Arsitektur Regulasi: PBI dan PADG
Peraturan Bank Indonesia (PBI) 23/6/PBI/2021 adalah regulasi induk yang menetapkan prinsip-prinsip fundamental dan kewajiban-kewajiban strategis bagi Penyedia Jasa Pembayaran (PJP). Namun, PBI 23/2021 tidak berdiri sendiri. Implementasi teknis dari setiap kewajiban dirinci lebih lanjut dalam Peraturan Anggota Dewan Gubernur (PADG) yang merupakan aturan pelaksana operasional.
Perbedaan antara PBI dan PADG adalah perbedaan antara apa yang harus dilakukan (PBI) dan bagaimana cara melakukannya (PADG). Misalnya, PBI 23/2021 pasal 19 mewajibkan PJP untuk menerapkan keamanan sistem informasi sesuai standar yang ditetapkan Bank Indonesia. PADG pelaksana kemudian menjabarkan standar tersebut secara teknis: enkripsi menggunakan algoritma AES-256, penetration testing tahunan, multi-factor authentication, dan sebagainya.
Memahami PADG sama pentingnya dengan memahami PBI. PJP yang hanya membaca PBI tanpa PADG pelaksana akan memiliki pemahaman regulasi yang tidak lengkap dan berpotensi melewatkan kewajiban teknis yang sangat spesifik. Koordinasi antara kepatuhan terhadap PBI dan PADG adalah fondasi dari program kepatuhan PJP yang efektif.
Tujuh Bab PBI 23/2021
Struktur PBI 23/2021 terdiri dari tujuh bab utama. Setiap bab mengatasi dimensi berbeda dari regulasi sistem pembayaran:
| Bab | Judul Bab | Jumlah Pasal | Substansi Utama | Relevansi Operasional |
|---|---|---|---|---|
| I | Ketentuan Umum | 3 pasal | Definisi, ruang lingkup, penerapan regulasi | Fondasi: semua pihak harus memahami dengan jelas |
| II | Perizinan | 11 pasal | Jenis izin, persyaratan, proses permohonan, penolakan | Kritis untuk entitas yang mengajukan izin baru atau perluasan izin |
| III | Penyelenggaraan Kegiatan PJP | 8 pasal | Kewajiban operasional, larangan, standar layanan | Kritis untuk seluruh PJP yang aktif beroperasi |
| IV | Manajemen Risiko dan Tata Kelola | 6 pasal | Kerangka manajemen risiko, tata kelola TI, keamanan informasi | Kritis untuk compliance officers, IT teams, dan risk managers |
| V | Perlindungan Konsumen | 4 pasal | Transparansi informasi, mekanisme pengaduan, ganti rugi | Kritis untuk tim produk dan layanan konsumen |
| VI | Pengawasan dan Sanksi | 5 pasal | Mekanisme pengawasan Bank Indonesia, sanksi administratif | Relevan untuk semua PJP dalam konteks hubungan dengan regulator |
| VII | Ketentuan Penutup | 3 pasal | Ketentuan peralihan, pencabutan regulasi lama, mulai berlaku | Kritis selama masa transisi dari regulasi lama |
| KONSEP KUNCI | PBI 23/2021 adalah regulasi induk yang menetapkan prinsip dan kewajiban utama. Detail teknis implementasi diatur dalam PADG pelaksana yang sering kali lebih operasional dan spesifik. PJP yang hanya membaca PBI tanpa PADG berisikonya memiliki pemahaman regulasi yang tidak lengkap dan berpotensi melewatkan kewajiban teknis yang sangat spesifik. |
Pasal-Pasal Kunci yang Paling Berdampak Operasional
Di antara 40 pasal dalam PBI 23/2021, beberapa pasal memiliki dampak operasional yang lebih besar daripada yang lain. Pasal-pasal ini secara langsung menentukan aktivitas sehari-hari PJP:
| Pasal | Substansi | Jenis Kewajiban | Batas Waktu / Periode |
|---|---|---|---|
| Pasal 6 | Kelompok kegiatan PJP dan persyaratan per kelompok | Perizinan dan Operasional | Sebelum mulai beroperasi; berkelanjutan |
| Pasal 9 | Modal disetor minimum per kelompok kegiatan | Permodalan | Berkelanjutan selama operasional; evaluasi berkala |
| Pasal 15 | Kewajiban pengelolaan dana nasabah (float) | Operasional dan Perlindungan Dana | Berkelanjutan; laporan bulanan ke BI |
| Pasal 19 | Persyaratan keamanan sistem informasi minimum | Teknis dan Keamanan | Berkelanjutan; uji penetrasi tahunan |
| Pasal 22 | Kewajiban interoperabilitas dan implementasi SNAP | Teknis dan Standar | Sesuai timeline Bank Indonesia |
| Pasal 25 | Kewajiban perlindungan konsumen: transparansi dan pengaduan | Layanan Konsumen | Berkelanjutan; respons pengaduan dalam SLA |
| Pasal 29 | Kewajiban notifikasi insiden 2x24 jam kepada Bank Indonesia | Insiden dan Pelaporan | Per kejadian insiden; sangat time-sensitive |
| Pasal 33 | Kewajiban pelaporan berkala kepada Bank Indonesia | Pelaporan dan Transparansi | Sesuai jadwal laporan yang ditetapkan BI (bulanan, triwulanan, tahunan) |
| PENTING | Pasal 29 tentang notifikasi insiden 2x24 jam adalah salah satu kewajiban dengan konsekuensi paling langsung jika dilanggar. Banyak PJP yang melanggar kewajiban ini bukan karena tidak mengetahuinya, melainkan karena tidak memiliki prosedur manajemen insiden yang cukup cepat untuk mengidentifikasi, menilai, dan melaporkan insiden dalam tenggat waktu tersebut. |
PADG Pelaksana yang Wajib Dipahami PJP
Bank Indonesia telah menerbitkan beberapa PADG yang secara langsung mengimplementasikan kewajiban-kewajiban dalam PBI 23/2021:
| PADG | Fokus Substansi | Relevansi untuk PJP |
|---|---|---|
| PADG tentang Penyelenggaraan Kegiatan PJP | Detail operasional, pelaporan, manajemen risiko | Sangat tinggi: semua PJP harus memahami |
| PADG tentang Standar Nasional Open API Pembayaran (SNAP) | Spesifikasi teknis API, dokumentasi, keamanan API | Tinggi: khusus PJP yang menyediakan atau mengintegrasikan API |
| PADG tentang QRIS | Standar QR code nasional, persyaratan merchant acquirer | Tinggi: khusus PJP Kelompok 2 (acquirer) |
| PADG tentang BI-FAST | Infrastruktur transfer real-time, persyaratan peserta | Tinggi: khusus PJP Kelompok 3 (transfer dana) |
| PADG tentang Keamanan Informasi | Spesifikasi teknis keamanan TI minimum | Sangat tinggi: semua PJP harus memenuhi |
Hubungan hierarki antara PBI, PADG, dan Surat Edaran Bank Indonesia (SEBI) adalah hierarki regulasi: PBI adalah peraturan tertinggi, PADG adalah aturan pelaksana yang menjabarkan PBI, dan SEBI adalah klarifikasi atau pengumuman teknis dari implementasi PADG. Semua tingkatan ini mengikat PJP.
Butuh Bantuan dari Strategi sampai Implementasi?
Dari pemetaan kewajiban PBI 23 hingga penguatan governance, risk, dan security controls, Bitlion membantu perusahaan bergerak lebih cepat dengan pendekatan konsultatif dan praktis.
Jadwal Kewajiban: Mana yang Berlaku Segera, Mana yang Bertahap
Tidak semua kewajiban dalam PBI 23/2021 berlaku pada tanggal yang sama. Beberapa berlaku segera, sementara yang lain diberikan periode transisi untuk implementasi:
| Kewajiban | Berlaku Sejak | Tenggat Penuh | Catatan Transisi |
|---|---|---|---|
| Kewajiban permohonan izin PJP (bagi PJP baru) | 1 Juli 2021 | Sesuai ketentuan peralihan pasal 38-39 | PJP lama yang sudah beroperasi diberi masa transisi hingga 2 tahun |
| Implementasi SNAP | Bertahap per modul | 2022–2023 | Bank Indonesia menerbitkan jadwal implementasi per modul fitur |
| Keterhubungan BI-FAST | Bertahap per kategori peserta | 2021–2022 | Peserta langsung (bank) vs peserta tidak langsung (PJP non-bank) |
| Standar keamanan minimum | 1 Juli 2021 | Segera berlaku dan berkelanjutan | Penetration testing tahunan mulai berlaku sejak tahun pertama operasional |
| Kewajiban QRIS | Bertahap per channel | Sesuai jadwal ASPI/Bank Indonesia | Merchant acquirer wajib mendukung QRIS sesuai timeline yang ditetapkan |
Cara Membaca PBI 23/2021 secara Efektif
PBI 23/2021 adalah dokumen regulasi yang padat dan teknis. Membacanya memerlukan pendekatan strategis. Urutan pembacaan yang disarankan adalah: mulai dengan Pasal 1 (Ketentuan Umum) untuk memahami istilah-istilah kunci, kemudian baca Bab II (Perizinan) jika Anda sedang dalam proses permohonan izin, dan lanjutkan dengan Bab III (Penyelenggaraan Kegiatan) yang merupakan bagian inti kewajiban operasional.
Untuk praktisi kepatuhan (compliance officers), prioritasnya berbeda dari praktisi teknologi (CISOs, CTOs). Compliance officers harus memahami keseluruhan Bab IV (Manajemen Risiko dan Tata Kelola) dan Bab VI (Pengawasan dan Sanksi). CISOs harus memfokuskan pada Pasal 19 dan PADG tentang Keamanan Informasi. Product managers harus memahami Bab V (Perlindungan Konsumen) dan implikasinya terhadap desain produk.
Kesalahan umum adalah membaca hanya PBI tanpa PADG pelaksana. Ini memberikan gambaran yang tidak lengkap. Praktik terbaik adalah membaca PBI sebagai prinsip, kemudian langsung membaca PADG terkait untuk detail implementasi teknis.
Pembaruan dan Amandemen Pasca Terbit
PBI 23/2021 telah ada sejak 2021, namun peraturan sistem pembayaran terus berkembang. Bank Indonesia secara berkala menerbitkan Surat Edaran Bank Indonesia (SEBI) dan Peraturan Anggota Dewan Gubernur (PADG) yang melengkapi, mengklarifikasi, atau bahkan mengamandemen aspek-aspek spesifik dari PBI 23/2021.
Cara terbaik untuk memantau perubahan regulasi adalah: (1) berlangganan publikasi resmi Bank Indonesia melalui website bi.go.id atau melalui mailing list BI, (2) menggunakan sistem monitoring regulasi yang terintegrasi dengan aplikasi kepatuhan, dan (3) melakukan review regulasi secara berkala (minimal triwulan) dengan tim kepatuhan dan hukum. Sumber resmi pembaruan regulasi BI adalah website Bank Indonesia (bi.go.id), khususnya di bagian "Publikasi" dan "Peraturan". Tidak ada sumber alternatif yang dijamin akurat untuk informasi regulasi BI.
| WAWASAN BITLION | Dalam mendampingi PJP membangun program kepatuhan, Bitlion GRC merekomendasikan pendekatan pemetaan pasal-ke-kontrol: setiap pasal PBI 23/2021 dipetakan ke kontrol operasional spesifik yang harus ada, siapa pemiliknya, dan bagaimana bukti kepatuhannya dihasilkan. Pendekatan ini mengubah teks hukum menjadi matriks kepatuhan yang dapat dioperasionalkan oleh tim yang tidak berlatar belakang hukum. |