Justisio

​Peraturan Anggota Dewan Gubernur Nomor 24 Tahun 2024 tentang Keamanan Sistem Informasi dan Ketahanan Siber bagi Penyelenggara Sistem Pembayaran, Pelaku Pasar Uang dan Pasar Valuta Asing, serta Pihak Lain yang Diatur dan Diawasi Bank Indonesia

Dasar Hukum
Peraturan Terkait
Histori
Lampiran

Pasal 1

Dalam Peraturan Anggota Dewan Gubernur ini yang dimaksud dengan:
1.
Sistem Informasi adalah keterpaduan antara komponen data, informasi, sistem aplikasi, infrastruktur teknologi informasi, proses, dan/atau manusia yang saling berinteraksi untuk mencapai suatu tujuan.
2.
Siber adalah ruang yang bersifat virtual yang dibentuk dari Sistem Informasi.
3.
Sistem Pembayaran adalah suatu sistem yang mencakup seperangkat aturan, lembaga, mekanisme, infrastruktur, sumber dana untuk pembayaran, dan akses ke sumber dana untuk pembayaran, yang digunakan untuk melaksanakan pemindahan dana guna memenuhi suatu kewajiban yang timbul dari suatu kegiatan ekonomi.
4.
Sistem Keuangan adalah suatu kesatuan yang terdiri atas lembaga jasa keuangan, pasar keuangan, dan infrastruktur keuangan, termasuk Sistem Pembayaran, yang berinteraksi dalam memfasilitasi pengumpulan dana masyarakat dan pengalokasiannya untuk mendukung aktivitas perekonomian nasional, serta korporasi dan rumah tangga yang terhubung dengan lembaga jasa keuangan.
5.
Pasar Uang adalah bagian dari Sistem Keuangan yang berkaitan dengan:
a.
kegiatan penerbitan dan perdagangan instrumen keuangan atau efek bersifat utang yang berjangka waktu tidak lebih dari 1 (satu) tahun;
b.
transaksi pinjam-meminjam uang;
c.
transaksi derivatif suku bunga; dan
d.
transaksi lainnya yang memenuhi karakteristik di Pasar Uang, dalam mata uang rupiah atau valuta asing.
6.
Pasar Valuta Asing adalah bagian dari Sistem Keuangan yang berkaitan dengan kegiatan transaksi yang melibatkan pertukaran mata uang dari 2 (dua) negara yang berbeda beserta derivatifnya, tetapi tidak termasuk penukaran bank notes yang diselenggarakan oleh kegiatan usaha penukaran valuta asing.
7.
Penyedia Jasa Pembayaran yang selanjutnya disingkat PJP adalah sebagaimana dimaksud dalam Peraturan Bank Indonesia mengenai Penyedia Jasa Pembayaran.
8.
Penyelenggara Infrastruktur Sistem Pembayaran yang selanjutnya disebut PIP adalah pihak yang menyelenggarakan infrastruktur sebagai sarana yang dapat digunakan untuk melakukan pemindahan dana bagi kepentingan anggotanya.
9.
Pelaku Usaha Sektor Keuangan yang bergerak di Pasar Uang dan/atau Pasar Valuta Asing yang selanjutnya disebut PUSK PUVA adalah pelaku usaha di Pasar Uang dan/atau Pasar Valuta Asing yang memperoleh izin kelembagaan dari Bank Indonesia.
10.
Lembaga Pendukung Pasar Uang adalah pihak yang memberikan jasa terkait penerbitan instrumen Pasar Uang, perantara pelaksanaan transaksi instrumen Pasar Uang, penyelesaian transaksi, penatausahaan instrumen dan transaksi Pasar Uang, dan pihak lainnya yang ditetapkan oleh Bank Indonesia.
11.
Lembaga Pendukung Pasar Valuta Asing adalah pihak yang dapat memberikan jasa terkait perantara pelaksanaan transaksi, penyelesaian transaksi, penatausahaan transaksi di Pasar Valuta Asing, dan pihak lainnya yang ditetapkan oleh Bank Indonesia.
12.
Penyelenggara Kegiatan Usaha Penukaran Valuta Asing Bukan Bank adalah sebagaimana dimaksud dalam Peraturan Bank Indonesia mengenai Kegiatan Usaha Penukaran Valuta Asing Bukan Bank.
13.
Penyelenggara adalah pihak yang diatur dan diawasi Bank Indonesia yang mempunyai risiko Siber baik secara sistemik maupun nonsistemik bagi Sistem Keuangan.
14.
Kerentanan Siber adalah kelemahan, kerawanan, atau kekurangan yang terdapat pada Siber sehingga berdampak negatif terhadap bisnis dan/atau layanan operasional Penyelenggara.
15.
Ancaman Siber adalah suatu keadaan yang berpotensi mengeksploitasi Kerentanan Siber.
16.
Serangan Siber adalah upaya untuk mengeksploitasi Kerentanan Siber.
17.
Insiden Siber adalah Serangan Siber yang mengganggu kelancaran bisnis dan/atau layanan operasional Penyelenggara yang memerlukan respons dan/atau pemulihan.
18.
Risiko Siber adalah kemungkinan terjadinya Insiden Siber dan dampak yang diakibatkan dari Insiden Siber.
19.
Keamanan Sistem Informasi dan Ketahanan Siber yang selanjutnya disebut KKS adalah kondisi terjaganya kerahasiaan, keutuhan, serta ketersediaan informasi dan/atau Sistem Informasi Penyelenggara dari Serangan Siber dan terjaganya kelangsungan bisnis Penyelenggara melalui tindakan antisipatif, adaptif, dan proaktif terhadap Ancaman Siber serta kemampuan Penyelenggara untuk melakukan respons dan pemulihan dengan cepat terhadap Insiden Siber.
20.
Self-Regulatory Organization yang selanjutnya disingkat SRO adalah suatu forum atau institusi yang berbadan hukum Indonesia yang ditetapkan oleh Bank Indonesia untuk mendukung penyelenggaraan Sistem Pembayaran, Pasar Uang dan Pasar Valuta Asing, dan/atau kegiatan lainnya yang diatur dan diawasi Bank Indonesia.

Pasal 2

Penyelenggara yang menjadi objek pengaturan dan pengawasan KKS meliputi:
a.
PJP;
b.
PUSK PUVA;
c.
Lembaga Pendukung Pasar Uang;
d.
Lembaga Pendukung Pasar Valuta Asing;
e.
Penyelenggara Kegiatan Usaha Penukaran Valuta Asing Bukan Bank; dan
f.
pihak lain yang diatur dan diawasi Bank Indonesia.

Pasal 3

Ruang lingkup pengaturan dan pengawasan KKS meliputi:
a.
tata kelola;
b.
pencegahan;
c.
penanganan;
d.
penyampaian data dan informasi;
e.
tata cara pengenaan sanksi; dan
f.
kolaborasi.

Pasal 4

(1)
Strategi dan kebijakan KKS meliputi:
a.
rencana strategis KKS;
b.
kebijakan, standar, dan prosedur KKS; dan
c.
fungsi organisasi KKS.
(2)
Strategi dan kebijakan KKS sebagaimana dimaksud pada ayat (1) disusun dan dilaksanakan oleh Penyelenggara untuk memperkuat KKS.

Pasal 5

(1)
Rencana strategis KKS sebagaimana dimaksud dalam ayat (1) huruf a meliputi:
a.
arah strategis penguatan KKS;
b.
peta jalan penguatan KKS; dan
c.
perkiraan kebutuhan sumber daya, yang mencakup aspek manusia, proses, dan teknologi.
(2)
Arah strategis penguatan KKS sebagaimana dimaksud pada ayat (1) huruf a disusun dengan memperhatikan:
a.
arah dan rencana strategis bisnis Penyelenggara;
b.
selera risiko Penyelenggara;
c.
ketentuan peraturan perundang-undangan mengenai KKS; dan/atau
d.
perkembangan tren teknologi, Kerentanan Siber, dan Ancaman Siber.
(3)
Peta jalan penguatan KKS sebagaimana dimaksud pada ayat (1) huruf b disusun sesuai dengan arah strategis penguatan KKS yang paling sedikit mencakup:
a.
daftar program dan/atau proyek;
b.
jadwal dan tahapan;
c.
hasil kerja; dan
d.
pelaksana.
(4)
Perkiraan kebutuhan sumber daya sebagaimana dimaksud pada ayat (1) huruf c disusun untuk melaksanakan peta jalan penguatan KKS yang mencakup perkiraan biaya dan sumber daya manusia.

Pasal 6

(1)
Rencana strategis KKS sebagaimana dimaksud dalam ayat (1) ditetapkan oleh manajemen tertinggi Penyelenggara.
(2)
Pemantauan pelaksanaan peta jalan penguatan KKS sebagaimana dimaksud dalam ayat (3) dilakukan agar pencapaian sesuai dengan jadwal dan tahapan yang ditetapkan.
(3)
Evaluasi terhadap rencana strategis KKS sebagaimana dimaksud pada ayat (1) dilakukan paling sedikit 1 (satu) kali dalam 1 (satu) tahun dengan memperhatikan perkembangan Risiko Siber.

Pasal 7

(1)
Kebijakan, standar, dan prosedur KKS sebagaimana dimaksud dalam ayat (1) huruf b mencakup aspek manusia, proses, dan teknologi yang paling sedikit terdiri atas:
a.
pengamanan data, sistem aplikasi, dan infrastruktur teknologi informasi;
b.
pengamanan pihak ketiga; dan
c.
pelindungan konsumen dan manajemen fraud.
(2)
Kebijakan, standar, dan prosedur KKS sebagaimana dimaksud pada ayat (1) disusun dengan memperhatikan:
a.
rencana strategis KKS;
b.
kompleksitas Sistem Informasi; dan
c.
profil risiko.
(3)
Kebijakan KKS sebagaimana dimaksud pada ayat (1) ditetapkan oleh manajemen tertinggi Penyelenggara.
(4)
Standar dan prosedur KKS sebagaimana dimaksud pada ayat (1) disusun untuk mendukung pelaksanaan kebijakan KKS.
(5)
Kebijakan, standar, dan prosedur KKS sebagaimana dimaksud pada ayat (1) diterapkan dan dikomunikasikan kepada seluruh pihak internal dan/atau pihak ketiga terkait.
(6)
Evaluasi terhadap kebijakan, standar, dan prosedur KKS sebagaimana dimaksud pada ayat (1) dilakukan paling sedikit 1 (satu) kali dalam 1 (satu) tahun.

Pasal 8

(1)
Fungsi organisasi KKS sebagaimana dimaksud dalam ayat (1) huruf c meliputi:
a.
manajemen KKS;
b.
manajemen Risiko Siber; dan
c.
audit KKS.
(2)
Dalam menjalankan fungsi organisasi KKS sebagaimana dimaksud pada ayat (1), Penyelenggara memperhatikan:
a.
efektivitas dan efisiensi;
b.
akuntabilitas; dan
c.
kapasitas dan kapabilitas sumber daya manusia.
(3)
Fungsi organisasi KKS sebagaimana dimaksud pada ayat (1) harus memiliki peran dan tanggung jawab yang jelas.

Pasal 9

(1)
Penerapan manajemen KKS sebagaimana dimaksud dalam ayat (1) huruf a meliputi:
a.
perencanaan strategis KKS;
b.
penyusunan kebijakan, standar, dan prosedur KKS;
c.
penerapan budaya KKS; dan
d.
pelaksanaan pencegahan dan penanganan KKS.
(2)
Manajemen KKS sebagaimana dimaksud pada ayat (1) bertanggung jawab pada manajemen tertinggi.
(3)
Penerapan manajemen KKS sebagaimana dimaksud pada ayat (1) dilakukan dengan memastikan personel memiliki pengetahuan dan pengalaman yang relevan.
(4)
Dalam penerapan manajemen KKS sebagaimana dimaksud pada ayat (1), manajemen KKS dapat bekerja sama dengan pihak lain dengan mempertimbangkan Risiko Siber.
(5)
Dalam penerapan manajemen KKS sebagaimana dimaksud pada ayat (1), evaluasi dilakukan paling sedikit 1 (satu) kali dalam 1 (satu) tahun.

Pasal 10

(1)
Penerapan manajemen Risiko Siber sebagaimana dimaksud dalam ayat (1) huruf b dilakukan paling sedikit melalui:
a.
integrasi manajemen Risiko Siber ke dalam proses manajemen risiko Penyelenggara;
b.
identifikasi, asesmen, mitigasi, dan evaluasi Risiko Siber terhadap ancaman Siber atau serangan Siber; dan
c.
pengukuran tingkat kematangan KKS.
(2)
Pengukuran tingkat kematangan KKS sebagaimana dimaksud pada ayat (1) huruf c paling sedikit mencakup:
a.
tata kelola;
b.
pencegahan; dan
c.
penanganan.
(3)
Pengukuran tingkat kematangan KKS sebagaimana dimaksud pada ayat (1) huruf c menghasilkan nilai dan kategori tingkat kematangan KKS.
(4)
Hasil pengukuran tingkat kematangan KKS sebagaimana dimaksud pada ayat (3) disampaikan kepada manajemen tertinggi Penyelenggara.

Pasal 11

Audit KKS sebagaimana dimaksud dalam ayat (1) huruf c paling sedikit mencakup:
a.
tata kelola;
b.
pencegahan; dan
c.
penanganan.

Pasal 12

(1)
Audit KKS sebagaimana dimaksud dalam dilakukan secara berkala paling sedikit 1 (satu) kali dalam 1 (satu) tahun.
(2)
Audit KKS sebagaimana dimaksud pada ayat (1) dilakukan oleh pihak internal dan/atau eksternal secara independen.
(3)
Pihak eksternal yang melaksanakan audit KKS merupakan auditor KKS independen yang terdaftar di SRO dan/atau otoritas lain.
(4)
Hasil audit KKS sebagaimana dimaksud pada ayat (2) disampaikan kepada manajemen tertinggi Penyelenggara dan digunakan untuk perbaikan tata kelola, pencegahan, dan penanganan.

Pasal 13

(1)
Budaya KKS dilaksanakan oleh Penyelenggara melalui program peningkatan budaya KKS.
(2)
Program peningkatan budaya KKS sebagaimana dimaksud pada ayat (1) meliputi:
a.
kesadaran (awareness);
b.
pelatihan; dan/atau
c.
edukasi.
(3)
Program peningkatan budaya KKS sebagaimana dimaksud pada ayat (2) diberikan kepada:
a.
pihak internal;
b.
pihak ketiga; dan
c.
konsumen.
(4)
Program peningkatan budaya KKS sebagaimana dimaksud pada ayat (2) dilakukan secara berkala paling sedikit 1 (satu) kali dalam 1 (satu) tahun dengan melibatkan manajemen tertinggi sebagai teladan.
(5)
Program peningkatan budaya KKS sebagaimana dimaksud pada ayat (2) diselaraskan dengan rencana strategis KKS.
(6)
Evaluasi terhadap program peningkatan budaya KKS sebagaimana dimaksud pada ayat (2) dilakukan paling sedikit 1 (satu) kali dalam 1 (satu) tahun.

Pasal 14

(1)
Identifikasi meliputi:
a.
penyusunan profil Risiko Siber; dan
b.
pengujian profil Risiko Siber secara berkala.
(2)
Penyusunan profil Risiko Siber sebagaimana dimaksud pada ayat (1) huruf a meliputi:
a.
identifikasi Risiko Siber;
b.
asesmen Risiko Siber; dan
c.
analisis dampak bisnis.
(3)
Pengujian profil Risiko Siber sebagaimana dimaksud pada ayat (1) huruf b dilakukan paling sedikit 1 (satu) kali dalam 1 (satu) tahun.
(4)
Dalam hal terjadi Insiden Siber, Penyelenggara melakukan pengujian profil Risiko Siber.

Pasal 15

(1)
Identifikasi Risiko Siber sebagaimana dimaksud dalam ayat (2) huruf a dilakukan dengan memperhatikan paling sedikit:
a.
Kerentanan Siber dan Ancaman Siber dari aspek manusia, proses, dan teknologi; dan
b.
objek yang akan dilindungi.
(2)
Kerentanan Siber dan Ancaman Siber sebagaimana dimaksud pada ayat (1) huruf a dapat bersumber dari:
a.
internal; dan
b.
eksternal.
(3)
Informasi Kerentanan Siber dan Ancaman Siber sebagaimana dimaksud pada ayat (2) dapat bersumber dari sarana pertukaran informasi yang dibentuk Bank Indonesia atau sarana informasi lain.
(4)
Objek yang akan dilindungi sebagaimana dimaksud pada ayat (1) huruf b yaitu Sistem Informasi yang digunakan oleh Penyelenggara baik yang dikelola Penyelenggara atau pihak lain.
(5)
Hasil identifikasi Risiko Siber sebagaimana dimaksud pada ayat (1) didokumentasikan pada inventaris risiko (risk register) di tingkat organisasi Penyelenggara.

Pasal 16

(1)
Asesmen Risiko Siber sebagaimana dimaksud dalam ayat (2) huruf b dilakukan paling sedikit dengan:
a.
menentukan metodologi asesmen Risiko Siber yang relevan;
b.
melakukan penilaian dampak Kerentanan Siber dan Ancaman Siber yang memengaruhi layanan operasional; dan
c.
melakukan prioritiasi mitigasi terhadap Kerentanan Siber dan Ancaman Siber mulai dari yang paling tinggi sampai dengan yang paling rendah.
(2)
Metodologi asesmen Risiko Siber sebagaimana dimaksud pada ayat (1) huruf a mencakup penilaian dampak (impact) yang ditimbulkan dari Risiko Siber dan penilaian kemungkinan terjadinya Risiko Siber (likelihood).
(3)
Penyelenggara memastikan metodologi asesmen Risiko Siber sebagaimana dimaksud pada ayat (1) huruf a dapat memperoleh hasil asesmen Risiko Siber yang konsisten dan valid.
(4)
Penilaian dampak Kerentanan Siber dan Ancaman Siber yang memengaruhi layanan operasional sebagaimana dimaksud pada ayat (1) huruf b dilakukan dengan mengukur perkiraan:
a.
kerugian sebagai akibat dari gangguan layanan;
b.
dampak kerusakan; dan
c.
biaya pemulihan.
(5)
Prioritisasi mitigasi terhadap Kerentanan Siber dan Ancaman Siber mulai dari yang paling tinggi sampai dengan yang paling rendah sebagaimana dimaksud pada ayat (1) huruf c dilakukan berdasarkan:
a.
tingkat Risiko Siber;
b.
urgensi waktu pelaksanaan mitigasi Risiko Siber; dan
c.
urutan pelaksanaan mitigasi Risiko Siber.

Pasal 17

(1)
Analisis dampak bisnis sebagaimana dimaksud dalam ayat (2) huruf c dilakukan paling sedikit dengan:
a.
melakukan penilaian dampak bisnis terkait Kerentanan Siber terhadap finansial dan nonfinansial, termasuk dampaknya pada stabilitas Sistem Keuangan;
b.
menganalisis kritikalitas fungsi bisnis dan Sistem Informasi beserta prioritiasi pengendalian risiko; dan
c.
menganalisis Sistem Informasi kritikal yang berdampak luas terhadap stabilitas Sistem Keuangan.
(2)
Penilaian dampak bisnis sebagaimana dimaksud pada ayat (1) huruf a dilakukan dengan:
a.
menetapkan jenis dan kriteria dampak;
b.
menetapkan maximum tolerable period of disruption; dan
c.
menetapkan sumber daya untuk mendukung fungsi bisnis yang diprioritaskan.
(3)
Analisis kritikalitas sebagaimana dimaksud pada ayat (1) huruf b dilakukan dengan:
a.
menetapkan sasaran waktu pemulihan dan titik pemulihan; dan
b.
menetapkan service level dan maximum downtime yang tidak terjadwal.
(4)
Analisis Sistem Informasi kritikal yang berdampak luas terhadap stabilitas sistem keuangan sebagaimana dimaksud pada ayat (1) huruf c dilaksanakan dengan melakukan inventarisasi sistem aplikasi dan/atau infrastruktur teknologi informasi terkait pelaksanaan kegiatan Sistem Pembayaran, Pasar Uang dan Pasar Valuta Asing, serta kegiatan usaha penukaran valuta asing bukan bank.

Pasal 18

Hasil analisis Sistem Informasi kritikal sebagaimana dimaksud dalam ayat (4) digunakan sebagai pertimbangan dalam mengategorikan infrastruktur informasi vital.

Pasal 19

a.
pembangunan sistem pertahanan; dan
b.
pengamanan dan pelindungan data dan/atau informasi.
(2)
Evaluasi terhadap penerapan proteksi sebagaimana dimaksud pada ayat (1) dilakukan paling sedikit 1 (satu) kali dalam 1 (satu) tahun.

Pasal 20

Pembangunan sistem pertahanan sebagaimana dimaksud dalam ayat (1) huruf a pada aspek manusia, proses, dan teknologi dilakukan paling sedikit dengan:
a.
memastikan keamanan pihak internal dan pihak ketiga pada setiap tahapan siklus kerja serta memberikan edukasi KKS sesuai dengan peran dan tanggung jawab;
b.
menerapkan pengendalian keamanan untuk proses bisnis serta melaksanakan kebijakan, standar, dan prosedur pengamanan secara efektif; dan
c.
mengimplementasikan konfigurasi pengamanan terhadap Sistem Informasi yang digunakan.

Pasal 21

(1)
Keamanan pihak internal dan pihak ketiga sebagaimana dimaksud dalam huruf a dipastikan dengan:
a.
memeriksa latar belakang personel pihak internal dan/atau pihak ketiga yang akan dipekerjakan;
b.
mengomunikasikan peran dan tanggung jawab KKS kepada personel pihak internal dan/atau pihak ketiga yang dipekerjakan;
c.
mewajibkan personel pihak internal dan/atau pihak ketiga telah menandatangani perjanjian atau surat pernyataan untuk menjaga kerahasiaan data dan/atau informasi dari pihak yang tidak berwenang;

Akses Terbatas

Anda melihat 21 dari 40 pasal. Masuk untuk akses penuh.