ELECTRONIC BANKING
8.6. PELAPORAN RENCANA & REALISASI PRODUK E-BANKING BARU
Setiap rencana penerbitan produk Electronic Banking yang bersifat transaksional wajib dilaporkan kepada Bank Indonesia paling lambat 2 (dua) bulan sebelum produk tersebut diterbitkan dengan menggunakan Lampiran 2.21. Rencana Penerbitan Electronic Banking Transaksional. Ketentuan pelaporan rencana produk
Electronic Banking berlaku untuk setiap produk baru yang karakteristiknya berbeda
dengan produk yang telah ada di Bank dan/atau menambah atau meningkatkan eksposur risiko tertentu pada Bank. Ketentuan pelaporan ini tidak berlaku untuk produk
Electronic Banking yang diatur secara khusus dalam ketentuan Bank Indonesia
mengenai persyaratan persetujuan produk tersebut.
Dalam hal Teknologi Informasi yang digunakan dalam menyelenggarakan kegiatan Electronic Banking dilakukan oleh pihak penyedia jasa maka berlaku pula ketentuan penggunaan penyedia jasa sebagaimana diatur dalam Bab X mengenai Penggunaan Pihak Penyedia Jasa Teknologi Informasi.
Yang dimaksud dengan “produk Elektronik Banking baru” adalah produk baru yang karakteristiknya berbeda dengan produk yang telah ada di Bank dan/atau menambah atau meningkatkan eksposur risiko tertentu pada Bank, seperti internet
banking dan phone banking untuk nasabah penyimpan.
Dengan demikian apabila Bank hanya menambah jenis layanan pada produk
e-banking yang telah ada dan penambahan risikonya tidak signifikan misalnya
penambahan fasilitas pembayaran melalui e-banking yang semula hanya melayani pembayaran kartu kredit menjadi pembayaran listrik atau telepon, maka penambahan layanan pembayaran tersebut tidak tergolong produk baru sehingga tidak perlu dilaporkan.
Namun jika Bank menambah layanan misalnya yang semula hanya menangani transaksi rupiah kemudian menambah layanan berupa transaksi valuta asing maka Bank harus melaporkan produk baru tersebut karena berdasarkan analisis risiko, transaksi tersebut dapat meningkatkan risiko pasar, risiko hukum, dan risiko lainnya.
Selanjutnya paling lambat 1 (satu) bulan sejak kegiatan tersebut efektif dioperasikan, Bank wajib melaporkan realisasi kegiatan sesuai format Laporan Perubahan Mendasar dalam Penggunaan Teknologi Informasi dengan menggunakan Lampiran 2.3.1. Realisasi Penerbitan Electronic Banking Transaksional. Laporan realisasi tersebut harus dilengkapi dengan tinjauan atas hasil implementasi (Post
Implementation Review) oleh pihak independen. Produk dan/atau aktivitas baru yang
telah dilaporkan dalam Laporan Realisasi Rencana Perubahan Mendasar Teknologi Informasi tidak perlu dilaporkan dalam Laporan Produk dan Aktivitas Baru sebagaimana diatur dalam ketentuan Bank Indonesia mengenai manajemen risiko Bank umum.
8.6.1. Laporan Rencana & Realisasi Produk Baru E-Banking
Dalam laporan Rencana Penerbitan e-banking transaksional, Bank wajib melampirkan: a. bukti-bukti kesiapan untuk menyelenggarakan e-banking yang paling kurang
mencakup:
1) kesiapan struktur organisasi termasuk pengawasan dari pihak manajemen; 2) kesiapan kebijakan, sistem, prosedur dan kewenangan dalam penerbitan produk
e-banking;
3) kesiapan infrastruktur TI untuk mendukung produk e-banking termasuk namun
tidak terbatas pada struktur jaringan, operating system, interface antara
e-bankingsystem dan sistem secara keseluruhan;
4) hasil analisis dan identifikasi risiko yang melekat pada produk e-banking; 5) kesiapan penerapan manajemen risiko khususnya pengendalian pengamanan
(security control) atas produk e-banking yang memadai yang antara lain untuk
memastikan terpenuhinya prinsip kerahasiaan (confidentiality), integritas
(integrity), otentikasi (authentication), non repudiation, dan ketersediaan
(availability);
6) hasil analisis aspek hukum yang terkait dengan perjanjian antara Bank dengan nasabah serta pihak lain yang mendukung, pemilihan hukum yang digunakan saat terjadi perselisihan/sengketa;
7) uraian sistem informasi akuntansi termasuk penjelasan singkat mengenai keterkaitan dengan sistem informasi akuntansi Bank secara menyeluruh;
8) perlindungan nasabah dan program edukasi nasabah atas sistem dan teknologi pengamanan e-banking.
b. Hasil analisis bisnis mengenai proyeksi produk baru 1 (satu) tahun kedepan sekurang-kurangnya memuat:
1) potensi pasar yang ada;
2) segmen pasar yang akan dituju; 3) analisis persaingan usaha;
4) target nasabah yang ingin dicapai; 5) rencana kerja sama dengan pihak lain; 6) target pendapatan yang akan dicapai.
c. Hasil pemeriksaan dari pihak independen untuk memberikan pendapat atas karakteristik produk dan kecukupan pengamanan produk serta kepatuhan terhadap ketentuan dan/atau praktek-praktek yang berlaku di dunia internasional.
8.6.1.1. Pemeriksaan oleh Pihak Independen
Hasil pemeriksaan oleh pihak independen sebagaimana dimaksud di atas, ditujukan untuk memberikan pendapat atas karakteristik produk dan kecukupan pengamanan sistem TI terkait produk tersebut serta kepatuhan terhadap ketentuan
dan/atau praktek-praktek yang berlaku (best practice) yang memenuhi standar internasional seperti ISO, IEC, COBIT, IT-IL.
Yang dimaksud dengan pihak independen adalah pihak-pihak yang tidak terlibat dalam perancangan dan pengembangan sistem aplikasi serta pengambilan keputusan untuk implementasi (go or no go).
Hasil pemeriksaan dari pihak independen di luar Bank (Kantor Akuntan Publik atau perusahaan konsultan dibidang IT Security atau sejenisnya) diperlukan untuk produk e-banking bersifat transaksional yang baru pertama kali diterbitkan oleh Bank seperti internet banking yang bersifat transaksional dan sms banking yang bersifat transaksional.
Sedangkan untuk penambahan fitur layanan produk e-banking yang telah ada di Bank yang dapat menambah atau meningkatkan eksposur risiko Bank dapat menggunakan pihak internal untuk melakukan independent review.
Contoh:
a. transaksi melalui ATM yang sebelumnya nasabah tidak bisa melakukan pemindahbukuan antar rekening menjadi dapat melakukan pemindahbukuan; b. transaksi melalui ATM yang pada mulanya hanya dapat melakukan
pemindahbukuan antar rekening dalam Bank kemudian ditambah sehingga dapat melakukan transfer antar Bank.
Bank perlu memastikan bahwa pihak eksternal yang digunakan memiliki kompetensi dan pemahaman terhadap produk yang akan di-review terutama dalam aspek pengamanan TI. Dalam hal Bank menggunakan pihak internal untuk melakukan independent review maka Bank wajib menyampaikan uraian tugas dan tanggung jawab dari pihak tersebut serta kedudukannya dalam struktur organisasi pada proyek pengembangan aplikasi e-banking.
8.6.1.2. Ruang Lingkup Pemeriksaan Pihak Independen
Bank wajib memastikan bahwa laporan yang disampaikan oleh pihak independen mengenai kesiapan TI Bank untuk kegiatan e-banking yang direncanakan memuat periode pemeriksaan, ruang lingkup, metode pemeriksaan, temuan, rekomendasi, tanggapan manajemen atas temuan serta target penyelesaian. Adapun ruang lingkup pemeriksaan meliputi:
a. pengawasan aktif manajemen;
b. kecukupan kebijakan dan prosedur pengamanan sistem e-banking untuk memastikan terpenuhinya prinsip kerahasiaan, integritas, ketersediaan dan non
repudiation dalam setiap transaksi e-banking;
c. kecukupan penerapan dan pemantauan terhadap pengamanan sistem aplikasi e-
banking yang disiapkan bank yang meliputi:
2) pengamanan untuk mendeteksi transaksi yang tidak wajar;
3) terdapat pemeliharaan dan kaji ulangatas audit trail log transaksi;
4) pengamanan fisik yang memadai atas perangkat komputer dan perangkat komunikasi terkait produk/jasa e-banking;
5) pengamanan atas jaringan internal bank sehingga terlindung dari serangan yang berasal dari eksternal;
6) pengamanan atas data dan database transaksi e-banking.
d. Business Continuity Plan dan prosedur tanggap darurat (incident response
management);
e. penggunaan pihak penyedia jasa TI sebagai penyelenggara e-banking;
f. kaji ulang atas analisis risiko dalam produk baru e-banking yang meliputi sekurang-kurangnya risiko strategis, risiko pengamanan, risiko hukum, risiko reputasi;
g. program edukasi dan perlindungan nasabah termasuk kehati-hatian dalam pembukaan rekening dan dalam melakukan transaksi melalui e-banking.
