PENGEMBANGAN DAN PENGADAAN SISTEM

2.4.1. Identifikasi Jenis Risiko Terkait Pengembangan dan Pengadaan

2.4.3.3. Escrow Agreement

Dalam hal aplikasi inti dibuat oleh pihak lain (vendor) dan source code tidak diberikan, kepentingan Bank dalam rangka menjaga kelangsungan usaha perlu dilindungi. Untuk memitigasi risiko atas terhentinya dukungan vendor maka Bank wajib mempertimbangkan perlu tidaknya memiliki perjanjian tertulis berupa escrow

agreement atas perangkat lunak yang dianggap penting oleh Bank. Hal-hal yang

dipertimbangkan dalam penggunaan escrow agreement antara lain reputasi vendor, perangkat lunak digunakan oleh banyak pihak baik di dalam maupun luar negeri.

Dalam escrow agreement terdapat pihak ketiga independen yang ditunjuk untuk menyimpan source code. Bank secara periodik (minimal per tahun) harus

BAB II –PENGEMBANGAN & PENGADAAN

Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 30

memastikan bahwa pihak ketiga menyimpan versi terkini dari source code. Agen penyimpanan yang dipilih harus memastikan nomor dan tanggal versi source yang disimpan dan memastikan kepada vendor mengenai integritas dari source code tersebut.

2.4.3.4. Kontrak Pengembangan dan Perjanjian Lisensi dari Perangkat Lunak a. Lisensi Perangkat Lunak – Umum

Bank harus memastikan bahwa pada lisensi antara lain :

1) jelas tertulis apakah penggunaan perangkat lunak tersebut bersifat eksklusif atau tidak;

2) siapa dan berapa banyak personil pada Bank yang dapat menggunakan perangkat lunak termasuk penggunaan dalam jaringan;

3) apakah terdapat pembatasan lokasi penggunaan;

4) jika Bank menginginkan lisensi lokasi untuk pengguna yang tidak terbatas pada suatu lokasi, harus dipastikan bahwa di dalam kontrak hal tersebut dimungkinkan;

5) jika Bank menginginkan entitas terkait lainnya untuk menggunakan perangkat lunak tersebut, seperti subsidiary atau vendor harus terdapat dalam daftar lisensi.

Bank harus memastikan lisensi juga berlaku atas salinan back-up dari semua perangkat lunak penting yang dibutuhkan di tempat yang terpisah (remote site) dalam pelaksanaan disaster recovery atau memastikan kesinambungan kegiatan usaha Bank (business continuity plan). Bank harus memahami dengan jelas mengenai jangka waktu lisensi dan jika Bank menginginkan lisensi terus menerus untuk menggunakan perangkat lunak, harus dipastikan bahwa pada kontrak tertulis secara eksplisit mengenai hal tersebut.

b. Standar Spesifikasi Pengembangan dan Kinerja Perangkat Lunak

Dalam pengadaan suatu perangkat lunak, Bank harus membuat kontrak perjanjian dengan pihak penyedia jasa pengembangan yang memuat standar spesifikasi program yang diharapkan Bank sesuai dengan kebutuhan pengguna, antara lain: 1) kinerja yang diharapkan dan fungsional dari perangkat lunak;

2) persyaratan perangkat dan infrastruktur yang dibutuhkan untuk menjalankan perangkat;

3) identifikasi dan spesifikasi fungsional di mana perangkat lunak operasional akan bekerja dan identifikasi milestone dari fungsional yang harus dipenuhi oleh vendor selama proses pengembangan;

4) pengaturan izin modifikasi dari spesifikasi dan standar kinerja selama proses pengembangan;

5) identifikasi kebutuhan uji coba guna menentukan pemenuhan standar kinerja perangkat lunak;

6) tindakan yang harus dilakukan pihak pengembang jika perangkat lunak gagal pada saat uji coba.

c. Pemeliharaan

Bank perlu memperhatikan apakah perjanjian lisensi atau pengembangan telah memuat kesepakatan mengenai hal-hal yang diperlukan untuk pemeliharaan perangkat lunak seperti dokumentasi, modifikasi, pengkinian dan konversi. Kesepatan tersebut antara lain seperti:

1) vendor memberikan dokumentasi perangkat lunak, termasuk dokumentasi sistem aplikasi dan petunjuk teknis penggunaan;

2) pelaksanaan dan biaya dari pengkinian dan modifikasi perangkat lunak;

3) kemungkinan Bank melakukan akses ke source code bila pihak penyedia jasa tidak dapat memberikan layanan lagi atau terdapat modifikasi yang tidak dapat dilakukan oleh pihak penyedia jasa;

4) kemungkinan konversi perangkat lunak dan data ke perangkat lunak dan format data yang berbeda di masa mendatang.

Apabila diperlukan, hal-hal diatas dapat dimuat dalam suatu perjanjian pemeliharaan yang tersendiri.

d. Garansi

Penelitian perlu dilakukan Bank untuk meyakini bahwa lisensi perangkat lunak dari pihak vendor menjamin bahwa perangkat lunak:

1) tidak melanggar hak kekayaan intelektual dari pihak lainnya di seluruh dunia 2) tidak mengandung kode rahasia/ terbatas yang tidak diungkapkan atau

pembatasan secara otomatis pada perjanjian

3) akan bekerja sesuai spesifikasi dan harus dinyatakan tanggung jawab vendor jika terjadi permasalahan

4) dijamin pemeliharaannya oleh vendor selama yang diperjanjikan

5) perjanjian lisensi tetap berlaku apabila terjadi merger, pengadaan atau perubahan pemilikan baik pada Bank atau vendor.

e. Penyelesaian Perselisihan

Bank harus memasukkan klausula penyelesaian perselisihan pada kontrak dan perjanjian lisensi. Pemahaman mengenai klausula tersebut akan meningkatkan kemampuan Bank untuk menyelesaikan permasalahan dengan cara terbaik dan memungkinkan untuk meneruskan pengembangan perangkat lunak selama periode penyelesaian perselisihan.

f. Perubahan Perjanjian

Bank harus memastikan bahwa pada lisensi perangkat lunak secara jelas menyatakan bahwa vendor tidak dapat memodifikasi perjanjian tanpa adanya persetujuan dari kedua belah pihak.

BAB II –PENGEMBANGAN & PENGADAAN

Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 32

g. Keamanan

Bank harus menetapkan kriteria pengendalian keamanan (security control) atas sistem Teknologi Informasi yang akan menjadi standar kinerja dari fitur keamanan dalam perjanjian lisensi dan perjanjian pengembangan perangkat lunak. Standar tersebut harus memastikan bahwa perangkat lunak yang dikembangkan konsisten dengan keseluruhan program keamanan yang ada di Bank. Perjanjian lisensi dan pengembangan tersebut antara lain harus membahas:

1) tanggung jawab terus menerus dari pihak vendor untuk melindungi keamanan dan kerahasiaan sumber daya dan data Bank.

2) larangan bagi vendor untuk menggunakan atau mengungkapkan informasi yang dimiliki Bank tanpa persetujuan Bank.

3) garansi dari vendor bahwa perangkat lunak tidak mengandung back door yang memungkinkan akses oleh pihak yang tidak berwenang ke dalam sistem aplikasi dan data Bank.

4) secara eksplisit menyatakan bahwa vendor tidak akan menggunakan fitur perangkat lunak yang dapat mengakibatkan perangkat lunak tersebut tidak berfungsi dengan baik.

h. Sub Kontrak Kepada Vendor Lain

Bank harus menetapkan klausula dalam perjanjian pengembangan yang melarang penugasan kontrak oleh vendor kepada pihak ketiga tanpa persetujuan Bank. Apabila memang terdapat kondisi dimana sebagian dari pengembangan perangkat harus di subkontrakkan maka harus terdapat persetujuan tertulis dari Bank. Dalam memberikan persetujuan sub kontrak tersebut, Bank harus mempertimbangkan tingkat kesulitan dan ketersediaan ahli dalam pengembangan perangkat lunak tersebut serta keamanan data Bank. Disamping itu Bank harus memastikan bahwa terdapat klausula bahwa vendor bertanggung jawab terhadap perangkat lunak meskipun dirancang atau dikembangkan oleh pihak lain.