PENGGUNAAN PIHAK PENYEDIA JASA TEKNOLOGI INFORMASI
10.3. KEBIJAKAN DAN PROSEDUR 1.Kebijakan Umum
10.3.4. Penyedia Jasa Berlokasi di Luar Indonesia
Pada prinsipnya Pusat Data (Data Center) dan/atau Disaster Recovery Center
hendaknya diselenggarakan di dalam negeri. Apabila proses dari pendefinisian kebutuhan yang dilakukan oleh Bank sebelum Bank memutuskan akan menggunakan jasa pihak lain ternyata menghasilkan kebutuhan bisnis akan penggunaan jasa pihak lain di luar negeri untuk menyelenggarakan pusat data (Data Center) dan Disaster
Recovery Center maka Bank dapat mempertimbangkan penggunaan jasa pihak lain di
luar negeri. Satu hal yang harus dipahami oleh Bank-Bank yang merencanakan penggunaan penyedia jasa di luar negara Indonesia bahwa rencana tersebut tidak boleh merupakan upaya untuk menghindari/menghambat pengawasan atau pemeriksaan oleh Bank Indonesia. Sama halnya dengan penggunaan penyedia jasa TI domestik, penggunaan jasa TI pihak asing atau berlokasi di luar Indonesia harus melalui prosedur yang sama yaitu mulai dari due diligence, pemilihan penyedia jasa, pembuatan kontrak dan pengawasan, namun karena terkait dengan perbedaan yurisdiksi maka terdapat persyaratan lain yang harus diperhatikan oleh Bank. Bank yang akan menyelenggarakan Pusat Data (Data Center), Disaster Recovery Center dan/atau Pemrosesan Transaksi Berbasis Teknologi di luar negeri harus mendapat persetujuan dari Bank Indonesia terlebih dahulu. Persetujuan tersebut termasuk untuk penyelenggaraan pada kantor Bank, kantor induk maupun kelompok usaha Bank di luar negeri. Sedangkan penggunaan pihak penyedia jasa di luar negeri untuk kegiatan TI lainnya seperti pengembangan program dan aplikasi yang digunakan Bank serta pemeliharaan hardware & software dapat mempergunakan pihak penyedia jasa di luar negeri tanpa harus terlebih dahulu mendapatkan persetujuan Bank Indonesia sepanjang tunduk kepada atau memenuhi ketentuan pada Pasal 18 PBI Penerapan Manajemen Risiko dalam Penggunaan TI dan ketentuan dalam pedoman ini.
Untuk memperoleh persetujuan Bank Indonesia selain persyaratan yang berlaku pada umumnya juga harus memenuhi hal-hal sebagai berikut:
a. Bank harus melakukan analisis dan studi kelayakan terhadap kebijakan pemerintah, kondisi politik, sosial, ekonomi, dan hukum di negara dimana TI diselenggarakan. Selain itu perlu dilakukan pula analisis mengenai kemampuan Bank untuk
!" #
memantau pihak penyedia jasa secara efektif, kemampuan Bank untuk melaksanakan Business Continuity Plan dan early termination;
b. country risk analysis menunjukkan bahwa tidak terdapat dampak yang signifikan
dari lokasi di luar negeri termasuk apabila terjadi sengketa dengan negara dimana pihak penyedia jasa berada;
c. Bank harus melakukan pengecekan apakah terdapat ketentuan di negara pihak penyedia jasa yang mengharuskan pihak penyedia jasa melakukan information
disclosure atas data nasabah dalam hal atau kasus tertentu walaupun terdapat
klausul kerahasiaan data nasabah di dalam kontrak perjanjian kerja;
d. pada prinsipnya Bank hanya dapat membuat perjanjian dengan pihak-pihak yang beroperasi di yurisdiksi yang secara umum mendukung klausula dan perjanjian kerahasiaan. Karena itu Bank harus memastikan bahwa perjanjian tertulis dengan penyedia jasa juga mencakup choice of law dan Bank memahami dampak dari hukum yang dipilih untuk menyelesaikan sengketa atau masalah hukum dikemudian hari;
e. untuk dapat memberikan setiap data yang diperlukan dalam rangka pengawasan oleh Bank Indonesia maka Bank harus memastikan bahwa struktur database dari setiap aplikasi yang digunakan dimiliki oleh Bank dan disimpan juga di kantor Bank di Indonesia dan terdapat petugas Bank di dalam negeri yang memahami struktur database termasuk technical refference dari database tersebut. Dengan demikian Bank harus meyakini bahwa penempatan Data Center di luar negeri tidak menghambat usaha-usaha untuk mengawasi dan merekonstruksi aktivitas Bank di dalam negeri (misalnya dari pembukuan, rekening, dan dokumen) secara tepat waktu setiap kali dibutuhkan;
f. Bank tidak boleh menempatkan Data Center di yurisdiksi dimana akses terhadap informasi oleh Bank Indonesia atau pihak-pihak yang ditunjuk oleh Bank Indonesia untuk bertindak atas nama Bank Indonesia terhadap Data Center dan service
provider-nya dapat dihambat oleh batasan hukum atau administratif;
g. Bank harus melakukan kajian apakah penyelenggaraan Pusat Data (Data Center),
Disaster Recovery Center dan/atau Pemrosesan Transaksi Berbasis Teknologi di
luar negeri tersebut memungkinkan akses auditor intern Bank, ekstern maupun Bank Indonesia untuk memperoleh data dan informasi yang diperlukan dari penyelenggaraan TI secara tepat waktu setiap kali dibutuhkan;
h. Bank harus memberitahukan kepada Bank Indonesia bila ada otoritas di luar negeri yang meminta akses atas informasi mengenai nasabah Bank atau bila timbul situasi di mana hak akses yang dimiliki Bank atau Bank Indonesia untuk memperoleh informasi dan dokumen dibatasi atau ditolak;
i. apabila di kemudian hari dijumpai hambatan dalam pelaksanaan pemeriksaan penyelenggaraan Pusat Data (Data Center), Disaster Recovery Center dan/atau Pemrosesan Transaksi Berbasis TI di luar negeri tersebut, Bank Indonesia dapat meminta perjanjian penggunaan jasa tersebut agar dihentikan;
!" #
j. kajian yang dilakukan Bank mengenai cost & benefit harus menunjukkan bahwa manfaat bagi Bank melampaui biaya yang dibebankan oleh provider/grup/parent
Bank termasuk peningkatan kualitas pelayanan kepada nasabah;
k. kajian yang dilakukan Bank wajib mencakup pengembangan produk dan perencanaan sumber daya manusia. Diharapkan Bank mampu mengupayakan peningkatan kemampuan sumber daya manusia Bank baik di sisi penyelenggaraan TI yang digunakan maupun di sisi transaksi bisnis atau produk yang ditawarkan meskipun penyelenggaraan TI berlokasi di luar negeri;
l. apabila Bank merupakan KCBA atau Bank yang dimiliki Lembaga Keuangan Asing maka Bank wajib menyampaikan hal-hal sebagai berikut dalam surat permohonan persetujan:
1) Surat Pernyataan dari otoritas pengawas lembaga keuangan di luar negeri bahwa pihak penyedia jasa TI merupakan cakupan pengawasan;
2) Surat Pernyataan tidak keberatan dari otoritas pengawas setempat bila Bank Indonesia hendak melakukan pemeriksaan penyelenggaraan pusat data (Data
Center) dan atau Disaster Recovery Center tersebut;
3) Surat Pernyataan bahwa Bank secara berkala akan menyampaikan hasil penilaian yang dilakukan kantor Bank di luar negeri atas penerapan manajemen risiko pada pihak penyedia jasa. Surat Pernyataan ini mencantumkan periodisasi yang direncanakan;
4) Hasil penilaian oleh kantor Bank di luar negeri atas penerapan manajemen risiko yang dilakukan oleh pihak penyedia jasa.
m. khusus untuk rencana menyerahkan Pemrosesan Transaksi Berbasis TI (aktivitas atau kegiatan penambahan, penghapusan, perubahan dan otorisasi data yang dilakukan pada sistem aplikasi yang digunakan untuk memproses transaksi) kepada pihak lain di luar negeri, diperlukan kajian yang dapat membantu Bank memenuhi persyaratan tambahan lainnya lagi yaitu:
1) memperhatikan aspek perlindungan kepada nasabah;
2) aktivitas tidak merupakan atau terkait dengan inherent banking functions yaitu tabungan, giro, deposito maupun kredit (kecuali kartu kredit). Termasuk dalam hal ini aktifitas pembukaan rekening dan pemeliharaan master file data pribadi nasabah;
3) dokumen pendukung administrasi keuangan atas transaksi yang dilakukan di kantor Bank di Indonesia dapat dipelihara di Indonesia;
4) rencana bisnis yang menunjukkan adanya upaya untuk meningkatkan peran Bank bagi perekonomian di Indonesia.
Permohonan persetujuan wajib disampaikan paling lambat 4 (empat) bulan sebelum perubahan efektif dioperasikan sedangkan persetujuan atau penolakan akan diberikan Bank Indonesia paling lambat 3 (tiga) bulan setelah dokumen permohonan diterima secara lengkap. Selain persyaratan tersebut di atas, Bank Indonesia dapat
!" #
meminta tambahan persyaratan dari Bank dan atau melakukan pemeriksaan lebih lanjut. Permintaan kedua hal tersebut tergantung pada potensi dampak penggunaan pihak penyedia jasa TI terhadap Bank dan tingkat keyakinan atas dokumen yang disampaikan.
