Syarat Keamanan Siber OJK untuk Fintech: Apa yang Wajib Kamu Penuhi?
Industri fintech Indonesia tumbuh pesat, tapi begitu juga ancamannya. Menurut laporan AFTECH Annual Members Survey 2024-2025, 82,98 persen perusahaan fintech melaporkan fraud eksternal sebagai ancaman dominan, dan 27,12 persen mengalami serangan phishing. (Sumber: Infobank News) Angka ini bukan sekadar statistik, ini sinyal bahwa keamanan siber bukan lagi pilihan, melainkan kewajiban regulasi.
OJK telah menerbitkan berbagai regulasi dan pedoman keamanan siber yang wajib dipatuhi oleh penyelenggara fintech. Artikel ini merangkum syarat-syarat utama yang perlu kamu ketahui dan terapkan.
Dasar Hukum yang Perlu Diketahui
OJK mengatur keamanan siber fintech melalui beberapa regulasi berlapis:
- POJK No. 22 Tahun 2023 tentang Perlindungan Konsumen: mewajibkan semua Pelaku Usaha Jasa Keuangan (PUJK) memastikan keamanan sistem informasi dan ketahanan siber (Pasal 24)
- POJK No. 10/POJK.05/2022 tentang Layanan Pendanaan Bersama (P2P Lending): mengatur sistem pengamanan, rekam jejak audit, dan pengelolaan data pribadi
- Pedoman Keamanan Siber ITSK (Inovasi Teknologi Sektor Keuangan): panduan teknis yang diterbitkan OJK untuk penyelenggara fintech
- PADK OJK 1/2026 (berlaku 1 Maret 2026): mewajibkan notifikasi insiden teknologi informasi ke OJK paling lambat 24 jam setelah diketahui
5 Pilar Syarat Keamanan Siber OJK
OJK menetapkan lima area utama yang harus dipenuhi penyelenggara fintech
1. Perlindungan Data
- Enkripsi data at rest menggunakan AES-256 (minimal AES-128)
- Enkripsi data in transit menggunakan TLS 1.2 atau lebih tinggi
- Penerapan end-to-end encryption (E2EE) untuk semua pertukaran data sensitif
- Manajemen kunci enkripsi yang aman dan terdokumentasi
2. Manajemen Akses dan Autentikasi
- Penerapan prinsip Zero Trust: tidak ada kepercayaan implisit dalam jaringan
- Autentikasi berlapis (Multi-Factor Authentication/MFA) untuk semua akses sistem kritis
- Kebijakan akses dinamis berbasis peran (Role-Based Access Control)
- Pengelolaan perangkat yang ketat untuk seluruh endpoint
3. Manajemen Risiko Siber
- Penilaian risiko siber berkala menggunakan kerangka kerja standar
- Pelaksanaan vulnerability assessment dan penetration testing secara rutin
- Penyusunan prosedur terstruktur dan pelaporan maturitas keamanan siber kepada OJK
4. Tanggap Insiden (Incident Response)
- Memiliki Rencana Tanggap Insiden (Incident Response Plan) yang terdokumentasi
- Koordinasi pemulihan cepat dengan prinsip Business Continuity
- Pelaporan insiden terintegrasi ke OJK (maksimal 24 jam untuk insiden TI sejak PADK 1/2026)
- Audit trail dan rekam jejak aktivitas sistem yang dapat ditelusuri
5. Kepatuhan dan Tata Kelola
- Pelatihan keamanan siber untuk seluruh karyawan secara berkala
- Penunjukan penanggung jawab keamanan siber (setara CISO/Information Security Officer)
- Penyampaian laporan penilaian maturitas keamanan siber kepada OJK
- Kepatuhan terhadap UU Perlindungan Data Pribadi (UU PDP)
Standar Teknis yang Diacu OJK
OJK tidak membuat standar sendiri dari nol. Pedoman yang diterbitkan mengacu pada framework internasional dan nasional berikut:
| Framework | Keterangan |
|---|---|
| ISO 27001 | Standar manajemen keamanan informasi internasional |
| NIST CSF | Cybersecurity Framework dari National Institute of Standards and Technology (AS) |
| CSMA BSSN | Cyber Security Maturity Assessment dari Badan Siber dan Sandi Negara |
| CREST | Standar uji penetrasi dan assessment keamanan siber |
| UU PDP | Undang-Undang Perlindungan Data Pribadi Indonesia |
Checklist Mandiri untuk Penyelenggara Fintech
Sebelum audit OJK, pastikan perusahaanmu bisa menjawab “ya” untuk poin-poin berikut:
- Enkripsi data sensitif sudah diterapkan (AES-256 dan TLS 1.2+)
- MFA aktif untuk semua akses sistem kritikal
- Kebijakan Zero Trust sudah diimplementasikan
- Incident Response Plan sudah dibuat dan diujicoba
- Rekam jejak audit (log) tersimpan dan dapat ditelusuri
- Pentest dilakukan minimal sekali dalam setahun
- Karyawan sudah mendapatkan pelatihan keamanan siber
- Penanggung jawab keamanan siber sudah ditunjuk secara formal
- Laporan maturitas siber siap disampaikan ke OJK
- Prosedur notifikasi insiden 24 jam sudah ditetapkan
Sanksi Jika Tidak Patuh
Berdasarkan POJK No. 22 Tahun 2023, OJK berwenang memberikan sanksi administratif kepada PUJK yang tidak memenuhi kewajiban keamanan siber. Selain itu, UU PDP membuka peluang sanksi hingga 2% dari pendapatan tahunan perusahaan atas kebocoran data yang terjadi akibat kelalaian. Belum lagi risiko reputasi: mitra bisnis dan investor akan langsung mempertanyakan kredibilitas perusahaan begitu satu insiden bocor ke publik.
Kesimpulan
Regulasi keamanan siber OJK untuk fintech terus berkembang dan semakin ketat, dari POJK No. 22/2023 hingga PADK 1/2026 yang baru berlaku Maret lalu. Lima pilar utama yang wajib dipenuhi adalah: perlindungan data, manajemen akses, manajemen risiko, tanggap insiden, dan tata kelola kepatuhan. Perusahaan fintech yang belum melakukan gap assessment terhadap standar ini sebaiknya segera memulai, sebelum OJK yang mengingatkan duluan.
Widya Security membantu perusahaan fintech dan lembaga keuangan digital dalam melakukan security assessment, penetration testing, dan gap analysis kepatuhan OJK. Hubungi kami untuk konsultasi lebih lanjut.
