Pemerintahan Teknologi Informasi dalam Ekosistem Pembayaran
PBI 23/2021 memandatkan bahwa setiap Penyedia Jasa Pembayaran menerapkan struktur tata kelola teknologi informasi yang robust dan terdokumentasi. Teknologi informasi merupakan fondasi kritis bagi operasi layanan pembayaran yang berkelanjutan dan aman. Keputusan TI yang buruk dapat mengakibatkan outage sistem pembayaran, kehilangan data sensitif konsumen, atau kompromisasi integritas transaksi pembayaran. Oleh karena itu, Bank Indonesia mensyaratkan bahwa IT governance terintegrasi dengan corporate governance PJP secara keseluruhan, dengan peran yang jelas dari dewan, manajemen senior, dan tim teknis. Tata kelola TI harus mencakup proses pengambilan keputusan IT strategis, alokasi sumber daya, risk management teknologi, dan akuntabilitas atas investasi IT.
Komite Steering Teknologi Informasi
PBI 23/2021 mengharuskan PJP untuk membentuk IT Steering Committee (atau setara) yang bertugas menetapkan arah strategis teknologi, meninjau investasi IT besar, dan memonitor kinerja IT terhadap target bisnis. Komite ini harus dipimpin oleh seorang anggota dari senior management (ideally CEO atau CFO) dan mencakup wakil dari unit bisnis utama, fungsi risk dan compliance, serta Chief Information Officer (CIO). Komite harus bertemu minimal sekali setiap kuartal untuk membahas IT strategy, capital expenditure proposal, IT incidents, dan technology risks. Keputusan komite harus didokumentasikan dengan baik dalam meeting minutes dan didistribusikan kepada stakeholder relevan. Bank Indonesia dapat meminta akses ke dokumentasi IT Steering Committee sebagai bagian dari pemeriksaan regulasi.
IT Policy Framework dan IT Architecture
PJP harus mengembangkan dan memelihara serangkaian kebijakan IT yang komprehensif yang mencakup aspek-aspek seperti: governance struktur, investment planning, vendor management, security requirements, data management, disaster recovery, compliance, dan incident management. Setiap kebijakan harus ditulis dengan standar yang jelas, didokumentasikan dengan alasan bisnis, dan dikomunikasikan kepada seluruh karyawan. IT architecture harus didokumentasikan dengan rincian yang mencakup: mapping infrastruktur fisik dan logis, identifikasi sistem kritis, data flow, integration points, dan technical standards yang digunakan. Dokumentasi arsitektur ini harus diperbarui setiap kali ada perubahan signifikan pada sistem atau infrastruktur, dan harus tersedia untuk audit regulatory. Bank Indonesia mengharapkan bahwa PJP memiliki arsitektur yang dirancang dengan scalability, security, dan reliability sebagai prinsip utama.
| KONSEP KUNCI | Tata kelola TI yang efektif memastikan bahwa keputusan investasi teknologi sejalan dengan strategi bisnis PJP, bahwa risiko teknologi dikelola secara proaktif, dan bahwa operasi TI dijalankan dengan efisiensi dan keandalan tinggi. IT governance bukan sekadar compliance exercise melainkan enabler untuk kesuksesan bisnis pembayaran yang sustainable. |
Manajemen Kapasitas dan Perencanaan Sumber Daya
PJP harus memiliki proses capacity planning yang matang untuk memastikan infrastruktur TI dapat menangani pertumbuhan transaksi pembayaran tanpa degradasi layanan. Capacity planning harus mencakup: forecasting traffic pembayaran berdasarkan tren historis dan growth targets, identifikasi bottleneck infrastruktur, perencanaan upgrade atau ekspansi, dan buffer kapasitas untuk mengakomodasi spike dalam permintaan. Proses ini harus dilakukan minimal setiap enam bulan, atau lebih sering jika terdapat perubahan signifikan dalam business model atau volume transaksi. PJP harus mengalokasikan sumber daya IT secara tepat, baik dalam hal hardware, software licenses, bandwidth jaringan, maupun tenaga kerja teknis. Undercapacity dapat menyebabkan bottleneck dan degradasi performa, sementara overcapacity menyebabkan pemborosan investasi yang tidak perlu.
Ketersediaan Sistem dan SLA (Service Level Agreement)
PBI 23/2021 mengharuskan PJP untuk menetapkan dan memenuhi target ketersediaan sistem (uptime) yang sesuai dengan kritikalitas layanan pembayaran. Untuk layanan pembayaran yang kritis seperti real-time transfer atau settlement gateway, uptime target harus sangat tinggi, minimal 99.5% atau bahkan 99.9%. Untuk layanan pendukung, uptime dapat sedikit lebih rendah namun masih harus memenuhi standar industri. PJP harus mendokumentasikan SLA yang jelas untuk setiap sistem pembayaran kritis, termasuk: target uptime, maintenance window yang diizinkan, time-to-respond untuk incidents, dan penalties atau remediation jika SLA tidak terpenuhi. SLA ini harus dikomunikasikan kepada stakeholder internal (seperti unit bisnis) maupun eksternal (seperti mitra pembayaran atau end users jika relevan). Monitoring dan reporting terhadap SLA compliance harus dilakukan setiap bulan untuk mengidentifikasi tren dan area improvement.
Audit TI dan Pemeriksaan Sistem
Fungsi audit internal PJP harus memiliki keahlian atau mendapatkan support dari auditor IT untuk mengevaluasi efektivitas IT controls dan compliance terhadap IT policies. Audit IT harus dilakukan minimal setiap tahun, mencakup: review atas IT governance framework, assessment terhadap IT security controls, testing transactional controls dalam sistem pembayaran, dan evaluation terhadap IT risk management processes. Hasil audit IT harus dilaporkan kepada Audit Committee dan senior management, dengan rekomendasi untuk perbaikan. Bank Indonesia juga memiliki hak untuk melakukan pemeriksaan langsung terhadap sistem TI PJP, termasuk: audit trail tracing, source code review, security testing, dan interview dengan tim IT. PJP harus memfasilitasi pemeriksaan regulatory ini dan menyediakan akses ke dokumentasi sistem, serta menunjukkan bukti bahwa findings dari audit sebelumnya telah ditindaklanjuti.
Butuh Bantuan dari Strategi sampai Implementasi?
Dari pemetaan kewajiban PBI 23 hingga penguatan governance, risk, dan security controls, Bitlion membantu perusahaan bergerak lebih cepat dengan pendekatan konsultatif dan praktis.
| PENTING | SLA untuk sistem pembayaran kritis harus realistis namun challenging. PJP harus memiliki kapabilitas untuk memantau SLA compliance secara real-time menggunakan monitoring tools, dan harus memiliki incident response plan yang jelas untuk mengatasi violations SLA. |
| Komponen IT Governance | Persyaratan Minimum | Frekuensi Review |
|---|---|---|
| IT Steering Committee | Dibentuk, min 1x quarter, documented | Quarterly |
| IT Policy Framework | Minimal 10 kebijakan utama, published | Tahunan atau saat ada perubahan |
| IT Architecture Documentation | Detail lengkap, updated, accessible to audit | Setiap ada perubahan signifikan |
| Capacity Planning | Forecast 12-24 bulan, SLA targets, buffer | 6 bulan atau lebih frequent |
| System Uptime Monitoring | Real-time monitoring, monthly reporting | Continuous & Monthly |
| Audit IT Program | Annual internal audit, Bank Indonesia access | Tahunan minimum |
| Incident Response Plan | Documented, tested, escalation procedures | Tahunan testing, quarterly review |
Integrasi Manajemen Risiko Teknologi
Risk management dalam domain TI harus terintegrasi dengan enterprise risk management PJP secara keseluruhan. PJP harus mengidentifikasi risiko teknologi utama (seperti: system unavailability, data breach, cyber attack, vendor failure, technical obsolescence) dan memasukkannya ke dalam risk register korporat. Setiap risiko TI harus memiliki owner yang jelas (biasanya CIO atau technology director) dan strategi perlakuan risiko yang didokumentasikan. Risk appetite untuk teknologi harus ditetapkan di tingkat board, misalnya: "Kami tidak dapat mentoleransi downtime layanan pembayaran kritis lebih dari 4 jam per tahun" atau "Kami harus mencapai minimum CVSS 7.0 vulnerability patching dalam 30 hari". Monitoring terhadap TI risk position harus dilakukan secara berkala dan dilaporkan kepada risk committee dan board.
Vendor IT dan Outsourcing Management
Sebagian besar PJP menggunakan vendor IT untuk mendapatkan specialized capabilities atau cost efficiency. Namun, PBI 23/2021 sangat jelas bahwa PJP tetap bertanggung jawab atas keamanan dan keandalan sistem yang di-outsource. Oleh karena itu, PJP harus memiliki proses due diligence yang ketat sebelum memilih vendor, termasuk: assessment terhadap financial stability vendor, technical capabilities, security practices, track record support dan incidents. Kontrak dengan vendor IT harus mencakup persyaratan minimum untuk security, data handling, audit rights, SLA, disaster recovery, dan exit procedures. PJP harus melakukan ongoing monitoring terhadap vendor, melalui: quarterly business reviews, security audit, incident reporting, dan periodic on-site visits. PJP juga harus memiliki contingency plan jika vendor gagal atau insolvent.
Disaster Recovery dan Business Continuity untuk Sistem TI
PBI 23/2021 mengharuskan PJP untuk memiliki disaster recovery plan (DRP) yang komprehensif untuk semua sistem pembayaran kritis, dengan Recovery Time Objective (RTO) dan Recovery Point Objective (RPO) yang didefinisikan dengan jelas. RTO adalah waktu maksimal yang dapat diterima untuk mengembalikan sistem ke operasi normal setelah terjadi disaster, sementara RPO adalah jumlah data maksimal yang dapat hilang dalam disaster scenario. Untuk sistem pembayaran kritis, RTO biasanya sangat ketat (4-24 jam) dan RPO hampir-hampir zero (real-time replication). PJP harus memiliki alternate processing site atau cloud backup infrastructure yang siap untuk activation jika primary data center mengalami kegagalan total. DRP harus di-test minimal setiap tahun melalui tabletop exercise, simulation, atau full failover test untuk memastikan bahwa semua prosedur berfungsi seperti yang direncanakan.
| Aspek IT Governance | Implementasi Tipikal PJP | Fokus Regulasi BI |
|---|---|---|
| CIO Reporting Line | Directly to CEO atau CFO, independent dari operasi | Ensure strategic alignment & independence |
| Investment Governance | IT Steering Committee approval untuk projects >threshold | Alignment dengan business strategy & risk tolerance |
| Vendor Management | Quarterly reviews, SLAs, audit rights dalam kontrak | PJP accountability meski layanan di-outsource |
| Disaster Recovery RTO/RPO | RTO 4-24h untuk kritis, RPO near-zero untuk settlement | Continuity of critical payment services |
| Uptime Target | 99.5-99.9% untuk payment systems, 99% untuk supporting | High availability untuk customer confidence |
| Security Testing | Pentesting annually, vulnerability scanning monthly | Proactive threat detection & mitigation |
| Capacity Planning | Growth forecast, bottleneck analysis, infrastructure roadmap | Prevent degradation saat scaling up |