Keharusan Pengujian Keamanan dalam PBI 23/2021
PBI 23/2021 memandatkan bahwa setiap Penyedia Jasa Pembayaran melakukan pengujian keamanan secara berkala dan sistematis untuk mengidentifikasi vulnerabilities sebelum attacker dapat memanfaatkannya. Pengujian keamanan bukan hanya compliance exercise melainkan kebutuhan teknis untuk memastikan bahwa sistem pembayaran yang dioperasikan PJP aman dari threats yang terus berkembang. Landscape ancaman cybersecurity bergerak cepat, dengan attacker terus mencari cara baru untuk mengkompromisasi sistem dan mencuri data. Pengujian keamanan yang proaktif memungkinkan PJP untuk mengidentifikasi weakness sebelum system diexploit. Bank Indonesia secara rutin melakukan examination terhadap PJP untuk memverifikasi bahwa testing program berjalan dengan baik dan bahwa findings dari testing ditindaklanjuti dengan cepat dan efektif.
Penetration Testing dan Scope
Penetration testing adalah simulasi dari actual attack untuk mengidentifikasi vulnerabilities yang dapat dimanfaatkan oleh attacker. PBI 23/2021 mengharuskan PJP untuk melakukan penetration testing minimal setiap tahun, atau lebih sering jika terdapat perubahan signifikan pada sistem atau infrastructure. Scope penetration testing harus mencakup semua sistem yang material terhadap pembayaran dan keamanan data, termasuk: payment gateway yang di-expose ke internet, core payment processing systems, settlement systems, customer-facing applications, dan administrative interfaces. Testing harus dilakukan oleh qualified external testers yang independent dan memiliki certified credentials seperti Certified Ethical Hacker (CEH) atau Offensive Security Certified Professional (OSCP). Penetration testing harus mengikuti metodologi yang established seperti OWASP Testing Guide atau NIST SP 800-115, dengan scope yang clearly defined, rules of engagement, dan reporting procedures. Setiap penetration test harus menghasilkan detailed report yang mencakup findings, severity levels, proof-of-concept demonstrations, dan remediation recommendations.
| KONSEP KUNCI | Penetration testing yang efektif memerlukan koordinasi erat antara security team PJP dan external testers. PJP harus mempersiapkan test environment, mendefinisikan scope dan out-of-scope areas, menetapkan escalation procedures untuk emergency scenarios, dan memiliki incident response team on-call untuk handle unexpected consequences. |
Vulnerability Assessment dan Automated Scanning
Sementara penetration testing adalah exercise yang intensive dan dilakukan berkali-kali per tahun, PJP juga harus melakukan vulnerability assessment secara lebih frequent menggunakan automated scanning tools. Vulnerability scanners dapat mengidentifikasi known vulnerabilities dengan cepat dan relatif cost-effective, seperti: missing security patches, default credentials, misconfigurations, weak encryption, exposed sensitive services, dan CVEs dalam third-party components. PBI 23/2021 mengharuskan vulnerability scanning dilakukan minimal setiap bulan terhadap public-facing systems dan setiap kuartal terhadap internal systems. Hasil scanning harus dianalisis untuk membedakan antara false positives (non-issues) dan true positives (actual vulnerabilities yang perlu remediation). Vulnerabilities harus di-prioritize berdasarkan severity dan business criticality, dengan highest-priority items menerima immediate attention. PJP harus memiliki metrics yang tracking trend dari vulnerability counts over time, untuk memastikan bahwa overall security posture membaik.
Source Code Review dan Secure Development
Untuk custom-developed applications yang digunakan dalam sistem pembayaran, PBI 23/2021 mengharuskan bahwa source code di-review untuk mengidentifikasi security flaws sebelum code di-deploy ke production. Source code review dapat dilakukan melalui manual code review oleh experienced security developers, atau dengan menggunakan automated Static Application Security Testing (SAST) tools yang dapat mendeteksi common coding errors yang dapat menyebabkan vulnerabilities. SAST tools dapat mengidentifikasi issues seperti: SQL injection vulnerabilities, buffer overflows, insecure cryptography, hardcoded credentials, dan other code-level vulnerabilities. PJP harus mengintegrasikan security testing ke dalam software development lifecycle (SDLC), dengan security checkpoints sebelum code merge, pull request reviews, dan mandatory SAST scanning sebelum production deployment. Developers harus menerima security training dan awareness tentang common vulnerabilities dan secure coding practices, sehingga vulnerabilities dapat dihindari dari awal development phase.
Audit Keamanan oleh Pihak Independen
Selain internal testing, PBI 23/2021 mengharuskan bahwa PJP melakukan security audit oleh pihak ketiga yang independent dan qualified, minimal setiap tahun. Independent auditor ini dapat berupa big-4 audit firms yang memiliki cybersecurity practice, boutique security audit firms, atau qualified consultants yang memiliki credentials dan experience yang relevan. Scope dari independent audit harus mencakup: review terhadap information security governance dan policies, assessment terhadap implementasi dari security controls, evaluation terhadap compliance dengan PBI 23/2021 requirements, dan overall security risk assessment. Hasil audit harus disajikan dalam formal audit report yang mencakup findings, risk ratings, dan detailed recommendations. Laporan ini harus dipresentasikan kepada board atau audit committee, dan management harus develop action plan untuk address audit findings. Follow-up audit dapat dilakukan di tahun berikutnya untuk memverifikasi bahwa prior year findings telah ditindaklanjuti.
Butuh Bantuan dari Strategi sampai Implementasi?
Dari pemetaan kewajiban PBI 23 hingga penguatan governance, risk, dan security controls, Bitlion membantu perusahaan bergerak lebih cepat dengan pendekatan konsultatif dan praktis.
| PENTING | Findings dari penetration testing, vulnerability scanning, dan security audits harus ditindaklanjuti dengan sistematis dan tepat waktu. High-risk findings harus ditargetkan untuk remediation dalam 30-60 hari, sementara medium-risk dalam 90 hari. PJP harus memiliki issue tracking system yang mencatat status dari setiap finding dan memastikan closure sebelum passing pengguna dapat dikatakan complete. |
Bank Indonesia Examination dan Audit Rights
PBI 23/2021 memberikan Bank Indonesia hak untuk melakukan pemeriksaan langsung terhadap sistem keamanan PJP, termasuk: security audit, penetration testing, source code review, dan interview dengan security personnel. Bank Indonesia dapat menugaskan qualified examiners atau menggunakan third-party vendors untuk melakukan examination ini. Ketika Bank Indonesia melakukan security examination, PJP harus memberikan full cooperation dan access kepada systems, documentation, dan personnel yang diperlukan untuk examination. Findings dari BI examination dapat menjadi basis untuk regulatory action jika terdapat material security deficiencies. PJP harus mempersiapkan untuk examination dengan memastikan documentation tersedia, controls dijalankan dengan baik, dan personnel trained untuk menjelaskan security practices mereka.
Testing dan Remediation Timeline
PBI 23/2021 mengharuskan bahwa findings dari security testing dan audit ditindaklanjuti dengan timeline yang ketat. Untuk critical vulnerabilities yang dapat menyebabkan immediate risk terhadap payment system integrity atau data confidentiality, remediation harus dimulai dalam hitungan hari dan completed dalam 30 hari atau kurang. Untuk high-risk findings, remediation target adalah 60 hari. Untuk medium-risk, target adalah 90 hari. Jika technical remediation tidak mungkin dalam timeframe tersebut, PJP harus mengimplementasikan compensating controls atau mitigating actions sambil waiting untuk permanent fix. Setiap remediation harus di-verify melalui re-testing untuk memastikan bahwa vulnerability benar-benar closed dan tidak ada regressions.
CERT/CSIRT dan Kolaborasi dengan BSSN
PBI 23/2021 mendorong PJP untuk memiliki atau berpartisipasi dalam Cyber Emergency Response Team (CERT) atau Computer Security Incident Response Team (CSIRT) yang dapat merespons security incidents dengan cepat. Untuk PJP yang lebih kecil, dapat bergabung dengan industri CERT atau menggunakan services dari specialized vendors. Kolaborasi dengan BSSN (Badan Siber dan Sandi Negara), lembaga negara yang bertanggung jawab untuk cybersecurity nasional, sangat important. PJP harus mengetahui reporting obligations mereka kepada BSSN untuk certain types of incidents atau vulnerabilities yang dapat mempengaruhi national critical infrastructure. BSSN dapat juga memberikan early warning tentang threats atau vulnerabilities yang specific kepada payment industry.
| Jenis Pengujian | Frekuensi Minimum | Scope Minimum | Owner/Executor |
|---|---|---|---|
| Penetration Testing | Tahunan (lebih sering jika ada perubahan) | Semua sistem material untuk pembayaran | External qualified tester |
| Vulnerability Scanning | Bulanan (public-facing), Quarterly (internal) | Semua production systems | Internal team atau managed service |
| Source Code Review | Sebelum production deployment | Custom payment applications | Developers + security code reviewers |
| SAST Automated Scan | Continuous dalam CI/CD pipeline | Setiap code commit untuk payment apps | Automated tools dalam SDLC |
| Security Audit | Tahunan minimum | Policies, controls, compliance assessment | Independent third party |
| BI Examination | Per BI discretion (typically 1-2 per tahun) | BI determines based on risk profile | BI examiners atau BI-approved vendors |
| Red Team Exercise | Bi-annually recommended | Holistic simulated attack scenario | External qualified red team |
Red Team Exercises dan Scenario-Based Testing
Untuk PJP yang lebih matang, Bank Indonesia merekomendasikan untuk melakukan red team exercises, yaitu simulasi komprehensif dari targeted attack terhadap infrastructure dan people. Red team exercise berbeda dari penetration testing dalam hal scope dan approach: red team tidak hanya fokus pada technical vulnerabilities tetapi juga social engineering, physical security, dan organizational weaknesses. Red team dapat melakukan phishing campaigns, mengidentifikasi misconfigurations yang mungkin terlewat oleh automated tools, atau mendemonstrasikan bagaimana attacker dapat melakukan lateral movement setelah initial compromise. Hasil dari red team exercise memberikan valuable insights tentang overall security maturity dan bagian mana dari organization yang memerlukan improvement dalam awareness atau procedures.
Third-Party Security Assessment untuk Vendor Kritis
Jika PJP menggunakan third-party vendors untuk critical payment services (seperti cloud payment processor, payment gateway provider, atau settlement system), PJP harus melakukan security assessment terhadap vendor tersebut. Assessment dapat mencakup: review dari vendor security policies dan controls, audit dari vendor infrastructure, penetration testing dengan vendor authorization, dan review dari vendor certifications seperti ISO 27001 atau SOC 2. Kontrak dengan vendor harus mencakup clause yang memberikan PJP rights untuk melakukan atau request security assessment, dan vendor harus cooperate dengan assessment tersebut. PJP tetap bertanggung jawab kepada Bank Indonesia atas security dari layanan yang di-outsource, jadi PJP harus memastikan bahwa vendor memenuhi security standards yang setara dengan internal standards PJP.
| Aspek Pengujian | Tujuan Utama | Nilai untuk PJP | Koordinasi dengan BI |
|---|---|---|---|
| Penetration Testing | Identify exploitable vulnerabilities sebelum attacker | Realistic attack simulation, tactical findings | Can be BI-directed or BI-reviewed |
| Vulnerability Scanning | Quick identification dari known CVEs dan misconfigs | Continuous risk monitoring, metric tracking | Logs available for BI examination |
| Source Code Review | Prevent coding flaws yang introduce vulnerabilities | Security by design, developer maturity | Important for custom payment apps |
| Audit Keamanan | Holistic assessment dari security governance & controls | Strategic insights, improvement roadmap | BI trusts third-party audit findings |
| Red Team | Realistic multi-vector attack simulation | Organizational resilience, incident readiness | Emerging best practice, valuable for BI assessment |
| Third-Party Assessment | Due diligence for outsourced payment services | Vendor risk management, accountability | BI oversight of critical vendor relationships |
| Evidence Documentation | Provide audit trail untuk regulatory compliance | Legal protection, incident investigation readiness | BI examines testing evidence & remediation |