defined timelines, disaster recovery dan business continuity requirements, intellectual property provisions, liability dan indemnification clauses, dan termination clauses yang memungkinkan PJP untuk exit relationship dengan reasonable notice. Kontrak harus di-reviewed oleh legal, compliance, dan risk teams sebelum execution. Updates ke kontrak harus di-track dan approved secara formal.

 

Konsentrasi Risiko dengan Vendor Kritis

PBI 23/2021 mengidentifikasi concentration risk dengan critical third-party vendors sebagai material risk yang harus dikelola. Jika PJP menjadi over-reliant pada single vendor untuk layanan critical, dan vendor tersebut mengalami failure, dampak terhadap PJP operations dapat catastrophic. Oleh karena itu, untuk vendor yang paling critical, PJP harus consider diversification strategy: menggunakan multiple vendors untuk same service (redundancy), atau memiliki alternative sourcing arrangement yang dapat di-activate jika primary vendor mengalami kegagalan. Untuk vendors yang kurang critical, single-vendor arrangement mungkin acceptable asalkan PJP memiliki contingency plan. Concentration risk assessment harus dilakukan setiap tahun sebagai bagian dari risk register update.

 

Cloud Service Provider Requirements

Increasingly, PJP menggunakan cloud service providers (CSPs) untuk infrastructure, platform, atau software services. Cloud services dapat menawarkan scalability dan cost advantages, tetapi juga introduce unique risks terhadap data residency, access control, dan vendor viability. PBI 23/2021 mengharuskan bahwa jika PJP menggunakan cloud services, PJP harus memastikan: data residency compliance (customer data harus stored di Indonesia atau in jurisdiction approved oleh BI), encryption of data both in-transit dan at-rest, access control terhadap customer data (CSP personnel tidak dapat access without authorization), audit trails untuk semua access to customer data, disaster recovery capability dari cloud provider, dan SLA yang menentukan uptime dan performance targets. PJP harus melakukan regular audits dari CSP compliance dengan these requirements, baik through CSP certifications (seperti SOC 2 Type II) atau through third-party audit.

 

Ongoing Vendor Monitoring

Due diligence adalah one-time point-in-time assessment, tetapi vendor situation dapat change over time. Oleh karena itu, PJP harus melakukan ongoing monitoring dari critical vendors untuk ensure continued compliance dengan contractual terms dan maintained performance. Ongoing monitoring dapat include: quarterly business reviews dengan vendor untuk discuss performance, quarterly SLA reports to verify uptime targets being met, annual security audit atau assessment of vendor controls, monitoring dari vendor financial health (including news about financial distress or regulatory action), incident reporting dari vendor untuk any security events atau service disruptions, and periodic on-site visits untuk critical vendors. Monitoring results harus di-aggregate dan reviewed oleh management setiap kuartal, dengan escalation untuk any material issues.

PENTINGVendor performance metrics harus tracked quantitatively dengan SLA dashboards atau scorecards yang provide visibility ke management. SLA violations harus be investigated dan root cause addressed, dengan corrective action plan dari vendor jika necessary. Repeated SLA violations mungkin trigger vendor replacement atau contract renegotiation.

 

Vendor Exit Planning dan Transition Management

PJP harus plan untuk scenario di mana relationship dengan critical vendor akan diakhiri—either karena vendor chosen untuk switch ke better alternative, atau karena vendor mengalami failure atau insolvency. Exit planning harus include: knowledge transfer dari vendor kepada PJP atau replacement vendor, backup of all data dan intellectual property maintained oleh vendor, transition plan dengan timeline untuk migrating dari legacy vendor to new vendor, staff training untuk new systems atau processes, testing sebelum cutover untuk ensure systems function correctly. Untuk critical services, transition period harus overlapped (running both old dan new systems in parallel) untuk minimize disruption risk. PJP harus test vendor exit procedures setiap few years untuk ensure readiness.

Butuh Bantuan dari Strategi sampai Implementasi?

Dari pemetaan kewajiban PBI 23 hingga penguatan governance, risk, dan security controls, Bitlion membantu perusahaan bergerak lebih cepat dengan pendekatan konsultatif dan praktis.

Lihat Solusi Bitlion untuk PJP

 

Critical Service Provider Reporting kepada Bank Indonesia

PBI 23/2021 mengharuskan PJP untuk identify dan maintain list dari critical third-party service providers—vendors yang jika gagal, akan cause significant disruption to payment services. List ini harus di-report kepada Bank Indonesia dan updated annually. Untuk setiap critical vendor, PJP harus maintain documentation tentang: vendor name dan contact information, services provided dan criticality rating, financial stability assessment, security profile, SLA commitments, dan contingency plans. Bank Indonesia dapat request detailed information tentang vendor arrangements dan dapat conduct examination of vendor operations jika Bank Indonesia assess bahwa vendor presents material risk.

 

Prohibited Outsourcing Arrangements

PBI 23/2021 menetapkan beberapa outsourcing arrangements yang prohibited atau highly restricted. Secara umum, PJP tidak dapat outsource core payment processing functions, risk management functions, atau compliance functions kepada vendors yang tidak subject to same regulatory oversight. Specific prohibitions mungkin include: tidak dapat outsource fraud detection/prevention ke vendor yang tidak punya expertise dan capability, tidak dapat outsource compliance function to vendor yang tidak understand payment regulation, tidak dapat outsource core payment switching/settlement logic. Fungsi-fungsi ini adalah terlalu critical dan require tight integration dengan PJP governance dan oversight yang mungkin sulit achieved dengan external vendor. PJP dapat outsource supporting functions seperti: IT infrastructure services (cloud hosting, backup), customer service (call center), data analytics (untuk non-sensitive analysis), dan facilities management.

 

Domestic Data Processing Requirements

PBI 23/2021 mengharuskan bahwa personal data dari pelanggan pembayaran Indonesia di-process dan di-store di within Indonesian territory, atau in data centers yang comply dengan Indonesian data protection laws. Cross-border data transfer diizinkan hanya untuk specific purposes dan dengan specific safeguards, seperti: adequacy finding dari Indonesian regulator, Standard Contractual Clauses atau Binding Corporate Rules yang protect data, atau explicit customer consent. Requirement ini adalah implementation dari UU Perlindungan Data Pribadi No. 27/2022 dan komitmen BI untuk ensure sovereignty atas payment data. Jika PJP menggunakan cloud provider yang operates global infrastructure, PJP harus ensure melalui contract dan technical controls bahwa Indonesian customer data tetap stored dalam Indonesian jurisdiction.

Tahap Third-Party ManagementActivities & RequirementsResponsible PartyDokumentasi
Due Diligence & SeleksiFinancial assessment, security review, reference check, on-site visit untuk critical vendorsProcurement + Risk + ComplianceDue diligence report, approval memo
Kontrak NegotiationSLA definition, security terms, audit rights, data protection clausesLegal + Risk + Business ownerSigned contract dengan schedule of services & SLAs
OnboardingKnowledge transfer, credential setup, testing, staff trainingBusiness owner + IT operationsOnboarding checklist, training records
Ongoing MonitoringQuarterly SLA reviews, annual security audits, incident trackingVendor manager + RiskQuarterly monitoring report to management
Issues & EscalationSLA violation investigation, corrective action plans, performance reviewsVendor manager + OperationsIssue log, corrective action tracking
Exit PlanningKnowledge transfer, data backup, transition plan, parallel run testingBusiness owner + IT + LegalTransition plan, cutover checklist
Reporting to BICritical vendor list, changes in vendor arrangements, SLA violations/incidentsCompliance + RiskAnnual BI reporting, incident notifications
Jenis VendorKritikalitasDue Diligence DepthMonitoring FrequencyContract Terms
Payment Gateway ProviderCRITICALIntensive (financial, security, on-site)Monthly SLA, quarterly auditStringent SLAs, audit rights, redundancy
Settlement PartnerCRITICALIntensiveMonthly SLA, quarterly auditVery stringent SLAs, security focus
Cloud Infrastructure (Hosting)CRITICALIntensiveMonthly SLA, quarterly security auditData residency, encryption, access control
Core Payment Processing SystemCRITICALIntensiveContinuous monitoring, quarterly reviewHigh SLA, 24/7 support, disaster recovery
Customer Service / Call CenterMEDIUMModerate (reputation, quality)Quarterly reviewStandard SLAs, quality metrics
IT Facilities / Data CenterMEDIUMModerateQuarterly reviewPhysical security, redundancy requirements
Legal / Audit ConsultingLOWLight (credential, experience)Annual engagement reviewConfidentiality, independence requirements

Fondasi PBI 23/2021

Perizinan PJP

Manajemen Risiko dan Tata Kelola PJP

Operasional dan Layanan PJP

Pengawasan Bank Indonesia dan Penegakan Hukum

PBI 23/2021 dalam Konteks yang Lebih Luas