Contract
BATANG TUBUH | PENJELASAN |
NOMOR .../POJK.03/2016 | NOMOR .../POJK.03/2016 |
TENTANG | TENTANG |
PENERAPAN MANAJEMEN RISIKO DALAM PENGGUNAAN TEKNOLOGI INFORMASI OLEH BANK UMUM | PENERAPAN MANAJEMEN RISIKO DALAM PENGGUNAAN TEKNOLOGI INFORMASI OLEH BANK UMUM |
Menimbang: | I. UMUM |
a. bahwa perkembangan teknologi informasi dapat dimanfaatkan oleh bank untuk meningkatkan efisiensi kegiatan operasional dan mutu pelayanan bank kepada nasabah; | Dalam rangka meningkatkan efisiensi kegiatan operasional dan mutu pelayanan Bank kepada nasabahnya, Bank dituntut untuk mengembangkan strategi bisnis Bank dengan lebih optimal dalam memanfaatkan kemajuan Teknologi Informasi untuk meningkatkan daya saing Bank. Penerapan Teknologi Informasi membawa perubahan dalam kegiatan operasional dan pengelolaan data Bank sehingga dapat dilakukan secara lebih efisien dan efektif serta memberikan informasi secara lebih akurat dan cepat. Perkembangan produk perbankan berbasis teknologi diantaranya berupa Electronic Banking dan digital banking, lebih memudahkan nasabah untuk melakukan transaksi perbankan secara non tunai setiap saat melalui jaringan elektronik. Selain itu penggunaan jasa pihak ketiga dalam penyediaan sistem dan pelayanan Bank semakin meningkat pula. |
b. bahwa penggunaan teknologi informasi dalam kegiatan operasional bank juga dapat meningkatkan risiko yang dihadapi bank; | Disamping berbagai manfaat dan keunggulan yang diperoleh dari penggunaan Teknologi Informasi dalam pelaksanaan kegiatan operasional Bank, terdapat pula risiko yang dapat merugikan Bank dan nasabah seperti risiko operasional, risiko hukum, dan risiko reputasi selain risiko perbankan lainnya seperti risiko likuiditas dan risiko kredit. |
c. bahwa dengan semakin meningkatnya risiko yang dihadapi, Bank perlu menerapkan manajemen risiko secara efektif; | Oleh karena itu, agar dapat melindungi kepentingan Bank dan juga nasabah, Bank dituntut untuk menerapkan manajemen risiko secara efektif sehingga Bank dapat melakukan pengendalian dari kemungkinan penambahan risiko yang terjadi. |
d. bahwa teknologi informasi merupakan aset yang berharga bagi Bank sehingga pengelolaannya bukan hanya merupakan tanggung jawab unit kerja penyelenggara teknologi informasi namun juga seluruh pihak yang menggunakannya; | Mengingat bahwa Teknologi Informasi merupakan aset penting dalam operasional yang dapat meningkatkan nilai tambah dan daya saing Bank sementara dalam penyelenggarannya mengandung berbagai risiko maka Bank perlu menerapkan IT Governance. Keberhasilan penerapan IT Governance sangat tergantung pada komitmen seluruh unit kerja di Bank, |
BATANG TUBUH | PENJELASAN |
baik penyelenggara maupun pengguna Teknologi Informasi. Penerapan IT Governance dilakukan melalui penyelarasan Rencana Strategis Teknologi Informasi dengan strategi bisnis Bank, optimalisasi pengelolaan sumber daya, pemanfaatan Teknologi Informasi (IT value delivery), pengukuran kinerja dan penerapan manajemen risiko yang efektif. Untuk dapat menerapkan manajemen risiko yang efektif, diperlukan keterlibatan dan pengawasan Dewan Komisaris dan Direksi, penyusunan dan penerapan kebijakan dan prosedur terkait Teknologi Informasi, serta proses identifikasi, pengukuran, pemantauan dan pengendalian risiko yang berkesinambungan. | |
e. bahwa dalam rangka implementasi Basel II diperlukan infrastruktur Teknologi Informasi yang memadai; | Selain itu, kedepan Bank dituntut pula untuk mengantisipasi kebutuhan akan infrastruktur Teknologi Informasi yang memadai dalam rangka menghadapi implementasi Basel II. |
f. bahwa sejalan dengan dinamika pengaturan yang terkait dengan penggunaan teknologi informasi dan perkembangan standar internasional, perlu dilakukan penyempurnaan ketentuan mengenai penerapan manajemen risiko dalam penggunaan teknologi informasi oleh bank; | Seiring dengan perkembangan yang ada baik dalam lingkup nasional dan global, sampai dengan saat ini telah dikeluarkan beberapa peraturan perundang-undangan yang terkait dengan Teknologi Informasi antara lain Undang-Undang mengenai Informasi dan Transaksi Elektronik dan peraturan pelaksanaannya berupa Peraturan Pemerintah mengenai Penyelenggaraan Sistem dan Transaksi Elektronik dan Peraturan Menteri terkait lainnya. Selain itu, standar acuan penilaian terkait Teknologi Informasi seperti International Organization for Standarization (ISO) dan Control Objective for Information and Related Technology (COBIT) juga mengalami pengkinian sehingga menjadi lebih komprehensif dalam mendukung perkembangan dan implementasi Teknologi Informasi. |
g. bahwa sehubungan dengan pertimbangan sebagaimana dimaksud pada huruf a, huruf b, huruf, c, huruf d, huruf e dan huruf f perlu menetapkan Peraturan Otoritas Jasa Keuangan tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum; | Dengan ketentuan ini, Bank diharapkan mampu mengelola risiko yang dihadapi secara efektif dalam seluruh aktivitas operasional yang didukung dengan pemanfaatan Teknologi Informasi. |
Mengingat: | |
1. Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan (Lembaran Negara Tahun 1992 Nomor 31; Tambahan Lembaran Negara Nomor 3472) sebagaimana telah diubah dengan Undang-Undang Nomor 10 Tahun 1998 (Lembaran Negara Tahun 1998 Nomor |
BATANG TUBUH | PENJELASAN |
182; Tambahan Lembaran Negara Nomor 3790); | |
2. Undang-Undang Nomor 21 Tahun 2008 tentang Perbankan Syariah (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 94, Tambahan Lembaran Negara Republik Indonesia Nomor 4867); | |
3. Undang-Undang Nomor 21 Tahun 2011 tentang Otoritas Jasa Keuangan (Lembaran Negara Republik Indonesia Tahun 2011 Nomor 111, Tambahan Lembaran Negara Republik Indonesia Nomor 5253); | |
M E M U T U S K A N | |
Menetapkan: | II. PASAL DEMI PASAL |
PERATURAN OTORITAS JASA KEUANGAN TENTANG PENERAPAN MANAJEMEN RISIKO DALAM PENGGUNAAN TEKNOLOGI INFORMASI OLEH BANK UMUM. | |
BAB I | |
KETENTUAN UMUM | |
Pasal 1 | Pasal 1 |
Dalam Peraturan Otoritas Jasa Keuangan ini yang dimaksud dengan: | Cukup jelas. |
1. Bank adalah Bank Umum sebagaimana dimaksud dalam Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang-Undang Nomor 10 Tahun 1998, termasuk kantor cabang dari bank yang berkedudukan di luar negeri, dan Bank Umum Syariah serta Unit Usaha Syariah sebagaimana dimaksud dalam Undang-Undang Nomor 21 Tahun 2008 tentang Perbankan Syariah. | |
2. Teknologi Informasi adalah suatu teknik untuk mengumpulkan, menyiapkan, menyimpan, memproses, mengumumkan, menganalisis, dan/atau menyebarkan informasi. | |
3. Layanan Perbankan Melalui Media Elektronik yang selanjutnya disebut Electronic Banking adalah layanan yang memungkinkan nasabah Bank untuk memperoleh informasi, melakukan komunikasi, dan melakukan transaksi perbankan melalui media elektronik. | |
4. Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan) adalah dokumen yang menggambarkan visi dan misi Teknologi Informasi Bank, strategi yang mendukung visi dan misi tersebut dan prinsip-prinsip utama yang menjadi acuan dalam penggunaan Teknologi Informasi untuk memenuhi kebutuhan bisnis dan |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | |
mendukung rencana strategis jangka panjang. | |
5. Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik. | |
6. Pusat Data (Data Center) yang selanjutnya disebut DC adalah suatu fasilitas yang digunakan untuk menempatkan Sistem Elektronik dan komponen terkaitnya untuk keperluan penempatan, penyimpanan dan pengolahan data. | |
7. Pusat Pemulihan Bencana (Disaster Recovery Center) yang selanjutnya disebut DRC adalah fasilitas pengganti pada saat Sistem Elektronik di Pusat Data (Data Center) mengalami gangguan atau tidak dapat berfungsi yang digunakan sementara waktu selama dilakukannya pemulihan Pusat Data untuk menjaga kelangsungan kegiatan usaha (business continuity). | |
8. Database adalah sekumpulan data komprehensif dan disusun secara sistematis, dapat diakses oleh pengguna sesuai wewenang masing-masing, dan dikelola oleh database administrator. | |
9. Disaster Recovery Plan yang selanjutnya disebut DRP adalah dokumen yang berisikan rencana dan langkah-langkah memulihkan kembali akses data, perangkat keras dan perangkat lunak yang diperlukan, agar Bank dapat menjalankan kegiatan operasional bisnis yang kritikal setelah adanya gangguan dan/atau bencana. | |
10. Pemrosesan Transaksi Berbasis Teknologi adalah kegiatan berupa penambahan, perubahan, penghapusan, dan/atau otorisasi data yang dilakukan pada sistem aplikasi yang digunakan untuk memproses transaksi. | |
11. Dewan Komisaris: | |
a. bagi Bank berbentuk badan hukum Perseroan Terbatas adalah dewan komisaris sebagaimana dimaksud dalam Undang-Undang Nomor 40 Tahun 2007 tentang Perseroan Terbatas; | |
b. bagi Bank berbentuk badan hukum: | |
1) Perusahaan Umum Daerah adalah dewan pengawas sebagaimana dimaksud dalam Undang-Undang Nomor 23 Tahun 2014 tentang Pemerintahan Daerah sebagaimana telah diubah terakhir dengan Undang-Undang Nomor 9 Tahun |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
2015; | |
2) Perusahaan Perseroan Daerah adalah komisaris sebagaimana dimaksud dalam Undang-Undang Nomor 23 Tahun 2014 tentang Pemerintahan Daerah sebagaimana telah diubah terakhir dengan Undang-Undang Nomor 9 Tahun 2015; | |
3) Perusahaan Daerah adalah pengawas pada Bank yang belum berubah bentuk menjadi Perusahaan Umum Daerah atau Perusahaan Perseroan Daerah sesuai Undang-Undang Nomor 23 Tahun 2014 tentang Pemerintahan Daerah sebagaimana telah diubah terakhir dengan Undang-Undang Nomor 9 Tahun 2015; | |
c. bagi Bank berbentuk badan hukum Koperasi adalah pengawas sebagaimana dimaksud dalam Undang-Undang Nomor 25 Tahun 1992 tentang Perkoperasian; | |
d. bagi Bank yang berstatus sebagai kantor cabang dari bank yang berkedudukan di luar negeri adalah pihak yang ditunjuk untuk melaksanakan fungsi pengawasan. | |
12. Direksi: | |
a. bagi Bank berbentuk badan hukum Perseroan Terbatas adalah direksi sebagaimana dimaksud dalam Undang-Undang Nomor 40 Tahun 2007 tentang Perseroan Terbatas; | |
b. bagi Bank berbentuk badan hukum: | |
1) Perusahaan Umum Daerah atau Perusahaan Perseroan Daerah adalah direksi sebagaimana dimaksud dalam Undang-Undang Nomor 23 Tahun 2014 tentang Pemerintahan Daerah sebagaimana telah diubah terakhir dengan Undang- Undang Nomor 9 Tahun 2015; | |
2) Perusahaan Daerah adalah direksi bagi Bank yang belum berubah bentuk menjadi Perusahaan Umum Daerah atau Perusahaan Perseroan Daerah sesuai Undang-Undang Nomor 23 Tahun 2014 tentang Pemerintahan Daerah sebagaimana telah diubah terakhir dengan Undang-Undang Nomor 9 Tahun 2015; | |
c. bagi Bank berbentuk badan hukum Koperasi adalah pengurus sebagaimana dimaksud dalam Undang-Undang Nomor 25 Tahun 1992 tentang Perkoperasian; |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
d. bagi Bank yang berstatus sebagai kantor cabang dari bank yang berkedudukan di luar negeri adalah pemimpin kantor cabang dan pejabat satu tingkat di bawah pemimpin kantor cabang. | |
BAB II | |
RUANG LINGKUP MANAJEMEN RISIKO TEKNOLOGI INFORMASI | |
Pasal 2 | Pasal 2 |
(1) Bank wajib menerapkan manajemen risiko secara efektif dalam penggunaan Teknologi Informasi. | Ayat (1) Cukup Jelas. |
(2) Penerapan manajemen risiko sebagaimana dimaksud pada ayat (1) paling sedikit mencakup: | Ayat (2) Cukup Jelas. |
a. pengawasan aktif Dewan Komisaris dan Direksi; | |
b. kecukupan kebijakan dan prosedur penggunaan Teknologi Informasi; | |
c. kecukupan proses identifikasi, pengukuran, pemantauan dan pengendalian risiko penggunaan Teknologi Informasi; dan | |
d. sistem pengendalian intern atas penggunaan Teknologi Informasi. | |
(3) Penerapan manajemen risiko harus dilakukan secara terintegrasi dalam setiap tahapan penggunaan Teknologi Informasi sejak proses perencanaan, pengadaan, pengembangan, operasional, pemeliharaan hingga penghentian dan penghapusan sumber daya Teknologi Informasi. | Ayat (3) Sumber daya Teknologi Informasi mencakup antara lain perangkat keras, perangkat lunak, jaringan, sumber daya manusia dan data/informasi. Yang dimaksud dengan: a. Perangkat keras adalah satu atau serangkaian alat yang terhubung dalam Sistem Elektronik. b. Perangkat lunak adalah satu atau sekumpulan program komputer, prosedur, dan/atau dokumentasi yang terkait dalam pengoperasian Sistem Elektronik. |
Pasal 3 | Pasal 3 |
Penerapan manajemen risiko dalam penggunaan Teknologi Informasi oleh Bank sebagaimana dimaksud dalam Pasal 2 wajib disesuaikan dengan tujuan, kebijakan usaha, ukuran dan kompleksitas usaha Bank. | Kompleksitas usaha meliputi antara lain keragaman dalam jenis transaksi/produk/jasa dan jaringan kantor serta teknologi pendukung yang digunakan. |
BAB III | |
PENERAPAN MANAJEMEN RISIKO DALAM PENGGUNAAN TEKNOLOGI INFORMASI | |
Bagian Pertama |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
Pengawasan Aktif Dewan Komisaris dan Direksi | |
Pasal 4 | Pasal 4 |
Bank wajib menetapkan wewenang dan tanggung jawab yang jelas pada setiap jenjang jabatan yang terkait dengan penggunaan Teknologi Informasi. | Dalam menetapkan wewenang dan tanggung jawab tersebut perlu memperhatikan antara lain prinsip pemisahan tugas dan tanggung jawab (segregation of duties), misalnya pihak yang melakukan input data berbeda dari pihak yang melakukan validasi data. |
Pasal 5 | Pasal 5 |
Wewenang dan tanggung jawab sebagaimana dimaksud dalam Pasal 4 bagi Dewan Komisaris paling sedikit mencakup: | Cukup jelas. |
a. mengevaluasi, mengarahkan, dan memantau Rencana Strategis Teknologi Informasi dan kebijakan Bank terkait penggunaan Teknologi Informasi; | |
b. mengevaluasi pertanggungjawaban Direksi atas penerapan manajemen risiko dalam penggunaan Teknologi Informasi. | |
Pasal 6 | Pasal 6 |
Wewenang dan tanggung jawab sebagaimana dimaksud dalam Pasal 4 bagi Direksi paling sedikit mencakup: | |
a. menetapkan Rencana Strategis Teknologi Informasi dan kebijakan Bank terkait penggunaan Teknologi Informasi. | Huruf a Cukup jelas. |
b. memastikan bahwa: | Huruf b |
1. Teknologi Informasi yang digunakan Bank dapat mendukung perkembangan usaha, pencapaian tujuan bisnis Bank dan kelangsungan pelayanan terhadap nasabah; | Angka 1 Cukup jelas. |
2. terdapat kegiatan peningkatan kompetensi sumber daya manusia yang terkait dengan penyelenggaraan dan penggunaan Teknologi Informasi; | Angka 2 Peningkatan kompetensi sumber daya manusia antara lain melalui program pendidikan dan pelatihan secara berkesinambungan mengenai penyelenggaraan dan penggunaan Teknologi Informasi. |
3. penerapan proses manajemen risiko dalam penggunaan Teknologi Informasi dilaksanakan secara memadai dan efektif; | Angka 3 Cukup jelas. |
4. tersedianya kebijakan dan prosedur Teknologi Informasi yang memadai dan dikomunikasikan serta diterapkan secara efektif baik pada satuan kerja penyelenggara maupun pengguna Teknologi Informasi; | Angka 4 Cukup jelas. |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
5. terdapat sistem pengukuran kinerja proses penyelenggaraan Teknologi Informasi yang paling sedikit dapat: | Angka 5 Cukup jelas. |
a) mendukung proses pemantauan terhadap implementasi strategi; | |
b) mendukung penyelesaian proyek; | |
c) mengoptimalkan pendayagunaan sumber daya manusia dan investasi pada infrastruktur; dan | |
d) meningkatkan kinerja proses penyelenggaraan Teknologi Informasi dan kualitas layanan penyampaian hasil proses kepada pengguna. | |
Pasal 7 | Pasal 7 |
(1) Bank wajib memiliki Komite Pengarah Teknologi Informasi (Information Technology Steering Committe). | Cukup jelas. |
(2) Komite Pengarah Teknologi Informasi sebagaimana disebut pada ayat (1) bertanggung jawab memberikan rekomendasi kepada Direksi yang paling sedikit terkait dengan: | |
a. Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan) yang searah dengan rencana strategis kegiatan usaha Bank; | |
b. kesesuaian proyek-proyek Teknologi Informasi yang disetujui dengan Rencana Strategis Teknologi Informasi; | |
c. kesesuaian antara pelaksanaan proyek-proyek Teknologi Informasi dengan rencana proyek yang disepakati (project charter); | |
d. kesesuaian Teknologi Informasi dengan kebutuhan sistem informasi manajemen dan kebutuhan kegiatan usaha Bank; | |
e. efektivitas langkah-langkah meminimalkan risiko atas investasi Bank pada sektor Teknologi Informasi agar investasi tersebut memberikan kontribusi terhadap tercapainya tujuan bisnis Bank; | |
f. pemantauan atas kinerja Teknologi Informasi dan upaya peningkatannya; dan | |
g. upaya penyelesaian berbagai masalah terkait Teknologi Informasi, yang tidak dapat diselesaikan oleh satuan kerja pengguna dan penyelenggara, secara efektif, efisien dan tepat waktu. | |
(3) Komite Pengarah Teknologi Informasi sebagaimana dimaksud pada ayat (1) paling sedikit beranggotakan: | Ayat (3) Struktur Komite Pengarah Teknologi Informasi dapat disesuaikan dengan |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
ukuran dan kompleksitas kegiatan Bank serta struktur kepemilikan/legal entity Bank. | |
a. direktur yang membawahkan satuan kerja Teknologi Informasi; | |
b. direktur yang membawahkan satuan kerja Xxxxxxxxx Xxxxxx; | |
c. pejabat tertinggi yang membawahkan satuan kerja penyelenggara Teknologi Informasi; dan | |
d. pejabat tertinggi yang membawahkan satuan kerja pengguna utama Teknologi Informasi. | |
Bagian Kedua | |
Kecukupan Kebijakan, Standar dan Prosedur Penggunaan Teknologi Informasi di Bank | |
Pasal 8 | Pasal 8 |
(1) Bank wajib memiliki kebijakan, standar dan prosedur penggunaan Teknologi Informasi sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf b. | Ayat (1) Cukup jelas. |
(2) Kebijakan, standar dan prosedur penggunaan Teknologi Informasi paling sedikit meliputi aspek-aspek: | Ayat (2) Kedalaman kebijakan, standar dan prosedur selain disesuaikan dengan tujuan kebijakan usaha, ukuran dan kompleksitas usaha Bank, juga memperhatikan profil risiko Bank. |
a. Manajemen; | |
b. Pengembangan dan pengadaan; | |
c. Operasional Teknologi Informasi; | |
d. Jaringan komunikasi; | |
e. Pengamanan informasi; | |
f. DRP; | |
g. Electronic Banking; | |
h. Penggunaan pihak penyedia jasa Teknologi Informasi; dan | |
i. Penyediaan Jasa Teknologi Informasi oleh Bank. | |
(3) Bank wajib menetapkan limit risiko yang dapat ditoleransi untuk memastikan aspek- aspek terkait Teknologi Informasi sebagaimana dimaksud pada ayat (2) dapat berjalan dengan optimal. | Ayat (3) Yang dimaksud βlimit risikoβ adalah tingkat kesalahan yang masih dapat ditoleransi oleh sistem (risk tolerance) atau standar pengamanan yang ditetapkan atau disetujui untuk tidak dilampaui. |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
Standar pengamanan sebagaimana dimaksud di atas disesuaikan dengan risk appetite yang dimiliki Bank. | |
(4) Bank wajib menerapkan kebijakan, standar dan prosedur penggunaan Teknologi Informasi sebagaimana dimaksud pada ayat (2), secara konsisten dan berkesinambungan. | Ayat (4) Cukup jelas. |
(5) Bank harus melakukan kaji ulang dan pengkinian kebijakan, standar dan prosedur sebagaimana dimaksud pada ayat (2) secara berkala. | Ayat (5) Kaji ulang dan pengkinian dilakukan agar kebijakan, standar, dan prosedur tetap sesuai dengan perkembangan operasional Bank dan Teknologi Informasi. |
(6) Bank wajib menetapkan jangka waktu kaji ulang dan pengkinian kebijakan, standar, dan prosedur sebagaimana dimaksud pada ayat (5) dalam kebijakan secara tertulis. | Ayat (6) Cukup jelas. |
Pasal 9 | Pasal 9 |
(1) Bank wajib memiliki Rencana Teknologi Informasi (Information Technology Strategic Plan) yang mendukung rencana strategis kegiatan usaha Bank. | Cukup jelas. |
(2) Rencana Strategis Teknologi Informasi sebagaimana dimaksud pada ayat (1) dicantumkan dalam rencana bisnis Bank. | |
Bagian Ketiga | |
Proses Manajemen Risiko Terkait Teknologi Informasi | |
Pasal 10 | Pasal 10 |
(1) Bank wajib memiliki kebijakan, standar dan prosedur atas proses manajemen risiko teknologi informasi. | Ayat (1) Yang dimaksud dengan proses manajemen risiko adalah mengidentifikasi, mengukur, memantau, dan mengendalikan risiko. |
(2) Bank wajib melakukan proses manajemen risiko yang mencakup identifikasi, pengukuran, pemantauan dan pengendalian atas risiko terkait penggunaan Teknologi Informasi. | Ayat (2) Cukup jelas. |
(3) Proses manajemen risiko sebagaimana dimaksud pada ayat (2) dilakukan terhadap aspek-aspek terkait Teknologi Informasi yang paling sedikit mencakup pengembangan dan pengadaan Teknologi Informasi, operasional Teknologi Informasi, jaringan komunikasi, pengamanan informasi, DRP, Electronic Banking, penggunaan pihak penyedia jasa Teknologi Informasi, dan penyediaan jasa Teknologi Informasi oleh Bank. | Ayat (3) Cukup jelas. |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
(4) Dalam hal Bank menggunakan jasa pihak lain untuk menyelenggarakan Teknologi Informasi, Bank wajib memastikan bahwa pihak penyedia jasa Teknologi Informasi menerapkan juga manajemen risiko yang paling kurang sesuai dengan ketentuan dalam Peraturan Otoritas Jasa Keuangan ini. | Ayat (4) Cukup jelas. |
Pasal 11 | Pasal 11 |
Dalam melakukan pengembangan dan pengadaan Teknologi Informasi, Bank wajib melakukan langkah-langkah pengendalian untuk menghasilkan sistem dan data yang terjaga kerahasian dan integrasinya serta mendukung pencapaian tujuan Bank, antara lain mencakup: | |
a. menetapkan dan menerapkan prosedur dan metodologi pengembangan dan pengadaan Teknologi Informasi secara konsisten; | Huruf a Cukup jelas. |
b. menerapkan manajemen proyek dalam pengembangan sistem; | Huruf b Cukup jelas. |
c. melakukan testing yang memadai pada saat pengembangan dan pengadaan suatu sistem, termasuk uji coba bersama satuan kerja pengguna, untuk memastikan keakuratan dan berfungsinya sistem sesuai kebutuhan pengguna serta kesesuaian satu sistem dengan sistem yang lain; | Huruf c Cukup jelas. |
d. melakukan dokumentasi sistem yang dikembangkan dan pemeliharaannya; | Huruf d Cukup jelas. |
e. memiliki manajemen perubahan sistem aplikasi; | Huruf e Cukup jelas. |
f. memastikan sistem Teknologi Informasi Bank mampu menampilkan kembali informasi secara utuh; dan | Huruf f Informasi yang ditampilkan kembali terkait dengan sistem yang tidak lagi digunakan dalam operasional Bank, proprietary system, maupun sistem yang masih digunakan dalam operasional Bank namun mengalami gangguan. Yang dimaksud dengan βsecara utuhβ adalah informasi yang ditampilkan lengkap. |
g. mengukur urgensi pembuatan perjanjian tertulis (escrow agreement) atas perangkat lunak yang dianggap penting untuk kelangsungan operasional Bank dalam hal perangkat lunak dibuat oleh pihak lain dan kode sumber tidak diberikan kepada Bank. | Huruf g Kode sumber adalah suatu rangkaian perintah, pernyataan, dan/atau deklarasi yang ditulis dalam bahasa pemrograman komputer yang dapat |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
dibaca dan dipahami. | |
Pasal 12 | Pasal 12 |
Bank wajib memastikan kelangsungan dan kestabilan operasional Teknologi Informasi serta memitigasi risiko yang berpotensi dapat mengganggu kegiatan operasional Bank. | Cukup jelas. |
Pasal 13 | Pasal 13 |
Bank wajib menyediakan jaringan komunikasi yang memenuhi aspek ketersediaan, kerahasiaan, dan keutuhan. | Cukup jelas. |
Pasal 14 | Pasal 14 |
Bagi Bank yang memiliki unit usaha yang melaksanakan kegiatan usaha berdasarkan prinsip syariah, wajib memiliki sistem yang dapat menghasilkan laporan yang terpisah bagi kegiatan usaha Bank berdasarkan prinsip syariah. | Yang dimaksud memiliki sistem yang dapat menghasilkan laporan yang terpisah adalah yang dapat mengidentifikasikan input dan proses serta output dari transaksi berdasarkan prinsip syariah. |
Pasal 15 | Pasal 15 |
(1) Bank wajib memiliki DRP. | Ayat (1) Cukup jelas. |
(2) Bank wajib memastikan DRP sebagaimana dimaksud pada ayat (1) dapat dilaksanakan secara efektif agar kelangsungan layanan Teknologi Informasi Bank tetap dapat beroperasi saat terjadi bencana, dan/atau gangguan pada sarana Teknologi Informasi yang digunakan Bank. | Ayat (2) DRP mencakup rencana pemulihan pada berbagai tingkat gangguan dan bencana seperti minor disaster yang berdampak kecil dan tidak memerlukan biaya besar serta dapat diselesaikan dalam jangka waktu pendek; major disaster yang berdampak besar dan dapat menjadi lebih parah apabila tidak diatasi segera; dan catastrophic yang berdampak terjadi kerusakan yang bersifat permanen sehingga memerlukan relokasi/penggatian dengan biaya yang besar. |
(3) Bank wajib melakukan uji coba atas DRP terhadap seluruh aplikasi dan infrastruktur yang kritikal sesuai hasil Business Impact Analysis, paling sedikit 1 (satu) kali dalam 1 (satu) tahun dengan melibatkan end user (end to end). | Ayat (3) Cukup jelas. |
(4) Bank wajib melakukan reviu DRP paling sedikit 1 (satu) kali dalam 1 (satu) tahun. | Ayat (4) Cukup jelas. |
Pasal 16 | Pasal 16 |
Bank wajib memastikan pengamanan informasi dilaksanakan secara efektif dengan memperhatikan paling sedikit: | Cukup jelas. |
a. pengamanan informasi yang ditujukan agar informasi yang dikelola terjaga kerahasiaan |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
(confidentiality), integritas (integrity) dan ketersediaannya (availability) secara efektif dan efisien dengan memperhatikan kepatuhan terhadap ketentuan; | |
b. pengamanan informasi yang dilakukan terhadap aspek teknologi, sumber daya manusia dan proses dalam penggunaan Teknologi Informasi; | |
c. pengamanan informasi yang mencakup pengelolaan aset Bank yang terkait dengan informasi, kebijakan sumber daya manusia, pengamanan fisik, pengamanan akses, pengamanan operasional, dan aspek penggunaan Teknologi Informasi lainnya; | |
d. adanya manajemen penanganan insiden dalam pengamanan informasi; dan | |
e. pengamanan informasi yang diterapkan berdasarkan hasil penilaian terhadap risiko (risk assesment) pada informasi yang dimiliki Bank. | |
Bagian Keempat | |
Sistem Pengendalian dan Audit Intern atas Penyelenggaraan Teknologi Informasi | |
Pasal 17 | Pasal 17 |
(1) Bank wajib melaksanakan sistem pengendalian intern secara efektif terhadap semua aspek penggunaan Teknologi Informasi. | Ayat (1) Dalam melaksanakan sistem pengendalian intern Teknologi Informasi, Bank mengacu pada prinsip-prinsip umum sebagaimana diatur dalam ketentuan mengenai pedoman standar sistem pengendalian intern. |
(2) Sistem pengendalian intern sebagaimana dimaksud pada ayat (1) paling sedikit meliputi: | Ayat (2) Cukup jelas. |
a. pengawasan oleh manajemen dan adanya budaya pengendalian; | |
b. identifikasi dan penilaian risiko; | |
c. kegiatan pengendalian dan pemisahan fungsi; | |
d. sistem informasi, sistem akuntansi dan sistem komunikasi; dan | |
e. kegiatan pemantauan dan koreksi penyimpangan, yang dilakukan oleh satuan kerja operasional, satuan kerja audit intern maupun pihak lainnya. | |
(3) Sistem informasi, sistem akuntansi dan sistem komunikasi sebagaimana dimaksud pada ayat (2) huruf d harus didukung oleh teknologi, sumber daya manusia dan struktur organisasi Bank yang memadai. | Ayat (3) Yang dimaksud dengan memadai antara lain teknologi yang sesuai dengan kegiatan operasional Bank, sumber daya manusia yang kompeten dan struktur organisasi yang tidak memberikan peluang kepada siapapun untuk melakukan dan menyembunyikan kesalahan atau penyimpangan dalam pelaksanaan tugasnya. |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
(4) Kegiatan pemantauan dan tindakan koreksi penyimpangan sebagaimana dimaksud pada ayat (2) huruf e paling sedikit meliputi: | Ayat (4) Cukup jelas. |
a. kegiatan pemantauan secara terus menerus; | |
b. pelaksanaan fungsi audit intern yang efektif dan menyeluruh; dan | |
c. perbaikan terhadap penyimpangan yang diidentifikasi oleh satuan kerja operasional, satuan kerja audit intern dan/atau pihak lainnya. | |
Pasal 18 | Pasal 18 |
(1) Pelaksanaan fungsi audit intern Teknologi Informasi sebagaimana dimaksud dalam Pasal 17 ayat (4) huruf b memperhatikan kepatuhan terhadap ketentuan antara lain mengenai standar pelaksanaan fungsi audit intern. | Ayat (1) Cukup jelas. |
(2) Dalam rangka memastikan pelaksanaan audit intern Teknologi Informasi sebagaimana dimaksud pada Pasal 17 ayat (4) huruf b, Bank wajib memastikan tersedianya audit trail atas seluruh kegiatan penyelenggaraan Teknologi Informasi untuk keperluan pengawasan, penegakan hukum, penyelesaian sengketa, verifikasi, pengujian, dan pemeriksaan lainnya. | Ayat (2) Cukup jelas. |
(3) Dalam hal terdapat keterbatasan kemampuan satuan kerja audit intern Teknologi Informasi maka pelaksanaan fungsi audit intern sebagaimana dimaksud pada ayat (1) dapat dilakukan oleh auditor ekstern. | Ayat (3) Penggunaan auditor ekstern untuk melaksanakan fungsi audit intern atas Teknologi Informasi tidak mengurangi tanggung jawab pimpinan Satuan Kerja Audit Intern Teknologi Informasi Bank. Selain itu penggunaan auditor ekstern harus telah mempertimbangkan ukuran dan kompleksitas usaha Bank dan memperhatikan peraturan perundang-undangan terkait auditor ekstern. Dalam hal Bank menggunakan auditor ekstern untuk melaksanakan fungsi audit intern atas Teknologi Informasi, proses Entreprise Data Management tetap harus dijalankan oleh pihak intern. |
(4) Pelaksanaan audit intern wajib dilakukan paling sedikit 1 (satu) kali dalam 1 (satu) tahun terhadap aspek-aspek dalam penyelenggaraan dan penggunaan Teknologi Informasi sesuai kebutuhan, prioritas dan hasil analisis risiko Teknologi Informasi. | Ayat (4) Cukup jelas. |
Pasal 19 | Pasal 19 |
(1) Bank wajib memiliki pedoman audit intern atas penggunaan Teknologi Informasi yang diselenggarakan sendiri dan/atau oleh pihak penyedia jasa Teknologi Informasi. | Cukup jelas. |
(2) Bank wajib melakukan kaji ulang atas fungsi audit intern atas penggunaan Teknologi |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
Informasi paling sedikit 1 (satu) kali dalam 3 (tiga) tahun. | |
(3) Kaji ulang sebagaimana dimaksud pada ayat (2) wajib menggunakan jasa pihak ekstern yang independen. | |
(4) Bank wajib menyampaikan kepada Otoritas Jasa Keuangan: | |
a. Hasil kaji ulang sebagaimana dimaksud pada ayat (3) disertai saran perbaikan sebagai bagian dari laporan kaji ulang; dan | |
b. Hasil audit intern terhadap Teknologi Informasi sebagai bagian dari laporan pelaksanaan dan pokok-pokok hasil audit intern, | |
sebagaimana diatur dalam ketentuan mengenai penerapan standar pelaksanaan fungsi audit intern. | |
BAB IV | |
PENYELENGGARAAN TEKNOLOGI INFORMASI OLEH PIHAK PENYEDIA JASA TEKNOLOGI INFORMASI DAN/ATAU BANK | |
Bagian Pertama | |
Umum | |
Pasal 20 | Pasal 20 |
(1) Bank dapat menyelenggarakan Teknologi Informasi sendiri dan/atau menggunakan pihak penyedia jasa Teknologi Informasi. | Ayat (1) Yang dimaksud dengan menggunakan pihak penyedia jasa Teknologi Informasi adalah penggunaan jasa pihak lain dalam penyelenggaraan Teknologi Informasi Bank secara berkesinambungan dan/atau dalam periode tertentu. Yang dimaksud dengan pihak lain bagi: a. kantor cabang dari bank yang berkedudukan di luar negeri termasuk kantor pusat dan kantor bank lainnya di luar negeri maupun kelompok usaha Bank. b. bank yang dimiliki pihak asing termasuk kantor induk dan kelompok usaha Bank. Selain itu, Bank meskipun menyerahkan penyelenggaraan Teknologi Informasi kepada pihak penyedia jasa tetap disebut sebagai penyelenggara sistem elektronik untuk setiap sistem elektronik yang digunakan Bank dalam menjalankan kegiatan usahanya. |
(2) Penggunaan pihak penyedia jasa Teknologi Informasi sebagaimana dimaksud pada ayat | Ayat (2) |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
(1) hanya dapat dilakukan sepanjang Bank dan pihak penyedia jasa Teknologi Informasi memenuhi persyaratan: | |
a. bagi Bank: | Huruf a |
1) Bank tetap bertanggung jawab atas penerapan manajemen risiko; | Angka 1) Yang dimaksud tanggung jawab Bank dalam menerapkan manajemen risiko antara lain dengan memastikan bahwa penyedia jasa Teknologi Informasi menerapkan manajemen risiko secara memadai pada kegiatan Bank yang diselenggarakan oleh pihak penyedia jasa Teknologi Informasi sesuai yang dipersyaratkan dalam Peraturan Otoritas Jasa Keuangan ini. |
2) Bank tetap wajib memiliki satuan kerja penyelenggara Teknologi Informasi; | Angka 2) Cukup jelas. |
3) Bank tetap wajib memiliki pejabat tertinggi yang memimpin satuan kerja Teknolog Informasi; | Angka 3) Cukup jelas. |
4) Bank mampu untuk melakukan pengawasan atas pelaksanaan kegiatan Bank yang diselenggarakan oleh pihak penyedia jasa; | Angka 4) Cukup jelas. |
5) Bank memilih pihak penyedia jasa Teknologi Informasi berdasarkan cost and benefit analysis dan melibatkan satuan kerja penyelenggara Teknologi Informasi Bank; | Angka 5) Cukup jelas. |
6) Bank wajib memantau dan mengevaluasi kehandalan pihak penyedia jasa Teknologi Informasi secara berkala yang menyangkut kinerja, reputasi penyedia jasa dan kelangsungan penyediaan layanan; | Angka 6) Cukup jelas. |
7) Bank tetap memberikan akses kepada auditor intern, ekstern dan Otoritas Jasa Keuangan untuk memperoleh data dan informasi setiap kali dibutuhkan; dan | Angka 7) Akses untuk memperoleh data dan informasi dimaksudkan agar pemeriksaan dapat dilaksanakan secara efektif. |
8) Bank tetap memberikan akses kepada Otoritas Jasa Keuangan terhadap Database secara tepat waktu baik untuk data terkini maupun untuk data yang telah lalu. | Angka 8) Akses terhadap Database meliputi namun tidak terbatas pada penyediaan terminal, user id untuk melakukan query, dan download data. |
b. bagi pihak penyedia jasa Teknologi Informasi: | |
1) pihak penyedia jasa Teknologi Informasi harus memiliki tenaga ahli yang memiliki keandalan dengan didukung oleh sertifikat keahlian secara akademis dan/atau secara profesional sesuai dengan keperluan penyelenggaraan Teknologi Informasi | Angka 1) Cukup jelas. |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
2) pihak penyedia jasa Teknologi Informasi harus menerapkan prinsip pengendalian Teknologi Informasi (Information Technology control) secara memadai yang dibuktikan dengan hasil audit yang dilakukan pihak independen; | Angka 2) Syarat ini dimaksudkan untuk meyakini bahwa DC, DRC dan/atau Pemrosesan Transaksi Berbasis Teknologi yang digunakan oleh Bank memiliki pengendalian Teknologi Informasi yang memadai paling sedikit mencakup physical security dan logical security. |
3) pihak penyedia jasa Teknologi Informasi harus menyediakan akses bagi auditor intern Bank, auditor ekstern yang ditunjuk oleh Bank, auditor Otoritas Jasa Keuangan, dan/atau pihak-pihak lainnya yang berdasarkan peraturan perundang-undangan berwenang untuk melakukan pemeriksaan dalam rangka memperoleh data dan informasi yang diperlukan secara tepat waktu setiap kali dibutuhkan; | Angka 3) Akses sebagaimana dimaksud pada angka ini dibutuhkan untuk memperoleh data dan informasi yang diperlukan secara tepat waktu setiap kali dibutuhkan dalam rangka audit Teknologi Informasi, audit dan/atau pemeriksaan lainnya. Auditor Otoritas Jasa Keuangan termasuk auditor ekstern yang ditunjuk oleh Otoritas Jasa Keuangan. |
4) pihak penyedia jasa Teknologi Informasi harus menyatakan tidak berkeberatan apabila Otoritas Jasa Keuangan dan/atau pihak-pihak lainnya yang berdasarkan peraturan perundang-undangan berwenang untuk melakukan pemeriksaan, hendak melakukan pemeriksaan terhadap kegiatan penyediaan jasa yang diberikan. | Angka 4) Cukup jelas. |
5) pihak penyedia jasa Teknologi Informasi sebagai pihak terafiliasi, harus menjamin keamanan seluruh informasi termasuk rahasia Bank dan data pribadi nasabah; | Angka 5) Informasi termasuk sistem dan perangkat yang digunakan untuk memproses, menyimpan, dan mengirimkannya, merupakan aset yang harus dijamin keamanannya oleh pihak penyedia jasa dengan cara dilindungi dari musuh dan ancaman bahaya yang dapat mengganggu kerahasiaan (confidentiality), integritas (integrity) dan ketersediaannya (availability). |
6) pihak penyedia jasa Teknologi Informasi hanya dapat melakukan subkontrak sebagian kegiatannya berdasarkan persetujuan Bank yang dibuktikan dengan dokumen tertulis; | Angka 6) Cukup jelas. |
7) pihak penyedia jasa Teknologi Informasi harus melaporkan kepada Bank setiap kejadian kritis yang dapat mengakibatkan kerugian keuangan yang signifikan dan/atau mengganggu kelancaran operasional Bank; | Angka 7) Cukup jelas. |
8) pihak penyedia jasa Teknologi Informasi harus menyampaikan secara berkala hasil audit Teknologi Informasi yang dilakukan auditor independen terhadap penyelenggaraan DC, DRC, dan/atau Pemrosesan Transaksi Berbasis Teknologi, kepada Otoritas Jasa Keuangan melalui Bank yang bersangkutan; | Angka 8) Cakupan audit yang dilakukan oleh auditor independen termasuk sistem aplikasi yang digunakan untuk memproses data Bank. |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
9) pihak penyedia jasa Teknologi Informasi harus menyediakan DRP yang teruji dan memadai; dan | Angka 9) Cukup jelas. |
10) pihak penyedia jasa Teknologi Informasi harus bersedia untuk kemungkinan penghentian perjanjian sebelum berakhirnya jangka waktu perjanjian (early termination). | Angka 10) Cukup jelas. |
11) pihak penyedia jasa Teknologi Informasi wajib memenuhi tingkat layanan sesuai dengan service level agreement antara Bank dan pihak penyedia jasa Teknologi Informasi. | Angka 11) Pemenuhan tingkat layanan antara lain dengan memastikan penyelenggaraan Teknologi Informasi dapat mendukung Bank beroperasi sebagaimana mestinya. |
(3) Penggunaan pihak penyedia jasa Teknologi Informasi oleh Bank sebagaimana dimaksud pada ayat (1) harus didasarkan pada perjanjian tertulis yang paling sedikit memuat kesediaan pihak penyedia jasa Teknologi Informasi untuk menyelenggarakan dan/atau melakukan hal-hal sebagaimana dimaksud dalam ayat (2) huruf b. | Ayat (3) Cukup jelas. |
(4) Bank tetap wajib melakukan proses seleksi dan melakukan transaksi dengan pihak penyedia jasa Teknologi Informasi dengan memperhatikan prinsip kehati-hatian, manajemen risiko dan didasarkan pada hubungan kerja sama secara wajar (armβs length principle), dalam hal pihak penyedia jasa Teknologi Informasi merupakan pihak terkait dengan Bank. | Ayat (4) Yang dimaksud dengan pihak terkait dengan Bank adalah pihak terkait sebagaimana diatur dalam ketentuan Otoritas Jasa Keuangan mengenai batas maksimum pemberian kredit bank umum. Yang dimaksud dengan hubungan kerja sama secara wajar (arm's length principle) adalah kondisi dimana transaksi antar pihak bersifat independen sebagaimana pihak yang tidak terkait, antara lain memiliki kesetaraan dan didasarkan pada harga pasar yang wajar sehingga meminimalisasi terjadinya konflik kepentingan (conflict of interest). |
(5) Dalam hal terdapat kondisi berupa: | Ayat (5) Cukup jelas. |
a. memburuknya kinerja penyelenggaraan Teknologi Informasi oleh penyedia jasa Teknologi Informasi yang dapat berdampak signifikan pada kegiatan usaha Bank; | |
b. pihak penyedia jasa Teknologi Informasi menjadi tidak solvabel, dalam proses menuju likuidasi, atau dipailitkan oleh pengadilan; | |
c. terdapat pelanggaran oleh pihak penyedia jasa Teknologi Informasi terhadap ketentuan rahasia Bank dan kewajiban merahasiakan data pribadi nasabah; dan/atau | |
d. terdapat kondisi yang menyebabkan Bank tidak dapat menyediakan data yang |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
diperlukan dalam rangka pengawasan oleh Otoritas Jasa Keuangan; | |
maka Bank wajib melakukan tindakan tertentu. | |
(6) Tindakan tertentu sebagaimana dimaksud pada ayat (5), paling sedikit: | Ayat (6) Cukup jelas. |
a. melaporkan kepada Otoritas Jasa Keuangan paling lama 3 (tiga) hari kerja setelah kondisi sebagaimana dimaksud pada ayat (5) diketahui oleh Bank; | |
b. memutuskan tindak lanjut yang akan diambil untuk mengatasi permasalahan termasuk penghentian penggunaan jasa dalam hal diperlukan; dan | |
c. melaporkan kepada Otoritas Jasa Keuangan segera setelah Bank menghentikan penggunaan jasa sebelum berakhirnya jangka waktu perjanjian. | |
(7) Dalam hal penggunaan penyedia jasa Teknologi Informasi atau rencana penggunaan penyedia jasa Teknologi Informasi menyebabkan atau diindikasikan akan menyebabkan kesulitan pengawasan yang dilakukan Otoritas Jasa Keuangan maka Otoritas Jasa Keuangan dapat: | Ayat (7) Indikasi kesulitan pengawasan antara lain: a. kesulitan otoritas pengawas dalam akses terhadap data dan informasi; b. kesulitan dalam pelaksanaan pemeriksaan terhadap pihak penyedia jasa Teknologi Informasi; dan/atau c. pihak penyedia jasa Teknologi Informasi digunakan sebagai media untuk melakukan rekayasa data Bank dan/atau rekayasa keuangan Bank. |
a. memerintahkan Bank untuk menghentikan penggunaan jasa Teknologi Informasi sebelum berakhirnya jangka waktu perjanjian; atau | |
b. menolak rencana penggunaan pihak penyedia jasa Teknologi Informasi yang diajukan oleh Bank. | |
Bagian Kedua | |
Penyelenggaraan Pusat Data (Data Center) dan/atau Pusat Pemulihan Bencana (Disaster Recovery Center) | |
Pasal 21 | Pasal 21 |
(1) Bank wajib menempatkan Sistem Elektronik pada DC dan/atau DRC di dalam negeri. | Ayat (1) Cukup jelas. |
(2) Bank hanya dapat menempatkan Sistem Elektronik pada DC dan/atau DRC di luar negeri sepanjang: | Ayat (2) Cukup jelas. |
a. tidak bertentangan dengan peraturan perundang-undangan; | |
b. mendapatkan persetujuan dari Otoritas Jasa Keuangan; |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
c. memenuhi persyaratan sebagaimana tercantum pada Pasal 20 ayat (2) sampai dengan ayat (4); dan | |
d. memenuhi persyaratan tertentu. | |
(3) Persyaratan tertentu sebagaimana dimaksud pada Ayat (2) huruf c antara lain: | Ayat (3) Cukup jelas. |
a. Sistem Elektronik yang digunakan untuk mendukung analisis terintegrasi dalam rangka memenuhi ketentuan home regulatory yang bersifat global (termasuk yang cross border) sepanjang tidak terkait langsung dengan data individu nasabah dan data transaksi masing-masing nasabah kecuali terdapat ketentuan yang mengatur lain baik di home maupun host country. | |
b. Sistem Elektronik yang digunakan untuk risk management secara terintegrasi dengan kantor pusat atau kantor induk di luar negeri, sepanjang menggunakan data agregat, sedangkan apabila menggunakan data individu nasabah hanya nasabah yang memiliki hubungan bisnis dengan nasabah di kantor bank atau grup bank yang sama di luar negeri, kecuali sesuai ketentuan yang berlaku. | |
c. Sistem Elektronik yang digunakan dalam rangka penerapan anti pencucian uang dan pencegahan pendanaan terorisme secara terintegrasi dengan kantor pusat atau kantor induk di luar negeri. | |
d. Sistem Elektronik untuk manajemen hubungan antara kantor pusat dengan kantor cabang atau antara anak perusahaan dengan perusahaan induk. | |
e. Sistem Elektronik yang diperlukan untuk manajemen internal. | |
(4) Persyaratan tambahan bagi Bank untuk mendapatkan persetujuan sebagaimana dimaksud pada ayat (2) huruf b, antara lain: | Ayat (4) Cukup jelas. |
a. Bank menyampaikan hasil analisis country risk; | Huruf a Cukup jelas. |
b. Bank memastikan penyelenggaraan Sistem Elektronik di luar negeri tidak mengurangi efektifitas pengawasan Otoritas Jasa Keuangan; | Huruf b Yang dimaksud dengan βtidak mengurangi mengurangi efektifitas pengawasan Otoritas Jasa Keuanganβ adalah tidak menimbulkan kesulitan pengawas dalam memperoleh data dan informasi yang diperlukan seperti adanya akses terhadap Database dan memiliki struktur Database dari setiap aplikasi yang digunakan. |
c. Bank memastikan bahwa informasi mengenai rahasia Bank hanya diungkapkan | Huruf c |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
sepanjang memenuhi ketentuan perundang-undangan yang berlaku di Indonesia; | Ketentuan perundang-udangan yang berlaku yang berlaku di Indonesia antara lain ketentuan Otoritas Jasa Keuangan mengenai persyaratan dan tata cara pemberian perintah atau izin tertulis membuka rahasia Bank. |
d. Bank memastikan bahwa perjanjian tertulis dengan penyedia jasa Teknologi Informasi juga memuat klausula choice of law; | Huruf d Cukup jelas. |
e. Dalam hal Bank merupakan kantor cabang dari bank yang berkedudukan di luar negeri atau Bank yang dimiliki lembaga keuangan asing maka Bank wajib menyampaikan: | Huruf e Cukup jelas. |
1) Surat pernyataan dari otoritas pengawas lembaga keuangan di luar negeri bahwa pihak penyedia jasa Teknologi Informasi merupakan cakupan pengawasannya; | Angka 1) Cukup jelas. |
2) Surat pernyataan tidak keberatan dari otoritas pengawas lembaga keuangan di luar negeri bahwa Otoritas Jasa Keuangan dapat melakukan pemeriksaan terhadap pihak penyedia jasa Teknologi Informasi; dan | Angka 2) Cukup jelas. |
3) Surat pernyataan bahwa Bank akan menyampaikan secara berkala hasil penilaian yang dilakukan kantor bank di luar negeri atas penerapan manajemen risiko pada pihak penyedia jasa Teknologi Informasi. | Angka 3) Yang dimaksud dengan kantor bank di luar negeri bagi kantor cabang dari bank yang berkedudukan di luar negeri adalah kantor pusat atau kantor lainnya. Sedangkan bagi Bank yang dimiliki lembaga keuangan asing yang dimaksud dengan kantor bank di luar negeri adalah kantor induk bank. |
f. Permohonan persetujuan yang diajukan Bank harus memuat : | Huruf f |
1) Manfaat bagi Bank lebih besar daripada beban yang ditanggung oleh Bank; dan | Angka 1) Manfaat yang diharapkan antara lain peningkatan kualitas layanan kepada nasabah dan penerapan program anti pencucian uang dan pencegahan pendanaan teroris. |
2) Rencana Bank untuk meningkatkan kemampuan sumber daya manusia Bank baik yang berkaitan dengan penyelenggaraan Teknologi Informasi maupun transaksi bisnis atau produk yang ditawarkan. | Angka 2) Cukup jelas. |
Bagian Ketiga | |
Penyelenggaraan Pemrosesan Transaksi oleh Pihak Penyedia Jasa | |
Pasal 22 | Pasal 22 |
(1) Penyelenggaraan pemrosesan transaksi oleh pihak penyedia jasa wajib dilakukan di dalam negeri. | Ayat (1) Cukup jelas. |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
(2) Penyelenggaraan pemrosesan transaksi oleh pihak penyedia jasa sebagaimana dimaksud pada ayat (1) hanya dapat dilakukan sepanjang: | Ayat (2) Yang dimaksud dengan prinsip kehati-hatian dalam ayat ini antara lain mengenai pengelolaan risiko atas produk dan aktivitas baru sebagaimana diatur dalam ketentuan mengenai manajemen risiko. Yang dimaksud dengan produk dan aktivitas baru antara lain produk dan aktivitas yang menambah atau meningkatkan risiko pada Bank termasuk pengembangan pelayanan seperti pemasaran kredit. |
a. memenuhi prinsip kehati-hatian; | |
b. memenuhi persyaratan pada Pasal 20 ayat (2) sampai dengan Ayat (4); dan | |
c. memperhatikan aspek perlindungan kepada nasabah. | |
(3) Pemrosesan Transaksi Berbasis Teknologi Informasi oleh pihak penyedia jasa Teknologi Informasi di luar negeri hanya dapat dilakukan sepanjang: | Ayat (3) Penyelenggaraan Pemrosesan Transaksi Berbasis Teknologi Informasi di luar negeri dalam ayat ini termasuk yang dilakukan pada kantor pusat atau kantor lainnya bagi kantor cabang bank asing atau kantor induk bagi bank yang dimiliki lembaga keuangan asing. |
a. memenuhi persyaratan sebagaimana dimaksud pada ayat (2); | |
b. tidak bertentangan dengan peraturan perundang-undangan; dan | |
c. mendapatkan persetujuan terlebih dahulu oleh Otoritas Jasa keuangan. | |
Pasal 23 | Pasal 23 |
(1) Rencana penggunaan pihak penyedia jasa Teknologi Informasi dalam penyelenggaraan DC, DRC dan/atau Pemrosesan Transaksi Berbasis Teknologi wajib dimuat dalam Rencana Strategis Teknologi Informasi dan rencana bisnis Bank. | Ayat (1) Cukup jelas. |
(2) Bank wajib melaporkan rencana penggunaan pihak penyedia jasa Teknologi Informasi dalam penyelenggaraan DC, DRC dan/atau Pemrosesan Transaksi Berbasis Teknologi di dalam negeri kepada Otoritas Jasa Keuangan paling lambat 2 (dua) bulan sebelum penyelenggaraan kegiatan oleh pihak penyedia jasa efektif dioperasikan. | Ayat (2) Cukup jelas. |
(3) Dalam hal terdapat rencana menyelenggarakan Sistem Elektronik di luar negeri, Bank wajib menyampaikan permohonan persetujuan paling lambat 3 (tiga) bulan sebelum penyelenggaraan kegiatan oleh pihak penyedia jasa Teknologi Informasi efektif dioperasikan. | Ayat (3) Cukup jelas. |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
(4) Realisasi rencana penyelenggaraan DC, DRC dan/atau Pemrosesan Berbasis Teknologi oleh pihak penyedia jasa Teknologi Informasi wajib dilaporkan paling lambat 1 (satu) bulan sejak kegiatan efektif dioperasikan. | Ayat (4) Laporan tersebut mencakup kajian paska implementasi (post implemention review). |
(5) Penyampaian rencana dan realisasi rencana sebagaimana dimaksud pada ayat (2), ayat (3), dan ayat (4) dilaksanakan dengan menggunakan format laporan penggunaan Teknologi Informasi. | Ayat (5) Cukup jelas. |
(6) Persetujuan atau penolakan atas permohonan sebagaimana dimaksud pada ayat (3) diberikan paling lambat 3 (tiga) bulan setelah dokumen permohonan diterima secara lengkap dan memadai. | Ayat (6) Yang dimaksud dokumen permohonan diterima secara lengkap adalah diterimanya dokumen yang dipersyaratkan dalam Peraturan Otoritas Jasa Keuangan ini serta diterimanya data tambahan apabila diperlukan. |
Bagian Keempat | |
Penyediaan Jasa Teknologi Informasi oleh Bank | |
Pasal 24 | Pasal 24 |
(1) Bank dapat memberikan penyediaan jasa Teknologi Informasi kepada lembaga jasa keuangan lain yang berada di bawah pengawasan Otoritas Jasa Keuangan, sepanjang: | Ayat (1) Penyediaan jasa Teknologi Informasi oleh Bank adalah pemberian jasa berupa pemanfaatan infrastruktur Teknologi Informasi milik Bank kepada Lembaga Jasa Keuangan didasari dengan perjanjian kerjasama dan/atau sewa- menyewa di antara kedua belah pihak. |
a. penyediaan jasa Teknologi Informasi tidak menjadi salah satu kegiatan pokok Bank; | Huruf a Cukup jelas. |
b. memenuhi prinsip kehati-hatian; | Huruf b Cukup jelas. |
c. memperhatikan cost and benefit analysis; | Huruf c Penyediaan jasa Teknologi Informasi dalam rangka kepentingan lembaga jasa keuangan lain yang tergabung dalam konglomerasi yang sama. |
d. memenuhi ketentuan Otoritas Jasa Keuangan dan otoritas lainnya yang terkait; dan | Huruf d Cukup jelas. |
e. mendapatkan persetujuan dari Otoritas Jasa Keuangan. | Huruf e Cukup jelas. |
(2) Penyediaan jasa Teknologi Informasi sebagaimana dimaksud pada ayat (1) hanya terbatas pada penyelenggaraan DC, DRC, dan/atau jaringan komunikasi. | Ayat (2) Cukup jelas. |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
(3) Bank dapat memberikan penyediaan jasa Teknologi Informasi selain jasa Teknologi Informasi sebagaimana dimaksud pada ayat (2), sepanjang: | Ayat (3) Contoh penyediaan jasa Teknologi Informasi lainnya antara lain pengembangan aplikasi Bank penyedia jasa Teknologi Informasi untuk digunakan oleh Bank pengguna jasa Teknologi Informasi. |
a. tetap memenuhi persyaratan pada ayat (1) huruf a sampai dengan huruf e; | |
b. lembaga jasa keuangan pengguna jasa Teknologi Informasi merupakan Bank; dan | |
c. penyediaan jasa Teknologi Informasi untuk mendukung program inklusi keuangan. | |
Pasal 25 | Pasal 25 |
Penyediaan jasa Teknologi Informasi dalam rangka pengembangan layanan produk dan/atau aktivitas Bank dikecualikan dari pengaturan dalam Pasal 24. | Cukup jelas. |
BAB V | |
ELECTRONIC BANKING | |
Pasal 26 | Pasal 26 |
(1) Bank yang menyelenggarakan kegiatan Electronic Banking wajib memenuhi ketentuan Otoritas Jasa Keuangan dan/atau otoritas lain yang terkait. | Ayat (1) Contoh Electronic Banking antara lain Authomatic Teller Machine (ATM), Cash Deposit Machine (CDM), phone banking, Short Message Services (SMS) banking, electronic fund transfer, Electronic Data Capture (EDC)/ Point Of Sales (POS), internet banking, mobile banking, dan video banking. Ketentuan Otoritas Jasa Keuangan antara lain Peraturan Otoritas Jasa Keuangan mengenai kegiatan usaha dan jaringan kantor Bank berdasarkan modal inti, ketentuan Otoritas Jasa Keuangan mengenai penerapan program anti pencucian uang dan pencegahan pendanaan terorisme bagi Bank, dan ketentuan Otoritas Jasa Keuangan mengenai penerapan manajemen risiko serta ketentuan Otoritas Jasa Keuangan mengenai prinsip kehati-hatian dalam kegiatan usaha Bank. Ketentuan otoritas lain yang terkait antara lain ketentuan mengenai penyelenggaraan kegiatan alat pembayaran menggunakan kartu. |
(2) Bank yang menyelenggarakan produk lanjutan Electronic Banking yang dikategorikan | Ayat (2) |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
sebagai digital banking wajib memenuhi ketentuan Otoritas Jasa Keuangan. | Cukup jelas. |
(3) Ketentuan lebih lanjut mengenai digital banking diatur dalam ketentuan Otoritas Jasa Keuangan. | Ayat (3) Cukup jelas. |
Pasal 27 | Pasal 27 |
(1) Bank wajib mencantumkan rencana penerbitan produk Electronic Banking dalam rencana bisnis Bank. | Ayat (1) Cukup jelas. |
(2) Bank yang akan menerbitkan produk Electronic Banking yang bersifat transaksional wajib mengajukan permohonan persetujuan produk Electronic Banking dan memperoleh persetujuan dari Otoritas Jasa Keuangan. | Ayat (2) Yang dimaksud dengan βproduk Electronic Banking" adalah produk baru yang karakteristiknya berbeda dengan produk yang telah ada di Bank dan/atau menambah atau meningkatkan eksposur risiko tertentu pada Bank. |
(3) Permohonan persetujuan produk Electronic Banking sebagaimana dimaksud pada ayat (2) wajib dilengkapi dengan hal-hal sebagai berikut: | Ayat (3) Cukup jelas. |
a. bukti-bukti kesiapan untuk menyelenggarakan Electronic Banking yang paling sedikit memuat: | |
1) struktur organisasi yang mendukung termasuk pengawasan dari pihak manajemen; | |
2) kebijakan, sistem, prosedur dan kewenangan dalam penerbitan produk Electronic Banking; | |
3) kesiapan infrastruktur Teknologi Informasi untuk mendukung produk Electronic Banking; | |
4) hasil analisis dan identifikasi risiko terhadap risiko yang melekat pada produk Electronic Banking; | |
5) kesiapan penerapan manajemen risiko khususnya pengendalian pengamanan (security control) untuk memastikan terpenuhinya prinsip kerahasiaan (confidentiality), integritas (integrity), keaslian (authentication), non repudiation dan ketersediaan (availability); | |
6) hasil analisis aspek hukum; | |
7) uraian sistem informasi akuntansi; dan | |
8) program perlindungan dan edukasi nasabah. | |
b. Hasil analisis bisnis mengenai proyek produk baru 1 (satu) tahun kedepan. | |
c. Selain persyaratan sebagaimana dimaksud pada huruf a dan huruf b, Bank harus | Huruf c |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
menyampaikan dokumen pendukung lain apabila diminta oleh Otoritas Jasa Keuangan. | Contoh dokumen pendukung lain antara lain dokumen yang dipersyaratkan oleh otoritas lain yang terkait, seperti: 1) tanda terdaftar Sistem Elektronik; dan 2) bukti perolehan sertifikasi Sistem Elektronik yang telah diterbitkan oleh Kementerian Komunikasi dan Informatika, dan sesuai dengan peraturan perundang-undangan yang mengatur mengenai penyelenggaraan sistem dan transaksi elektronik. |
(4) Penyampaian permohonan sebagaimana dimaksud dalam ayat (2) harus dilengkapi dengan hasil pemeriksaan dari pihak independen untuk memberikan pendapat atas karakteristik produk dan kecukupan pengamanan sistem Teknologi Informasi terkait produk serta kepatuhan terhadap ketentuan dan/atau praktik-praktik yang berlaku di dunia internasional. | Ayat (4) Hasil pemeriksaan dari pihak independen di luar Bank diperlukan untuk produk Electronic Banking yang baru pertama kali diterbitkan oleh Bank seperti internet banking yang bersifat transaksional dan sms banking. Sedangkan untuk penambahan fitur layanan produk Electronic Banking yang telah ada yang dapat menambah atau meningkatkan eksposur risiko, Bank dapat menyampaikan hasil pemeriksaan yang dilakukan oleh pihak internal Bank yang tidak terlibat dalam perancangan dan pengembangan sistem aplikasi serta pengambilan keputusan dalam implementasi aktivitas Electronic Banking. |
(5) Dalam hal Teknologi Informasi yang digunakan dalam menyelenggarakan kegiatan Electronic Banking dilakukan oleh pihak penyedia jasa Teknologi Informasi maka berlaku pula ketentuan sebagaimana diatur dalam Bab IV mengenai penyelenggaraan Teknologi Informasi oleh pihak penyedia jasa Teknologi Informasi dan/atau Bank. | Ayat (5) Cukup jelas. |
(6) Realisasi rencana penerbitan produk Electronic Banking wajib dilaporkan paling lama 1 (satu) bulan sejak rencana dilaksanakan dengan menggunakan format laporan penggunaan Teknologi Informasi. | Ayat (6) Laporan realisasi rencana penerbitan produk Electronic Banking mencakup kajian paska implementasi (post implementation review). |
Pasal 28 | Pasal 28 |
Bank wajib menerapkan prinsip-prinsip pengendalian pengamanan data nasabah dan transaksi Electronic Banking pada setiap Sistem Elektronik yang digunakan Bank. | Prinsip-prinsip pengendalian pengamanan data nasabah dan transaksi Electronic Banking pada setiap Sistem Elektronik mencakup: a. kerahasiaan (confidentiality); b. integritas (integrity); c. ketersediaan (availablity); |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
d. keaslian (authentication); e. tidak dapat diingkari (non repudiation); f. pengendalian otorisasi dalam sistem, database, dan aplikasi (authorisation of control); g. pemisahan tugas dan tanggung jawab (segregation of duties); dan h. pemeliharaan jejak audit (maintenance of audit trails). | |
BAB VI | |
PELAPORAN | |
Bagian Pertama | |
Laporan Penggunaan Teknologi Informasi | |
Pasal 29 | Pasal 29 |
(1) Bank wajib melaporkan kondisi terkini dari penggunaan Teknologi Informasi paling lambat 1 (satu) bulan sejak akhir tahun pelaporan. | Ayat (1) Laporan ini berisi perubahan yang telah dilakukan selama 1 (satu) tahun pelaporan atas data yang telah disampaikan dalam Laporan Penggunaan Teknologi Informasi, diluar perubahan yang dilaporkan dalam tambahan rencana penyelenggaraan Teknologi Informasi. Hal-hal yang perlu dilaporkan antara lain perubahan pejabat penentu dalam struktur organisasi Teknologi Informasi serta perubahan rencana jangka panjang (IT Strategic Plan). |
(2) Bank wajib menyampaikan hasil audit Teknologi Informasi paling lambat 2 (dua) bulan setelah audit selesai dilakukan. | Ayat (2) Audit Teknologi Informasi yang dimaksud antara lain audit Teknologi Informasi terhadap DC, DRC dan/atau pemrosesan transaksi berbasis teknologi yang penyelenggaraannya dilakukan secara inhouse. |
(3) Bank wajib melaporkan rencana perubahan/pengembangan Teknologi Informasi yang akan diimplementasikan 1 (satu) tahun ke depan paling lambat pada tanggal 31 Januari tahun yang bersangkutan. | Ayat (3) Cukup jelas. |
(4) Bank hanya dapat menyampaikan tambahan rencana penyelenggaraan Teknologi Informasi paling banyak 1 (satu) kali dan paling lambat disampaikan pada tanggal 30 Juni tahun yang bersangkutan. | Ayat (4) Cukup jelas. |
Bagian Kedua | |
Laporan Insidentil | |
Pasal 30 | Pasal 30 |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
(1) Bank wajib melaporkan kejadian kritis, penyalahgunaan, dan/atau kejahatan dalam penyelenggaraaan Teknologi Informasi yang dapat dan/atau telah mengakibatkan kerugian keuangan yang signifikan dan/atau mengganggu kelancaran operasional Bank. | Ayat (1) Cukup jelas. |
(2) Laporan sebagaimana dimaksud pada ayat (1) wajib disampaikan dengan segera melalui surat elektronik (e-mail) atau telepon yang diikuti dengan laporan tertulis paling lama 7 (tujuh) hari kerja setelah kejadian kritis dan/atau penyalahgunaan atau kejahatan diketahui. | Ayat (2) Laporan melalui surat elektronik (e-mail) dan/atau telepon kepada pengawas Bank berdasarkan informasi awal yang tersedia. |
(3) Laporan tertulis sebagaimana dimaksud pada ayat (2) merupakan bagian dari laporan kondisi yang berpotensi menimbulkan kerugian yang signifikan terhadap kondisi keuangan Bank sebagaimana dimaksud dalam ketentuan tentang penerapan manajemen risiko bagi Bank Umum. | Ayat (3) Cukup jelas. |
Pasal 31 | Pasal 31 |
(1) Bank yang memiliki rencana kegiatan sebagai penyedia jasa Teknologi Informasi sebagaimana dimaksud pada Pasal 24 dan/atau menerbitkan produk Electronic Banking sebagaimana dimaksud pada Pasal 26, wajib: | Ayat (1) Bank dapat mengimplementasikan rencana kegiatan lebih awal dari 2 (dua) bulan sepanjang Otoritas Jasa Keuangan telah memberikan persetujuan atas permohonan persetujuan rencana kegiatan yang diajukan oleh Bank. |
a. mengajukan permohonan persetujuan kepada Otoritas Jasa Keuangan paling lambat 2 (dua) bulan sebelum rencana implementasi; dan | |
b. menyampaikan laporan realisasi kepada Otoritas Jasa Keuangan paling lambat 3 (tiga) bulan setelah implementasi. | |
(2) Bank yang menyelenggarakan Sistem Elektronik yang ditempatkan pada DC dan/atau DRC di luar negeri sebagaimana dimaksud pada Pasal 21 , wajib: | Ayat (2) Cukup jelas. |
a. mengajukan permohonan persetujuan kepada Otoritas Jasa Keuangan paling lambat 3 (tiga) bulan sebelum rencana implementasi; dan | |
b. menyampaikan laporan realisasi kepada Otoritas Jasa Keuangan paling lambat 3 (tiga) bulan setelah implementasi. | |
(3) Bank harus melakukan implementasi rencana kegiatan sebagaimana dimaksud pada ayat (1) dan/atau ayat (2) paling lama 6 (enam) bulan sejak persetujuan diberikan oleh Otoritas Jasa Keuangan. | Ayat (3) Cukup jelas. |
(4) Dalam hal Bank tidak melakukan implementasi rencana dalam jangka waktu 6 (enam) | Ayat (4) |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
bulan sejak persetujuan diberikan oleh Otoritas Jasa Keuangan sebagaimana dimaksud pada ayat (3), maka persetujuan Otoritas Jasa Keuangan menjadi tidak berlaku. | Dalam hal persetujuan Otoritas Jasa Keuangan sudah tidak berlaku, namun Bank tetap akan melakukan implementasi rencana kegiatan bank sebagaimana dimaksud pada ayat (1) dan/atau ayat (2), maka bank wajib menyampaikan kembali permohonan persetujuan kepada Otoritas Jasa Keuangan. |
Bagian Ketiga | |
Format dan Alamat Penyampaian Laporan | |
Pasal 32 | Pasal 32 |
Format dan petunjuk penyusunan laporan sebagaimana dimaksud dalam Pasal 29, Pasal 30 dan Pasal 31 diatur dalam Surat Edaran Otoritas Jasa Keuangan. | Cukup jelas. |
Pasal 33 | Pasal 33 |
Permohonan persetujuan penggunaan penyedia jasa Teknologi Informasi di luar negeri sebagaimana dimaksud pada Pasal 21 dan Pasal 22 serta penyampaian laporan sebagaimana dimaksud dalam Pasal 29, Pasal 30 dan Pasal 31 disampaikan kepada Otoritas Jasa Keuangan dengan alamat: | Cukup jelas. |
a. Departemen Pengawasan Bank terkait atau Kantor Regional I Daerah Khusus Ibukota Jakarta dan Banten, bagi Bank yang berkantor pusat di wilayah Jakarta, Bogor, Depok, Tangerang dan Bekasi, serta Provinsi Banten; | |
b. Kantor Regional Otoritas Jasa Keuangan atau Kantor Otoritas Jasa Keuangan setempat, bagi Bank yang berkantor pusat di luar wilayah Jakarta, Bogor, Depok, Tangerang dan Bekasi, serta Provinsi Banten. | |
BAB VII | |
LAIN-LAIN | |
Pasal 34 | Pasal 34 |
(1) Otoritas Jasa Keuangan dapat melakukan pemeriksaan atau meminta Bank untuk melakukan pemeriksaan terhadap aspek-aspek terkait penggunaan Teknologi Informasi. | Ayat (1) Cukup jelas. |
(2) Bank wajib menyediakan akses kepada Otoritas Jasa Keuangan untuk dapat melakukan pemeriksaan pada seluruh aspek terkait penyelenggaraan Teknologi Informasi yang diselenggarakan sendiri dan/atau yang diselenggarakan oleh pihak lain. | Ayat (2) Penyediaan akses kepada Otoritas Jasa Keuangan dimaksudkan agar pengawasan oleh Otoritas Jasa Keuangan dapat dilaksanakan secara efektif antara lain memastikan integritas, validitas, ketersediaan dan keaslian data |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
setiap transaksi yang dilakukan oleh Bank. Akses tersebut termasuk: a. akses terhadap database baik untuk data terkini maupun untuk data yang telah lalu; dan b. akses terhadap infrastruktur pendukung seperti jaringan komunikasi. | |
BAB VIII | |
SANKSI | |
Pasal 35 | Pasal 35 |
(1) Bank yang tidak melaksanakan ketentuan sebagaimana ditetapkan dalam Pasal 2 ayat (1), Pasal 3, Pasal 4, Pasal 7 ayat (1), Pasal 8 ayat (1), Pasal 8 ayat (3), Pasal 8 ayat (4), Pasal 8 ayat (6), Pasal 8 ayat (9), Pasal 10 ayat (1), Pasal 10 ayat (2), Pasal 11, Pasal 12, Pasal 13, Pasal 14, Pasal 15 ayat (1), Pasal 15 ayat (2), Pasal 15 ayat (3), Pasal 15 ayat (4), Pasal 16, Pasal 17 ayat (1), Pasal 18 ayat (2), Pasal 18 ayat (4), Pasal 19 ayat (1), Pasal 19 ayat (2), Pasal 19 ayat (3), Pasal 19 ayat (4), Pasal 20 ayat (2), Pasal 20 ayat (3), Pasal 20 ayat (4), Pasal 20 ayat (5), Pasal 21 ayat (1), Pasal 22 ayat (1), Pasal 23 ayat (1), Pasal 23 ayat (2), Pasal 23 ayat (3), Pasal 23 ayat (4), Pasal 26 ayat (1), Pasal 26 ayat (2), Pasal 27 ayat (1), Pasal 27 ayat (2), Pasal 27 ayat (3), Pasal 27 ayat (6), Pasal 28, Pasal 29 ayat (1), Pasal 29 ayat (2), Pasal 29 ayat (3), Pasal 30 ayat (1), Pasal 30 ayat (2), Pasal 31 ayat (1), Pasal 31 ayat (2), dan/atau Pasal 34 ayat (2), Peraturan Otoritas Jasa Keuangan ini dan ketentuan pelaksanaan terkait lainnya dapat dikenakan sanksi administratif berupa: | Cukup jelas. |
a. peringatan tertulis; | |
b. penurunan tingkat kesehatan berupa penurunan peringkat faktor Good Corporate Governance dalam penilaian tingkat kesehatan; | |
c. larangan untuk menerbitkan produk atau melaksanakan aktivitas baru; | |
d. pembekuan kegiatan usaha tertentu; | |
e. pencantuman anggota pengurus dalam daftar tidak lulus melalui mekanisme uji kepatutan dan kelayakan (fit and proper test). | |
(2) Sanksi sebagaimana dimaksud pada ayat (1) huruf b, huruf c, huruf d, atau huruf e dapat dikenakan dengan atau tanpa didahului pengenaan sanksi peringatan tertulis |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
sebagaimana dimaksud pada ayat (1) huruf a. | |
Pasal 36 | Pasal 36 |
(1) Bank yang tidak memenuhi ketentuan pelaporan sebagaimana dimaksud dalam Pasal 29, Pasal 30, atau Pasal 31 Peraturan Otoritas Jasa Keuangan ini dikenakan sanksi administratif berupa denda dengan: | Cukup jelas. |
a. kewajiban membayar Rp1.000.000,00 (satu juta rupiah) per hari keterlambatan per laporan; | |
b. kewajiban membayar Rp50.000.000,00 (lima puluh juta rupiah) per laporan, bagi Bank yang belum menyampaikan laporan setelah 1 (satu) bulan sejak batas akhir waktu penyampaian laporan. | |
(2) Dalam hal Bank dikenakan sanksi kewajiban membayar karena dinyatakan tidak menyampaikan laporan, sanksi kewajiban membayar karena terlambat menyampaikan laporan tidak diberlakukan. | |
(3) Pengenaan sanksi kewajiban membayar sebagaimana dimaksud pada ayat (1) tidak menghilangkan kewajiban penyampaian laporan. | |
Pasal 37 | Pasal 37 |
Bank yang menyampaikan laporan yang tidak sesuai dengan kondisi Bank yang sebenarnya dikenakan sanksi kewajiban membayar sebesar Rp50.000.000,00 (lima puluh juta rupiah) setelah Bank diberikan 2 (dua) kali surat teguran oleh Otoritas Jasa Keuangan dengan tenggang waktu 7 (tujuh) hari kerja untuk setiap teguran dan Bank tidak memperbaiki laporan dalam jangka waktu 7 (tujuh) hari kerja setelah surat teguran terakhir. | Cukup jelas. |
BAB IX | |
KETENTUAN PERALIHAN | |
Pasal 38 | Pasal 38 |
Bank yang telah memiliki kebijakan, standar dan prosedur dalam penggunaan Teknologi Informasi dan pedoman manajemen risiko penggunaan Teknologi Informasi wajib menyesuaikan dan menyempurnakannya paling lama 12 (dua belas) bulan sejak berlakunya Peraturan Otoritas Jasa Keuangan ini | Cukup jelas. |
Pasal 39 | Pasal 39 |
Bank yang telah menggunakan pihak penyedia jasa Teknologi Informasi sebelum berlakunya Peraturan Otoritas Jasa Keuangan ini, wajib menyesuaikan perjanjian yang | Cukup jelas. |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
telah dibuat dengan ketentuan Peraturan Otoritas Jasa Keuangan ini. | |
Pasal 40 | Pasal 40 |
(1) Bank yang telah menggunakan pihak penyedia jasa Teknologi Informasi di luar negeri sebelum berlakunya Peraturan Otoritas Jasa Keuangan ini, wajib memindahkan DC, DRC, dan/atau Pemrosesan Transaksi Berbasis Teknologi yang menyelenggarakan Sistem Elektronik untuk pelayanan publik ke Indonesia paling lambat tanggal 12 Oktober 2017. | Ayat (1) Cukup jelas. |
(2) Dalam rangka pemindahan lokasi DC, DRC, dan/atau Pemrosesan Transaksi Berbasis Teknologi dari luar negeri ke Indonesia maka Bank wajib menyampaikan laporan rencana tindak (action plan) kepada Otoritas Jasa Keuangan paling lambat tanggal 30 Desember 2016. | Ayat (2) Rencana tindak (action plan) antara lain berisi rencana pengembalian DC, DRC, dan/atau Pemrosesan Transaksi Berbasis Teknologi ke dalam negeri dan jangka waktu penyelesaian rencan tindak (action plan). |
BAB X | |
KETENTUAN PENUTUP | |
Pasal 41 | Pasal 41 |
Ketentuan lebih lanjut mengenai Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum diatur dalam Surat Edaran Otoritas Jasa Keuangan. | Cukup jelas. |
Pasal 42 | Pasal 42 |
Pada saat Peraturan Otoritas Jasa Keuangan ini mulai berlaku, Peraturan Bank Indonesia Nomor 9/15/PBI/2007 tanggal 30 November 2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (Lembaran Negara Republik Indonesia Tahun 2007 Nomor 144 DPNP) dicabut dan dinyatakan tidak berlaku. | Cukup jelas. |
Peraturan pelaksanaan dari peraturan Bank Indonesia Nomor 9/15/PBI/2007 tanggal 30 November 2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum dinyatakan tetap berlaku sepanjang tidak bertentangan dengan ketentuan dalam Peraturan Otoritas Jasa Keuangan ini. | |
Pasal 43 | Pasal 43 |
Peraturan Otoritas Jasa Keuangan ini mulai berlaku pada tanggal diundangkan dan ditetapkan. | Cukup jelas. |
Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Otoritas Jasa Keuangan ini dengan penempatannya dalam Lembaran Negara Republik Indonesia. | |
BATANG TUBUH | PENJELASAN |
PERATURAN OTORITAS JASA KEUANGAN | PERATURAN OTORITAS JASA KEUANGAN |
Ditetapkan di Jakarta | |
Pada tanggal Oktober 2016 | |
DEWAN KOMISIONER | |
OTORITAS JASA KEUANGAN, | |
KETUA | |
XXXXXXXX X. XXXXX | |
Diundangkan di Jakarta | |
Pada tanggal Oktober 2016 | |
MENTERI HUKUM DAN HAK ASASI MANUSIA | |
REPUBLIK INDONESIA, | |
XXXXXX XXXXXXXXXX XXXXX | |
LEMBARAN NEGARA REPUBLIK INDONESIA TAHUN 2016 NOMOR |