KAJIAN SINGKAT KETENTUAN HUKUM PENGGUNAAN KOMPUTASI AWAN DI ERA TRANSFORMASI DIGITAL SEKTOR JASA KEUANGAN
(CLOUD WHITE PAPER)
Sebagai Masukan dan Saran dari Indonesian Corporate Counsel Association (ICCA) kepada Otoritas Jasa Keuangan Republik Indonesia
Didukung oleh:
FISIPOL, Universitas Gadjah Mada
Microsoft Indonesia
Sepatah Kata
Assalamualaikum Wr.Wb Salam sejahtera Perkumpulan Penasihat Hukum Internal Perusahaan, yang lebih dikenal dengan Indonesian Corporate Counsel Association (“ICCA”), adalah asosiasi yang mewadahi penasihat hukum internal perusahaan (in-house lawyers), termasuk penasihat hukum internal yang bernaung di sektor jasa keuangan. Selaku asosiasi profesi yang lekat dengan dunia usaha, maka ICCA sangat mendukung Paket Kebijakan Ekonomi Jilid XIV yang diluncurkan oleh Presiden Republik Indonesia Joko Widodo untuk mendorong Digitalisasi Ekonomi dan program Transformasi Digital di sektor jasa keuangan yang dicanangkan oleh Otoritas Jasa Keuangan. Sebagai lini industri terdepan dalam memfasilitasi dan menyelenggarakan transaksi bisnis, sektor jasa keuangan dituntut untuk menjadi pelopor transformasi digital. Keberhasilan di sektor ini nantinya akan menjadi penentu kelancaran digitalisasi di seluruh elemen bisnis secara keseluruhan. Salah satu faktor penentu yang dapat mendorong percepatan transformasi digital adalah komputasi awan. Dengan digunakannya teknologi ini maka sektor jasa keuangan akan dapat mengelola sistim transaksi keuangan yang terpercaya, cepat dan aman Tidak berbeda dengan inovasi teknologi lainnya, komputasi awan terlahir tanpa adanya kesiapan perangkat hukum. Tidak berbeda ketika mesin uap, jaringan listrik, mobil dan internet diciptakan. Masyarakat dunia usaha mulai menggunakannya tanpa harus menunggu perangkat hukum. Memerlukan waktu yang panjang bahkan beberapa dekade bagi otoritas saat itu untuk menyusun ketentuan yang memadai untuk mengatur teknologi tersebut. Era transformasi digital tidak bisa menunggu selama itu. Digitalisasi menuntut kecepatan karena itulah tujuan dari digitalisasi itu sendiri. Namun kepastian hukum tetaplah mutlak diperlukan. Oleh karena itu ICCA semenjak tahun 2014 telah memulai inisiatif mengadakan berbagai diskusi dan workshop mengenai komputasi awan, kemudian mengarah pada sektor jasa keuangan. Hingga akhirnya kami memandang perlu untuk membuat suatu Kajian Singkat mengenai Komputasi Awan sebagai bahan masukan dan saran kepada Otoritas Jasa Keuangan dalam menata infrastruktur hukum sektor jasa keuangan agar para pelaku di sektor dapat melaju cepat di masa digitalisasi tanpa adanya kekhawatiran akan resiko kepatuhan maupun keamanan. Atas nama seluruh pengurus ICCA dan Steering Committee yang dibentuk khusus untuk inisiatif ini, kami mengucapkan terimakasih kepada Otoritas Jasa Keuangan yang telah memberikan kesempatan kepada kami untuk berkontribusi dan bersumbangsih bagi masa depan industri keuangan di Indonesia. Kami juga menyampaikan penghargaan kepada kantor konsultan hukum Mataram Partners, Center for Digital Society FISIPOL Universitas Gajah Mada, dan Microsoft Indonesia yang telah membantu kami dalam pembuatan Kajian Singkat ini. INDONESIAN CORPORATE COUNSEL ASSOCIATION
Yudhistira Setiawan Ketua Dewan Pengurus
Nur Mustika Ningtyas Ketua Komite Pengarah Sektor Jasa Keuangan
1
Daftar Isi
1. Pendahuluan 2. Komputasi Awan dan Jasa Keuangan
A. Pengertian Komputasi Awan
(i) Definisi
(ii) Sejarah Perkembangan Komputasi Awan
(iii) Klasifikasi dan Jenis
(iv) Keamanan Siber
B. Komputasi Awan dalam Mendorong Transformasi Digital dan Teknologi Keuangan
(i) Tren Komputasi Awan dalam Transaksi Keuangan Lintas Negara
(ii) Kebermanfaatan Komputasi Awan dalam Meningkatkan Efisiensi dan Produktivitas Perusahaan pada Industri Jasa Keuangan di Negara Berkembang
3. Lansekap Ketentuan Hukum Indonesia terkait Komputasi Awan
a. Dasar Hukum
b. Ketentuan Terkait dengan Lokasi Data
c. Peran Instansi Pengawas dan Pengatur Sektor Jasa Keuangan
d. Keamanan Sistem Elektronik
e. Kepastian Hukum Dalam Transaksi Lintas Batas
f. Kekuatan Pembuktian Data Elektronik dan Tanda Tangan Elektronik
4. Kesimpulan dan Saran Mengenai Pengaturan Komputasi Awan
a. Manfaat Positif
b. Kewenangan OJK
c. Kesetaraan
d. Prinsip Kehati-hatian (Prudential Principle)
Lampiran
I. Pedoman Penggunaan Layanan Komputasi Awan oleh Lembaga Jasa Keuangan
II. Daftar Periksa Komputasi Awan
1. Pendahuluan
Sejarah mencatat terjadinya tiga revolusi industri, dimulai dengan lahirnya mesin uap pada 1784, kemudian penemuan teori aliran listrik di 1870, dan mulai diproduksinya komputer elektronik di tahun 1969. Saat ini dunia tengah menghadapi revolusi industri keempat, yang berbentuk inovasi teknologi secara radikal yang menghubungkan semua mesin melalui internet yang lebih dikenal dengan Transformasi Digital. Secara umum, transisi menuju Transformasi Digital jauh lebih agresif di temukan di sektor jasa keuangan karena beberapa faktor seperti meningkatnya kompetesi di pasar, perilaku konsumen, dan perubahan iklim regulasi terkait. Transformasi Digital telah mendorong layanan keuangan berubah dramatis dari berbagai aspek, baik metode pembayaran, transfer dana, pinjaman, pengumpulan dana, penyimpanan data, hingga pengelolaan asset. Kesemua kegiatan ini dapat terlaksana apabila didukung dengan sarana infrastruktur dan solusi teknologi yang memadai. Komputasi awan adalah salah satu faktor utama yang memberikan fondasi bagi jasa keuangan untuk dapat beroperasi sesuai dengan kondisi zaman yang menuntut kecepatan waktu dan lintas batas. Semenjak krisis finansial global, sektor perbankan dan jasa keuangan lainnya aktif mengadopsi teknologi terkini untuk meningkatkan kualitas dari pelayanannya. Menurut survey yang di lakukan oleh Capgemini, “15% nasabah bank berpotensi untuk pindah bank dalam 6 bulan kedepan demi mendapatkan pelayanan yang lebih optimal. Angka ini melonjak ke 50% untuk kategori para millineials”1. Di waktu yang bersamaan, Celent juga mengeluarkan survey di mana di temukan, “70% dari anggaran IT yang di gunakan oleh perbankan di gunakan hanya untuk pemeliharaan infrastruktur IT”.2 Dua penemuan tersebut bisa menjadi kesimpulan dasar dari pesatnya perkembangan transformasi digital di sektor perbankan dan jasa keuangan lainnya. Penelitian yang dilakukan beberapa konsultan berstandar internasional seperti Gartner3 , KPMG4 dan IDC5 juga menyatakan bahwa pada intinya komputasi awan adalah kemutlakan zaman yang tidak mungkin dihindari, bahkan harus diterima dan dimanfaatkan untuk kepentingan berbagai pihak. Namun teknologi selalu lahir lebih awal dari hukum dan kali ini teknologi melaju sangat cepat. Era Transformasi Digital yang identik dengan kecepatan tidak bisa menunggu. Pelaku jasa keuangan harus mengambil keputusan cepat dalam menentukan pilihan khususnya untuk penggunaan komputasi awan. Tujuan dari Kajian Singkat ini adalah untuk memberikan masukan dan saran kepada Otoritas Jasa Keuangan dalam menyusun kerangka hukum dan panduan bagi sektor jasa keuangan dalam memilih dan menggunakan komputasi awan. Diawali dengan penjabaran pengertian dan manfaat komputasi awan bagi perekonomian, Kajian Singkat ini akan memaparkan peta aturan hukum saat ini terkait komputasi awan dan akhirnya memberikan saran dan rekomendasi.
Capgemnini Survey Celent 1Gartner: Smarter with Gartner, Why a No-Cloud Policy Will Become Extinct, February 2, 2016 4 2KPMG: 2014 Cloud Survey Report, Elevating business in the cloud, December 10, 2014 5 IDC Market Spotlight, Cloud Definitions and Opportunity, April 2015 1 2
2
III. Kepastian Hukum Transaksi Lintas Batas
IV. Bagaimana Hukum Indonesia memandang Kepastian Hukum dan Pembuktian atas Transaksi Finansial dalam komputasi Awan
V. Analisa Manfaat Ekonomi dari Komputasi Awan untuk Industri Jasa Keuangan
3
3
2. Komputasi Awan dan Jasa keuangan A. Pengertian Komputasi Awan
(i) Definisi
(ii) Sejarah Perkembangan Komputasi Awan
Beberapa tahun terakhir, dunia mulai mengenal konsep Cloud Computing atau sistem komputasi awan. Pada era digital sekarang ini, aplikasi teknologi cloud sudah cukup banyak dilakukan di kehidupan sehari-hari seperti penggunaan email, media sosial (Facebook, Twitter, dll), marketplace online, dan sebagainya. National Institute of Standards and Technology (“NIST”) -Departemen Perdagangan Amerika Serikat, mendefinisikan komputasi awan sebagai “suatu model untuk menciptakan kenyamanan dalam akses jaringan sesuai keperluan ke dalam wadah bersama sumber daya komputasi (seperti; jaringan, server, penyimpanan, aplikasi dan layanan) yang dapat dikonfigurasi dengan cepat dan dirilis dengan upaya manajemen yang minimal atau minimal interaksi antar-penyedia jasa manajemen.”6
Untuk lebih memahami mengenai komputasi awan, penting kiranya untuk mengetahui sekilas tentang sejarah perkembangan komputasi awan itu sendiri. Teknologi cloud merupakan hasil dari evolusi bertahap dari teknologi komputer. Sebelum komputasi awan menjadi fenomena seperti sekarang ini, perkembangan teknologi komputer didahului dengan serangkaian fenomena terdahulu seperti grid computing, ASP/application service provision dan juga SaaS/software as a service. Pada tahun 1960an, muncul sistem yang dikenal dengan sebutan “Intergalactic Computer Network” yang digagas oleh J.C.R. Licklider. Licklider memiliki ambisi di mana setiap orang di dunia akan mampu terkoneksi satu sama lain dan mampu menjalankan program dan mengakses data dari berbagai situs dari berbagai tempat di dunia. Berdasarkan dari pemikiran Lickdiler inilah kemudian perkembangan komputasi awan berlanjut.
Secara umum, komputasi awan merupakan gabungan pemanfaatan berbagai teknologi komputer (komputasi) dalam suatu jaringan yang menggunakan internet (awan) sebagai basisnya. Sistem komputasi ini memiliki fungsi untuk menjalankan aplikasi atau program melalui komputer-komputer yang terhubung pada waktu yang bersamaan. Meski demikian, tidak semua komputer yang terkoneksi menggunakan teknologi komputasi awan.
Dalam perjalanannya, konsep Lickdiler mendapat tambahan dari para ahli. Salah satunya, John McCarthy yang menyumbangkan gagasan mengenai jaringan komputasi yang dapat digunakan oleh publik. Sejak saat itulah komputasi awan berkembang sejalan dengan perkembangan web, internet, perangkat lunak (software) yang bersifat universal dan juga jaringan bandwith berkecepatan tinggi. Saat ini, jaringan internet menjadi pendorong perkembangan sistem komputasi awan.
Dengan internet sebagai pusat server yang mengelola data dan aplikasi dari pengguna, sistem komputasi cloud memungkinkan para penggunanya untuk menjalankan program dan berbagai aplikasi tanpa melalui proses instalasi. Menggunakan koneksi internet, teknologi ini memungkinkan pengguna untuk mengakses data pribadi melalui komputer atau gadget mereka sendiri.
Tahun 1999 menjadi tahun yang bersejarah bagi perkembangan komputasi awan. Situs storage.salesforce.com menjadi situs pertama pencetus aplikasi perusahaan yang dijalankan oleh internet. Setelah itu muncul situs Amazon pada tahun 2006 dengan menggunakan teknologi Elastic Compute Cloud. Pada tahun 2009 Google dan berbagai perusahaan besar lainnya mulai menawarkan aplikasi dengan browser sebagai basisnya seperti Google apps.
Apa saja yang bisa dilakukan dengan Komputasi Awan? • Menciptakan aplikasi-aplikasi dan layanan baru • Menyimpan, menyadangkan (back up) dan memulihkan data • Meng-host website dan blog • Streaming audio dan video
Komputasi awan memungkinkan situs layanan web yang dapat dikomersialkan dan memungkinkan individu, perusahaan kecil maupun besar, perbankan, bahkan pemerintah untuk menyewa komputer maupun penyedia layanan (server) untuk menjalankan aplikasi-aplikasi yang mereka miliki. Komputasi awan telah banyak diterapkan oleh berbagai perusahaan penyedia layanan termasuk perusahaan teknologi informasi (IT) ternama di dunia seperti Google, IBM, maupun Microsoft.
Gambar 1: Diagram Ilustrasi komputasi awan diadaptasi dari Sam Johnston
Dalam NIST, 2011, Special Publication 800-145, seperti dikutip pada http://www.hukumonline.com/klinik/detail/ lt50c97b8b0dc50/aspek-hukum-penerapan-teknologi-komputasi-awan-cloud-computing
6
4
5
(iii) Klasifikasi dan Jenis Dengan pertimbangan efisiensi biaya, fleksibilitas dan mitigasi risiko pengelolaan data elektronik, saat ini, baik sektor publik, privat maupun individu dapat menyimpan data atau informasi elektronik miliknya ke dalam fasilitas komputasi awan. Penyimpanan informasi atau data elektronik pada komputasi awan itu sendiri merupakan bagian dari sebuah perjanjian layanan atau “Service Level Agreement” (SLA) yang disepakati antara penyelenggara komputasi awan dengan pengguna atau customer. Penempatan data elektronik tersebut dapat dilakukan dari mana saja.7 Software as a Service (SaaS)
SaaS merupakan layanan komputasi awan di mana pengguna dapat langsung memakai software yang telah disediakan tanpa harus melakukan penginstalan apapun. Contoh layanan SaaS ini adalah Facebook, Gmail, GTalk, Skype dan Twitter. Semakin berkembangnya teknologi membuat berbagai software yang mana dulu si pengguna harus membeli lisensi dan menginstal terlebih dahulu (on-premise), saat ini telah dapat dinikmati melalui komputasi awan tanpa perlu membayar apapun lagi.
Platform as a Service (PaaS)
Dalam layanan ini, pengguna membuat aplikasi sendiri. Untuk menjalankannya, pengguna komputasi awan dapat menyewa “rumah” berikut lingkungan-nya (seperti database engine, network, sistem operasi, framework aplikasi, dan sebagainya). Pemeliharaan “rumah” ini menjadi tanggung jawab dari penyedia layanan sehingga pengguna dapat fokus kepada aplikasi yang dibuat. Contoh penyedia layanan PaaS ini adalah: Windows Azure dan Amazon Web Service.
Infrastructure as a Service (IaaS)
Hybrid Cloud
Public Cloud
Merupakan layanan komputasi awan yang disediakan untuk memenuhi kebutuhan internal organisasi atau perusahaan. Di sini Service Provider (penyedia layanan) akan diperankan oleh departemen IT sedangkan departemen lain dalam organisasi atau perusahaan itu akan berperan sebagai user (pengguna layanan/pemakai). Sebagai Service Provider, departemen IT akan bertanggungjawab dengan operasional layanan (baik infrastruktur, platform maupun aplikasi) berdasarkan standar yang ditetapkan oleh perusahaan atau organisasi.8
Merupakan gabungan layanan Private Cloud dan Public Cloud yang diimplementasikan oleh suatu organisasi atau perusahaan. Di sini pengguna dapat mengidentifikasi dan memilih proses bisnis atau data mana yang bisa dipindahkan ke Public Cloud dan mana yang harus tetap berada di Private Cloud.
Public cloud merupakan layanan cloud yang bersifat publik dan dapat diakses oleh masyarakat umum. Pengguna dapat mendaftar ataupun langsung dapat menggunakan layanan yang ada. Banyak sekali layanan Public Cloud yang bisa dinikmati secara gratis, namun ada pula yang harus membayar untuk dapat menggunakannya.
Contoh layanan Private Cloud:
Contoh implementasi Hybrid Cloud:Organisasi A menyewa layanan Windows Azure (Public Cloud) sebagai “rumah” dari aplikasi yang dibuat oleh organisasi tersebut. Karena undang-undang yang berlaku, data-data dari organisasi A tidak boleh berada di pihak ketiga. Oleh karena itu, organisasi tersebut dapat tetap menyimpan data-data di Private Cloud mereka menggunakan koneksi internal mereka. Organisasi B sudah memiliki Active Directory yang berjalan di atas Windows Server mereka (Private Cloud) dan menyewa layanan Office 365 (Public Cloud) sehingga bisa dikonfigurasikan oleh Active Directory sebagai identitas login di Office 365.
Contoh Public Cloud yang gratis: GoogleMail, Facebook, Windows Live Mail, Twitter dan sebagainya. Contoh Public Cloud yang berbayar: Office 365, Windows Azure, Adobe Creative Cloud, SalesForce, Amazon EC2, dan sebagainya.
Keuntungan: Keungtungan dari private cloud adalah terjaminnya keamanan data karena dikelola secara internal. Selain itu, dapat menghemat bandwith internet karena hanya mengakses dari jaringan internal.
Keuntungan dari Hybrid Cloud adalah terjaminnya data karena dapat dikelola sendiri. Selain itu, user memiliki keleluasaan untuk memilih proses bisnis yang harus tetap berjalan di Private Cloud maupun proses bisnis yang dapat dipindahkan ke Public Cloud dengan tetap menjamin integrasi dari keduanya.13 Sistem Hybrid Cloud banyak diimplementasikan oleh berbagai pemerintah di berbagai kota di dunia.
Keuntungan: Untuk layanan yang gratis, user tidak perlu berinvestasi apapun, baik itu infrastruktur, platform maupun aplikasi karena hanya tinggal menggunakannya saja. Untuk yang berbayar, lebih hemat karena hanya membayar sesuai pemakaian (pay as you go).
Kerugian: Membutuhkan investasi yang besar karena harus mengadakan infrastruktur sendiri. Selain itu, dibutuhkan SDM khusus untuk pemeliharaan dan operasional.14
Untuk kerugiannya, pengguna harus tetap menyiapkan infrastruktur untuk aplikasi yang membutuhkan integrasi antara Public Cloud dan Private Cloud. Namun demikian masih lebih hemat daripada hanya mengandalkan Private Cloud
Kerugian: Tergantung dengan kualitas layanan internet karena public cloud berbasis pada layanan internet. Selain itu, keamanan data perlu dipastikan karena tidak semua penyedia layanan menjamin keamanan data pengguna. Perlu kehatihatian dalam memilih provider Public Cloud ini.
SaaS: Mail Server Internal, Web Application Internal, Sharepoint, Database Server untuk keperluan internal.9 PaaS: Sistem Operasi + Web Server + Framework + Database yang disediakan untuk internal.10 IaaS: Visual Machine yang disediakan sesuai dengan permintaan/kebutuhan internal perusahaan atau organisasi.11
Pada layanan jenis ini, pengguna dapat menyewa infrastruktur IT seperti komputasi, memory, storage dan network yang kemudian dapat diupgrade sesuai kebutuhan pengguna tanpa perlu membeli computer fisik. Kapasitas penyimpanan data (storage) dan memory (RAM), kecepatan bandwith serta besarnya unit komputasi dapat disesuaikan dengan yang akan disewa. Pengguna juga dapat menginstal aplikasi dan sistem operasi yang diinginkan. Penyedia layanan IaaS ini yaitu Windows Azure, Amazon EC2, TelkomCloud, BizNetCloud dan berbagai penyedia lainnya.
Tabel 1: Jenis Layanan Komputasi Awan
Selain ketiga jenis layanan cloud di atas, layanan komputasi awan juga dapat dibedakan lagi berdasarkan sifat layanannya sebagai berikut:
Gambar 2: Jenis-jenis Cloud berdasarkan sifat layanannya (Ilustrasi gambar diambil dari: http://www.myrealdata.com)
Tabel 3: Sifat Layanan Komputasi Awan
Dalam http://www.hukumonline.com/klinik/detail/lt50c97b8b0dc50/aspek-hukum-penerapan-teknologi-komputasi-awan-cloud-computing
8
7
6
Private Cloud
9
Berdasarkan informasi dari www.cloudindonesia.or.id Ibid. 10Ibid. 11Ibid. 12Ibid. 13Ibid. 14Ibid.
7
Sedangkan dari model penggunaannya, NIST membagai komputasi awan menjadi sebagai berikut (Mell & Grance, 2011): Model Penggunaan
Komputasi Awan Privat
Komputasi Awan Komunitas
Komputasi Awan Publik15
Komputasi Awan Campuran (Hibrid)
Tujuan penggunaan
Penggunaan eksklusif oleh satu organisasi yang terdiri dari beberapa konsumen (misalnya, unit-unit bisnis)
Penggunaan eksklusif oleh komunitas konsumen tertentu dari organisasi yang memiliki urusan yang sama (misalnya, misi, persyaratan keamanan, kebijakan dan pertimbangan kepatuhan)
Penggunaan terbuka oleh masyarakat umum
Merupakan komposisi dua atau lebih infrastruktur komputasi awan yang berbeda (privat, komunitas atau publik) yang unik, namun terikat bersama oleh teknologi standar atau yang dimiliki suatu pihak yang memungkinkan perpindahan data dan aplikasi
Dimiliki, dikelola dan dioperasikan oleh
Organisasi, pihak ketiga, atau beberapa kombinasi dari mereka
Satu atau lebih organisasi di masyarakat, pihak ketiga, atau kombinasi dari mereka
Organisasi bisnis, akademis, pemerintahan atau kombinasi dari mereka
Keberadaan
On premise atau off premise
On premise atau off premise
Di lokasi penyedia komputasi awan
(iv) Keamanan Siber Tahun demi tahun, serangan siber terus meningkat dari segi frekuensi, tingkat keparahan dan dampaknya (PWC, 2016). Hermans (2014) mengatakan bahwa keamanan siber bukan merupakan hal yang baru, akan tetapi, meningkatnya angka kejadian serangan siber dan keseriusan dari serangan-serangan tersebut telah sampai kepada tahap bahwa keamanan siber merupakan salah satu risiko substansial terhadap organisasi mana pun. Menurut survei yang diadakan oleh salah satu lembaga konsultan, CyberEgde, pada akhir tahun 2014 terhadap 814 personel keamanan IT yang tersebar dalam 19 bidang usaha di kawasan Amerika Utara dan Eropa, 71% perusahaan mengakui bahwa mereka telah berhasil diserang secara siber pada 2014, dan 52% responden berpendapat bahwa mereka dapat dengan sukses diserang secara siber pada 2015 (Hackett, 2015). Terlebih lagi, salah satu tantangan terbesar saat ini adalah untuk mendeteksi bahwa suatu gangguan merupakan serangan siber kepada sistem. Suatu laporan yang dikeluarkan oleh suatu firma keamanan siber FireEye memperkirakan bahwa peretas (hackers) atau penyerang (attackers) telah berada di dalam sistem korban sekitar 200 hari sebelum mereka akhirnya ditemukan (Muncaster, 2015). Terkait dengan Indonesia, Gambar di bawah ini menunjukan persentase data serangan siber dalam bentuk perangkat lunak mencurigakan (malicious software atau malware) di Indonesia dan perbandingannya secara mendunia:
Tabel 4: Model Penggunaan Komputasi Awan 15 Publik ‘tidak berarti’ ‘gratis’. Penyedia komputasi awan publik dapat menawarkan beberapa layanan secara gratis, namun secara umum mereka mengenakan biaya rata-rata setidaknya untuk menutupi biaya mereka. (The Open Group, 2011).
Gambar 3: Persentase Perjumpaan Komputer dengan Malware secara Global (Microsoft SIR, 2015)
Gambar 4: Tingkat Perjumpaan Malware dkk. untuk Komputer di Indonesia Berbanding Global (Microsoft SIR, 2015)
8
Gambar 5: Tingkat Perjumpaan Perangkat Lunak yang Tidak Dimaui untuk Komputer di Indonesia Berbanding Global (Microsoft SIR, 2015)
9
Pada tahun 2014, World Economic Forum memperkirakan nilai ekonomis yang diserang oleh serangan siber mencapai lebih dari US$3 triliun. Dengan tingginya nilai ekonomis yang dipertaruhkan, maka keamanan siber menjadi sangat penting (Chinn dkk., 2014). Terlebih lagi, organisasi tidak hanya terpapar risiko finansial terkait penipuan dan kehilangan pemasukan, tetapi juga risiko terkait rusaknya reputasi dan perlindungan hak atas kekayaan intelektual (Hermans, 2014). Termasuk juga risiko privasi, kepatuhan terhadap peraturan dan keberlangsungan usaha. Menurut Laporan Global State of Information Security Survey 2017 yang dilakukan oleh PWC (2016), komputasi awan yang berbasis keamanan siber merepresentasikan suatu pendekatan dinamis terhadap risiko yang dapat membantu organisasi untuk lebih memahami keseluruhan ekosistem bisnis mereka dan juga ancaman baik internal maupun eksternal. Komputasi awan berbasis keamanan siber tersebut dapat ditambahkan dengan mesin pembelajaran dan kecerdasan buatan yang dapat menganalisis aktivitas jaringan dan menggabungkan ancaman dan informasi log, kemudian menguraikan data ini secara waktu nyata (real time) untuk menciptakan suatu penilaian yang dapat segera ditindaklanjuti. PWC (2016) dalam laporannya juga menambahkan bahwa platform-platform komputasi awan yang tercanggih juga menawarkan kemampuan heuristik (heuristic capability), yang memungkinkan platform untuk beradaptasi secara langsung dan berkembang dengan lebih kuat dengan setiap serangan jaringan dan data, dan dengan kata lain, suatu platform komputasi awan tidak hanya tangguh (resilient) tetapi juga dapat bangkit kembali lebih kuat dan lebih baik.
(i) Tren Komputasi Awan dalam Transaksi Keuangan Lintas Negara Transaksi keuangan lintas negara terjadi setiap hari baik melalui perdagangan (eksporimpor), pendanaan, sewa-menyewa, transfer dana internasional, pencairan dana dan lain sebagainya. Jutaan bahkan miliaran transaksi terjadi setiap harinya. Industri jasa keuangan, sebagai pemain kunci dalam setiap transaksi ini, tentunya memegang peranan penting dalam menangani setiap transaksi. Saat ini, dengan perkembangan bisnis e-commerce, lalu lintas transaksi keuangan antar negara tentu saja akan meningkat pesat. Gambar 5 menunjukkan prediksi eMarketer (2016) bahwa omset bisnis e-commerce akan mencapai $1,915 triliun di tahun 2016 dan mencapai $4,058 triliun di tahun 2020. Menurut PracticalEcommerce (2009), 90% dari bisnis e-commerce menggunakan teknologi komputasi awan. Tentu saja, angka ini menunjukkan potensi yang luar biasa dari baik perdagangan internasional modern berbasis digital maupun teknologi komputasi awan. Dengan perkembangan ini, industri jasa keuangan, terutama perbankan dituntut untuk mampu merespon dengan strategis.
Pemaparan mengenai bangkitnya ancaman keamanan siber adalah untuk menunjukkan betapa pentingnya standar keamanan suatu teknologi mampu melindungi dunia usaha, khususnya jasa keuangan yang sangat sensitif dalam hal kerahasiaan dan privasi. Pada bagian akhir Kajian Singkat ini akan dibahas bahwa hal ini patut mendapat sorotan dari Otoritas Jasa Keuangan dalam memberikan panduan bagi pengguna komputasi awan.
B. Komputasi Awan dalam Mendorong Transformasi Digital dan Teknologi Keuangan
Perkembangan teknologi yang pesat dalam era globalisasi saat ini membuat hubungan saling ketergantungan lintas negara akan ketersediaan barang dan jasa di tingkat global tidak terelakkan lagi (UNDP, 2015). Siklus hidup teknologi digital yang cenderung pendek karena tingginya kecepatan inovasi menjadi salah satu penyebab utama terjadinya revolusi digital. Belakangan ini, revolusi digital ditandai dengan meningkatnya kebutuhan masyarakat akan akses internet dan teknologi digital yang memudahkan kebutuhan mobilitas. Pada tahun 2015, UNDP menunjukkan bahwa akses internet menjangkau 81% rumah tangga di negara maju, diikuti 34%, dan 7% rumah tangga masing-masing di negara berkembang dan kurang berkembang. Bahkan, sebagaimana tergambar dalam Gambar 4, terdapat peningkatan tajam jumlah pelanggan telepon seluler dalam kurun waktu sepuluh tahun dari 0 hingga 7,1 miliar yang nyaris mendekati angka populasi penduduk dunia sebesar 7,3 miliar pada akhir 2015. Sedangkan pelanggan internet menembus angka lebih dari 3,2 miliar dalam kurun waktu sama. Perkembangan revolusi digital ini akan diperkuat dengan semakin diterimanya berbagai teknologi digital baru, seperti komputasi awan
Gambar 7: Omset Penjualan Sektor Retail e-Commerce Global 2015 - 2020 (eMarketer, 2016)
Salah satu respon strategis sektor perbankan adalah penggunaan komputasi awan dalam sistem perbankan. Menurut Forbes, pada tahun 2014, beberapa bank di negara seperti Tunisia (Zitouna Bank), Australia (Suncorp Bank Australia dan Commonwealth Bank of Australia), Spanyol (Bankinter), dan Belanda (De Nederlandsche Bank) menjadi pelopor dalam penggunaan komputasi awan. Di Asia Pasifik, beberapa bank mulai menerapkan komputasi awan sejak tahun 2015 (IDC Financial Insights, 2015) di antaranya adalah India (HDFC Bank), Thailand (Siam Commercial Bank), Malaysia (Hong Leong Bank), Filipina (Philippine Business Bank), Cina (China Everbright, China Construction Bank, China UnionPay, dan Bank of China), Hongkong (JETCO), Australia (Commonwealth Bank of Australia, Suncorp, ING Direct Australia, dan ANZ Bank), dan di Selandia Baru (Westpac New Zealand). Sebagai sektor industri yang sarat akan standar tata kelola perusahaan, institusi perbankan sangat berhati-hati dalam mengadopsi komputasi awan. Secara umum, komputasi awan digunakan untuk melayani penilaian aplikasi kredit, analisis pasar, pangkalan data (database), aplikasi kepegawaian, serta aplikasi mobil dalam institusi perbankan. Sedangkan dilihat dari tipe komputasi awan, sebagian besar bank menggunakan komputasi awan campuran (hibrid). Sementara ini, hanya Zitouna Bank (Tunisia) yang menggunakan komputasi awan publik untuk kebutuhan pelayanan perbankannya.
Gambar 6: Pelanggan Internet dan Telepon Seluler di Seluruh Dunia (UNDP, 2015)
10
11
Berbeda dengan sektor perbankan yang sudah lebih banyak mengadopsi komputasi awan, dalam industri pasar modal, komputasi awan masih belum banyak dimanfaatkan. Beberapa bursa efek terkemuka telah menggunakan komputasi awan seperti misalnya Jerman dengan broker komputasi awan (cloud broker) (lihat Gambar 6), NewYork Stock Exchange dengan komputasi awan khusus (specialty cloud) bernama “Capital Market Community Platform” (Business Wire, 2011), serta NASDAQ untuk kebutuhan penyimpanan data pasar (TechTarget, 2010).
Secara ekonomis, terdapat beberapa manfaat dari pengadopsian komputasi awan. Komputasi awan ini dapat mengalihkan pengeluaran modal (capital expenditure) menjadi pengeluaran operasional (operating expenditure). Dengan fitur “pay-as-you-go” dari komputasi awan, biaya-biaya yang bersifat tetap (fixed expenses) dapat dialihkan menjadi biaya variabel (variable expenses). Perubahan perilaku belanja modal dan biaya entitas bisnis maupun pemerintahan ini setidaknya dapat menghasilkan penghematan atas pengeluaran belanja modal teknologi informasi sebesar 45% (Marston, dkk., 2011) hingga 50% (Carr, 2013). Tidak hanya itu, terdapat juga beberapa manfaat ekonomis lainnya seperti dapat terlihat pada Gambar 7.
Gambar 8: Cloud Computing Exchange (Forrester Research, 2013)
Namun demikian di negara-negara anggota ASEAN yang saat ini sedang mengupayakan perdagangan saham terintegrasi melalui bursa efek ASEAN, belum ada data yang menyebutkan bahwa bursa saham di negara-negara ASEAN telah menggunakan komputasi awan.
(ii) Kebermanfaatan Komputasi Awan dalam Meningkatkan Efisiensi dan Produktivitas Perusahaan pada Industri Jasa Keuangan di Negara Berkembang Untuk melihat pemanfaatan investasi modal pada teknologi informasi, studi yang dilakukan Gomolski (2005) menemukan bahwa investasi modal pada teknologi informasi di berbagai entitas bisnis maupun pemerintahan seringkali kurang maksimal digunakan. Gomolski menyatakan bahwa entitas subjek penelitiannya hanya menggunakan sekitar 10%-30% kapasitas kemampuan teknologi informasinya. Secara rata-rata lintas industri, hanya 6% kapasitas kemampuan teknologi informasi yang digunakan secara maksimal (Marston, dkk., 2011). Dengan adanya komputasi awan, hal ini tentu dapat dihindari. Entitas bisnis maupun pemerintahan dapat memberikan prioritas untuk memaksimalkan investasi modalnya untuk hal yang lebih strategis. Bagi negara berkembang yang akses teknologi informasi dan internetnya belum stabil dan merata, komputasi awan justru merupakan peluang terjadinya revolusi teknologi, tanpa harus melakukan belanja modal teknologi informasi yang mahal (Marston, dkk., 2011).
12
Gambar 9: Manfaat Ekonomis Komputasi Awan pada Sektor Perbankan (IBM, 2013)
Penghematan biaya yang dilakukan entitas bisnis dan pemerintahan melalui adopsi komputasi awan akan memungkinkan pemanfaatan aset teknologi maupun aset entitas lainnya secara lebih maksimal (resource utilization). Peningkatan produktivitas dengan diadopsinya komputasi awan ini antara lain adalah tercapainya tujuan entitas (baik laba maupun untuk pelayanan publik) sebagai efek dari berkurangnya kegiatan rutin terkait teknologi informasi serta fleksibilitas dan kemudahan skalabilitas infrastruktur teknologi informasi. Komputasi awan mampu untuk selalu mengakomodasi dinamika kebutuhan teknologi informasi pada industri jasa keuangan yang melibatkan miliaran arus informasi dan transaksi setiap harinya. Penyesuaian kebutuhan teknologi informasi dapat dilakukan dengan cepat dan reliabel tanpa entitas harus melakukan belanja infrastruktur teknologi informasi yang baru. Namun demikian, perkembangan komputasi awan ini masih sangat bergantung pada keputusan regulator. Di banyak negara, regulasi masih menjadi kendala bagi implementasi komputasi awan. Sekalipun demikian, tidak ada satu pun peraturan di seluruh dunia yang melarang baik entitas bisnis maupun pemerintahan untuk mengadopsi komputasi awan. Disinilah kemudian peran regulator menjadi krusial sebagai penggerak dan juga pengawas pengimplementasian komputasi awan, terutama di industri jasa keuangan.
13
3. Lansekap Ketentuan Hukum Indonesia terkait Komputasi Awan
(a) Dasar Hukum Penyelenggara Sistem Elektronik Pelayanan Publik
Undang-Undang Republik Indonesia (“UU”) No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik16 (“UU ITE”) yang berlaku efektif sejak 21 April 2008, dapat dikatakan telah memberikan dasar pengaturan terhadap komputasi awan. Definisi sistem elektronik dalam UU ITE adalah “Serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik.” Definisi ini sangat luas dan tidak terinci sehingga dapat juga mencakup komputasi awan.
Pasal 17 (2) PP 82/2012
Pusat Data dan Pusat Pemulihan Data wajib di Indonesia
Sektor keuangan diatur lebih lanjut oleh Instansi Pengawas dan Pengatur Sektor
UU ITE memberikan gambaran umum mengenai sistem elektronik dan lebih berfokus terhadap keabsahan informasi elektronik, dokumen elektronik, tanda tangan elektronik serta transaksi elektronik. Pengaturan terperinci mengenai sistem elektronik dapat ditemukan dalam Peraturan Pemerintah Republik Indonesia (“PP”) No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (“PP 82/2012”) yang merupakan peraturan pelaksanaan dari UU ITE.
Pasal 17 (3) & Pasal 1 (5) PP 82/2012
OJK adalah Instansi Pengawas dan Pengatur Sektor jasa keuangan
Gambar 10: Penyelenggara Sistim Elektronik Pelayanan Publik
(b) Ketentuan Terkait dengan Lokasi Data
Hal tersebut di atas menunjukkan bahwa terkait dengan komputasi awan, maka sektor jasa keuangan sudah seharusnya tunduk pada peraturan yang diterbitkan OJK, termasuk peraturan terkait dari Bank Indonesia yang belum diganti oleh OJK18.
Terkait dengan lokasi data, PP 82/2012 memuat ketentuan yang membedakan antara penyelenggaraan sistem elektronik untuk pelayanan publik dan nonpelayanan publik yang mengatur bahwa penyelenggara sistem elektronik untuk pelayanan publik wajib menempatkan pusat data dan pusat pemulihan bencana di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan dan penegakan kedaulatan negara terhadap data warga negaranya (Pasal 3 ayat (2) dan Pasal 17 ayat (2))17.
Tidak bisa dibantah bahwa PP 82/2012 telah menimbulkan kesan bagi sebagian kalangan bahwa penggunaan komputasi awan tertutup bagi sektor jasa keuangan, dikarenakan adanya argumentasi bahwa jasa keuangan adalah pelaku pelayanan publik. Jika merujuk pada ketentuan yang berlaku mengenai pelaku pelayanan publik maka seharusnya persilangan pendapat ini tidak perlu terjadi. Berdasarkan UU No. 25 Tahun 2009 tentang Pelayanan Publik dan PP No. 96 Tahun 2012 tentang Pelaksanaan UU No. 25 Tahun 2009 tentang Pelayanan Publik (“PP 96/2012”), pengertian pelaku pelayanan publik secara sederhana adalah Badan Usaha Milik Negara (“BUMN”), Badan Usaha Milik Daerah (“BUMD”), lembaga pemerintahan, lembaga negara, lembaga independen yang dibentuk berdasarkan undang-undang dan badan hukum yang ditunjuk untuk melaksanakan misi negara.
Selanjutnya PP 82/2012 juga menetapkan bahwa ketentuan lebih lanjut mengenai pusat data dan pusat pemulihan bencana sebagaimana tersebut di atas diatur oleh Instansi Pengawas dan Pengatur Sektor (Pasal 17 ayat (3)). Pengertian dari Instansi Pengawas dan Pengatur Sektor tersebut adalah instansi yang bertugas mengawasi pelaksanaan tugas sektor dan mengeluarkan pengaturan terhadap sektor tersebut misalnya sektor perbankan dan sektor perhubungan (Pasal 1 angka 5 PP 82/2012). Sehubungan dengan sektor jasa keuangan, Instansi Pengawas dan Pengatur Sektor adalah Otoritas Jasa Keuangan (“OJK”) sebagaimana diatur dalam Undang-Undang Republik Indonesia No. 21 Tahun 2011 tentang Otoritas Jasa Keuangan (“UU OJK”). Dalam melakukan fungsi untuk mengatur lebih lanjut mengenai penempatan data untuk sektor jasa Keuangan, OJK memiliki kewenangan penuh sesuai dengan ketentuan dalam UU OJK yang menyebutkan bahwa OJK adalah lembaga independen dalam melaksanakan tugas dan wewenangnya, bebas dari campur tangan pihak lain, kecuali diatur lain dalam undang-undang tersebut.
Ruang Lingkup Pelayanan Publik
Pelayanan barang publik
Sebagaimana telah diubah dan disetujui oleh Dewan Perwakilan Rakyat Republik Indonesia pada 27 Oktober 2016. Pada saat tulisan ini dibuat, undang-undang yang mengubah UU ITE belum diberi nomor dan belum diterbitkan oleh Sekretariat Negara Republik Indonesia. 17 Salah satu perbedaan dari penyelenggaraan sistem elektronik untuk pelayanan publik dan nonpelayanan publik adalah adanya kewajiban pendaftaran untuk penyelenggara sistem elektronik untuk pelayanan publik (lihat Peraturan Menkominfo No. 36 Tahun 2014 tentang Prosedur Pendaftaran untuk Penyelenggara Sistem Elektronik dan Peraturan Menkominfo No. 10 Tahun 2015 tentang Tata Cara Pendaftaran Sistem Elektronik Instansi Penyelenggara Negara).
Pelayanan administratif
Pelayanan jasa publik
16
Dilakukan oleh instansi pemerintah dan dibiayai oleh APBN/APBD
Dilakukan oleh BUMN/BUMD
Ketersediaannya merupakan Misi Negara
Dilakukan oleh instansi pemerintah dan dibiayai oleh APBN/APBD
Dilakukan oleh BUMN/BUMD
Ketersediaannya merupakan Misi Negara
Pelayanan yang menghasilkan berbagai bentuk dokumen resmi yang dibutuhkan oleh Masyarakat
Oleh pemerintah
Oleh instansi nonpemerintah berdasarkan perjanjian dengan penerima pelayanan
Gambar 11: Ruang Lingkup Pelayanan Publik berdasarkan PP 96/2012
18
14
Pasal 70 UU OJK.
15
Penyelenggara Pelayanan Publik
Lembaga negara, lembaga pemerintahan, satuan kerja penyelenggara (SKP)
Korporasi milik negara atau pemerintah daerah atau SKP
(c) Peran Instansi Pengawas dan Pengatur Sektor Jasa Keuangan
Lembaga independen yang dibentuk berdasarkan UU, atau SKP
Berdasarkan subsidi/bantuan sejenisnya ditetapkan dalam peraturan perundangundangan
Misi Negara adalah kebijakan untuk mengatasi permasalahan tertentu, kegiatan tertentu, atau mencapai tujuan tertentu yang berkenaan dengan kepentingan dan manfaat orang banyak
Pada tahun 2015, OJK telah menerbitkan Surat OJK No. S-44/PB.1.2015 tertanggal 25 Agustus 2015 perihal Penerapan PP 82/2012 (“Surat OJK 44/2015”) yang memuat panduan kriteria sistem elektronik yang dapat ditempatkan di luar Indonesia. Surat OJK 44/2015 adalah bentuk pelaksanaan kewenangan OJK untuk lokasi data dan penggunaan komputasi awan di sektor perbankan sesuai ketentuan Pasal 17 ayat (3) PP 82/2012.
Badan hukum lain yang menyelenggarakan pelayanan publik dalam rangka melaksanakan misi negara
Berdasarkan norma, standar, prosedur dan kriteria atau berdasarkan izin sesuai bidang pelayanan bersangkutan sebagaimana ditetapkan dalam peraturan perundang-undangan
Terbitnya Surat OJK 44/2015 tentunya tidak terlepas dari kenyataan bahwa pada tahun 2007, Bank Indonesia telah menerbitkan Peraturan Bank Indonesia No. 9/15/PBI/2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (“PBI 9/15/2007”) yang mengatur bahwa bank dapat menyelenggarakan pusat data dan pusat pemulihan bencana di luar Indonesia sepanjang mendapatkan persetujuan dari Bank Indonesia. Keberadaan PBI 9/15/2007 yang sampai saat ini masih berlaku juga dapat diinterpretasikan sebagai pengakuan bahwa pengaturan penggunaan komputasi awan di sektor keuangan sepenuhnya berada di bawah kewenangan OJK.
Dengan besaran nilai aktiva paling sedikit 50 kali besaran pendapatan per kapita per tahun di wilayah administrasi pemerintah penyelenggara pada tahun berjalan dan jaringan pelayanan yang pengguna pelayanannya tidak dibatasi oleh wilayah administrasi pemerintahan
OJK bukanlah satu-satunya lembaga yang telah menjalankan kewenangan Instansi Pengawas dan Pengatur Sektoral. Pada tahun 2013, Satuan Kerja Khusus Pelaksana Kegiatan Usaha Hulu Minyak dan Gas Bumi (“SKK Migas”) telah menerapkan kewenangan tersebut .19
Gambar 12: Penyelenggara Pelayanan Publik berdasarkan PP 96/2012
UU No. 7/1992 tentang perbankan diubah dengan UU No. 10/1998
Dengan merujuk pada PP 96/2012 dan fakta bahwa tidak semua jasa keuangan dilaksanakan oleh pelaku usaha yang berbentuk BUMN/BUMD, maka kewajiban penempatan pusat data dan pusat pemulihan bencana di Indonesia bagi penyelenggara sistem elektronik pelayanan publik sebagaimana diatur dalam Pasal 17 ayat (2) PP 82/2012, tidak dapat diterapkan pada sektor jasa keuangan. Adapun untuk jasa keuangan yang berstatus BUMN, argumentasi bahwa jasa keuangan adalah pelaku pelayanan public tetaplah lemah jika dirujuk pada Undang-Undang Republik Indonesia No. 19 Tahun 2003 tentang Badan Usaha Milik Negara (“UU BUMN”). Di dalam undang-undang ini diatur bahwa tujuan pendirian Persero adalah untuk mengejar keuntungan guna meningkatkan nilai perusahaan dan tujuan pendirian Perum adalah penyediaan barang dan/atau jasa dengan harga terjangkau untuk kemanfaatan umum (Pasal 12 butir (b) dan Pasal 36 ayat (1)).
Peraturan Bank Indonesia No. 9/15/PBI/2007 tentang penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
Pasal 19 PBI mengatur mengenai, salah satunya, penempatan pusat data dan/atau pusat pemulihan bencana di dalam negeri kecuali dengan persetujuan BI (sekarang OJK)
UU No. 11/2008 tentang Informasi dan Transaksi Elektronik
UU No. 25/2009 tentang Informasi dan Pelayanan Publik
Pasal 17 ayat 2 mengatur mengenal kewajiban penempatan pusat data dan pusat pemulihan bencana di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan dan penegakan kedaulatan negara terhadap data warga negaranya bagi penyelenggara sistem elektronik untuk pelayanan publik
PP No. 96/2012
Antara lain mengatur definisi, ruang lingkup dan penyelenggara pelayanan publik
PP No. 82/2012
Persero
Perum
Menyediakan barang dan/atau jasa yang bermutu tinggi dan berdaya saing kuat.
Maksud dan tujuannya adalah menyelenggarakan usaha yang bertujuan untuk kemanfaatan umum berupa penyediaan barang dan/atau jasa yang berkualitas dengan harga yang terjangkau oleh masyarakat berdasarkan prinsip pengelolaan perusahaan yang sehat.
Mengejar keuntungan guna meningkatkan nilai perusahaan.
Tabel 5: Definisi BUMN
16
Surat OJK No. S-44/PB.1.2015 tertanggal 25 Agustus 2015 yang merujuk kepada Pasal 17 PP 82/2012 dan membatasi jenis-jenis sistem elektronik yang dapat ditempatkan di luar negeri
Pasal 17 ayat 3 memberikan kewenangan kepada Instansi Pengawas dan Pengatur untuk mengatur lebih lanjut mengenai penempatan pusat data dan pusat pemulihan bencana di dalam negeri
Gambar 13: Interaksi PP 82/2012 dengan Pengaturan Perbankan
17
Untuk sektor keuangan nonbank, OJK telah menerbitkan Surat Edaran OJK No. 10/ SEOJK.05/2016 tentang Pedoman Penerapan Manajemen Risiko dan Laporan Hasil Penilaian Sendiri Penerapan Manajemen Risiko bagi Lembaga Jasa Keuangan NonBank (“SEOJK 10/2016”)20. Surat edaran ini juga salah satu bentuk pelaksanaan kewenangan OJK sesuai ketentuan Pasal 17 ayat (3) dari PP 82/2012. Namun di satu sisi, SEOJK 10/2016 menimbulkan pertanyaan dari berbagai kalangan karena adanya perbedaan perlakuan kepada sektor keuangan bank dan nonbank. PBI 9/15/2007 dan Surat OJK 44/2015 mengizinkan sektor bank untuk menggunakan komputasi awan atau menyelenggarakan penempatan pusat dan pusat pemulihan bencana di luar Indonesia sepanjang mendapatkan persetujuan OJK, sementara SEOJK 10/2016 menetapkan bahwa (a) untuk sektor asuransi konvensional harus dilakukan Indonesia, (b) pembiayaan perlu ditempatkan di Indonesia; dan (c) dana pension sebaiknya ditempatkan di Indonesia.
Sektor asuransi (termasuk reasuransi dan jasa penunjang asuransi) Sebagai bagian dari sistem informasi manajemen risiko, harus melakukan penempatan pusat data di Indonesia untuk kepentingan penegakan hukum dan perlindungan terhadap data tertanggung/pemegang polis/ nasabah (Lampiran I SEOJK 10/2016, Bagian I, Subbagian D, nomor 8 & Lampiran III SEOJK 10/2016, Bagian I, Subbagian D, nomor 8)
Sektor usaha pembiayaan
Sektor usaha dana pensiun
Sebagai bagian dari sistem informasi manajemen risiko, perlu melakukan penempatan pusat data di Indonesia untuk kepentingan penegakan hukum dan perlindungan terhadap data konsumen (Lampiran VII SEOJK 10/2016, Bagian I, Subbagian D, nomor 8)
Sebagai bagian dari sistem informasi manajemen risiko, sebaiknya melakukan penempatan pusat data di Indonesia untuk kepentingan penegakan hukum dan perlindungan terhadap data peserta, pensiunan, dan pihak yang berhak (Lampiran V SEOJK 10/2016, Bagian I, Subbagian D, nomor 8)
Tabel 6: Pengaturan Penempatan Pusat Data untuk Jasa Keuangan NonBank
telah mengeluarkan Surat Keputusan Nomor:KEP-0008/SKO0000/2013/S) tertanggal 10 Januari 2013 tentang Pedoman Tata Kerja Pengelolaan Teknologi Informasik dan Komunikasi pada Kontrak Kerja Sama yang mengatur bahwa data-data tertentu dalam industri ini dapat ditempatkan di luar negeri sepanjang mendapatkan persetujuan Menteri Energi dan Sumber Daya Mineral.
19
20 Dikeluarkan berdasarkan Peraturan OJK No. 1/POJK.05/2015 tentang Penerapan Manajemen Risiko bagi Lembaga Jasa Keuangan NonBank.
(d) Keamanan Sistem Elektronik Sebagai salah satu bentuk pelaksanaan PP 82/2012, Menkominfo telah mengeluarkan ketentuan yang terakait dengan keamanan siber, yaitu Peraturan No. 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi (“Permenkominfo 4/2016”) yang mensyaratkan penyelenggara sistem elektronik untuk pelayanan publik untuk menerapkan sistem manajemen keamanan informasi berdasarkan asas risiko21. Permenkominfo 4/2016 mengharuskan penyelenggara sistem elektronik untuk pelayanan publik untuk melakukan penilaian diri (self-assessment) untuk kemudian memutuskan apabila sistem elektronik yang dioperasikannya termasuk dalam salah satu kategori sebagai berikut: Kategori “strategis”
Kategori “tinggi”
Kategori “rendah”
sistem elektronik dengan dampak yang serius untuk kepentingan umum, pelayanan publik, kelancaran operasi negara pemerintahan atau negara pertahanan dan keamanan
sistem elektronik dengan dampak terbatas untuk kepentingan sektor tertentu dan/atau daerah
sistem elektronik lainnya yang tidak termasuk kategori “strategis” ataupun “tinggi”
Tabel 7: Kategori Sistim Elektronik
Berdasarkan hasil penilaian tersebut, Menkominfo akan menetapkan kategori final dari sistem elektronik terkait (untuk kategori tertentu, rekomendasi dari Instansi Pengawas dan Pengatur Sektor diperlukan sebelum Menkominfo mengeluarkan penetapan ini). Setiap kategori sistem elektronik tersebut membebankan persyaratan tertentu yang diatur dalam Permenkominfo 4/2016, termasuk persyaratan terkait dengan keamanan. Sehubungan dengan persyaratan keselamatan tersebut: (i) jika sistem elektronik dikategorikan sebagai “strategis”, penyelenggara yang bersangkutan harus mematuhi persyaratan keamanan SNI ISO/IEC 27001 dan persyaratan keamanan yang ditetapkan oleh Instansi Pengawas dan Pengatur Sektor; (ii) jika sistem elektronik dikategorikan sebagai “tinggi”, penyelenggara yang bersangkutan harus mematuhi persyaratan keamanan SNI ISO/IEC 27001; dan (iii) jika sistem elektronik dikategorikan sebagai “rendah”, penyelenggara yang bersangkutan harus mematuhi pedoman Indeks Keamanan Informasi yang akan diatur oleh Menkominfo.
(e) Kepastian Hukum Dalam Transaksi Lintas Batas Dua hal utama yang harus diperhatikan dalam suatu transaksi lintas batas untuk memastikan adanya suatu kepastian hukum adalah hukum yang berlaku dan penyelesaian sengketa. Dalam suatu transaksi lintas batas, adanya klausul-klausul mengenai kedua hal ini menjadi penting karena para pihak berasal dari negara-negara yang berbeda yang mungkin memiliki aturan-aturan yang berbeda pula mengenai hal-hal yang diatur dalam kontrak transaksi lintas batas. Oleh karenanya, harus terdapat satu pilihan hukum dan pilihan forum yang disepakati demi adanya kepastian hukum atas transaksi lintas batas tersebut. Definisi “penyelenggara sistem elektronik untuk pelayanan publik” dalam Permenkominfo 4/2016 sama dengan definisi “penyelenggara pelayanan publik” yang diatur dalam PP 96/2012.
21
18
19
4. Kesimpulan dan Saran Mengenai Pengaturan Komputasi Awan
Berdasarkan analisa dan kajian sebagaimana telah diuraikan pada bab-bab sebelummnya, maka dapat ditarik kesimpulan sebagai berikut: (a) Manfaat Positif Data-data ekonomi dan kajian teknis telah nyata menunjukkan bahwa penggunaan komputasi awan adalah salah satu pendorong transformasi digital di sektor keuangan yang secara otomatis akan memberikan dampak positif bagi pertumbuhan ekonomi. Komputasi awan tidak hanya mempermudah proses transaksi dan pelayanan di sektor jasa keuangan, namun juga membantu efisiensi biaya dan peningkatan produktifitas. Oleh karena itu diperlukan adanya regulasi yang secara pasti dan jelas memberikan kesempatan bagi sektor jasa keuangan untuk mengadopsi komputasi awan, baik komputasi awan privat, komputasi awan publik, komputasi awan komunitas ataupun komputasi awan campuran (hibrid). Disamping itu komputasi awan juga menjadi salah satu faktor pendukung dalam keamanan siber. Hal ini sangat krusial mengingat sensitif dan kritikal informasi yang beredar di dunia jasa keuangan. (b) Kewenangan OJK
(f) Kekuatan Pembuktian Data Elektronik dan Tanda Tangan Elektronik UU ITE mengakui bahwa data elektronik, dalam bentuk informasi elektronik dan/atau dokumen elektronik22 dan/atau hasil cetaknya, adalah alat bukti yang sah secara hukum23 sebagai perluasan pembuktian yang sah sesuai dengan Kitab Undang-Undang Hukum Acara Pidana, dengan ketentuan bahwa data elektronik tersebut menggunakan sistem elektronik yang tunduk kepada ketentuan UU ITE. Keberadaan informasi elektronik dan/ atau dokumen elektronik adalah mengikat dan diakui sebagai alat bukti yang sah untuk memberikan suatu kepastian hukum kepada penyelenggara sistem elektronik, khususnya dalam hal pembuktian dan hal-hal lain yang terkait dengan tindakan hukum yang dilakukan melalui sistem elektronik. UU ITE juga mengakui bahwa tanda tangan elektronik memiliki kekuatan hukum dan akibat hukum yang sah sepanjang memenuhi persyaratan berikut: (i) data pembuatan Tanda Tangan Elektronik terkait hanya kepada Penanda Tangan; (ii) data pembuatan Tanda Tangan Elektronik pada saat proses penandatanganan elektronik hanya berada dalam kuasa Penanda Tangan; (iii) segala perubahan terhadap Tanda Tangan Elektronik yang terjadi setelah waktu penandatanganan dapat diketahui; (iv) segala perubahan terhadap Informasi Elektronik yang terkait dengan Tanda Tangan Elektronik tersebut setelah waktu penandatanganan dapat diketahui;
Ketentuan hukum terkait dengan komputasi awan yang berlaku saat ini, khususnya UU ITE dan PP 82/2012, tidak melarang penggunaan komputasi awan di sektor jasa keuangan. PP 82/2012, diperkuat dengan UU OJK, justru memberikan kewenangan kepada OJK untuk melakukan pengaturan tersebut. Untuk sektor jasa keuangan bank, OJK telah menentukan bahwa komputasi awan diperkenankan sepanjang mendapatkan persetujuan OJK dan terbatas pada jenis-jenis data sesuai dengan panduan yang telah dikeluarkan oleh OJK. Dengan merujuk pada kajian akan kemampuan teknologi komputasi awan dalam pengamanan kerahasiaan dan privasi data, sudah saatnya bagi OJK untuk mengkaji ulang batasan tersebut. Seharusnya kekhawatiran akan ancaman kerahasiaan data tidak perlu ada jika layanan komputasi awan telah memenuhi standardisasi dan sertifikasi taraf internasional yang berkredibilitas, salah satu contohnya adalah yang dikeluarkan oleh International Organization from Standardization (“ISO”). (c) Kesetaraan Untuk sektor jasa keuangan nonbank, OJK juga telah memberlakukan aturan yang agak berbeda dengan bank, dimana sektor asuransi, pembiayaan dan dana pensiun diatur tidak seragam. Hal ini dikhawatirkan akan membuat laju pertumbuhan di subsektor jasa keuangan nonbank akan menjadi tidak secepatnya industri perbankan yang tentunya dapat berdampak pada keseimbangan ekonomi nasional. Sebagaimana diketahui seluruh bagian dari jasa keuangan haruslah saling melengkapi dalam berkontribusi pada roda perekonomian. Agar hal ini dapat terkelola dengan baik, disarankan kepada OJK untuk membuat kebijakan yang menyetarakan kesempatan penggunaan komputasi awan bagi seluruh komponen di dunia jasa keuangan.
(v) terdapat cara tertentu yang dipakai untuk mengidentifikasi siapa Penandatangannya; dan (vi) terdapat cara tertentu untuk menunjukkan bahwa Penanda Tangan telah memberikan persetujuan terhadap Informasi Elektronik yang terkait. Berdasarkan perubahan UU ITE yang telah disetujui oleh Dewan Perwakilan Rakyat Republik Indonesia pada 27 Oktober 2016, tampak bahwa perubahan ini mengikuti putusan Mahkamah Konstitusi yang menyatakan dokumen elektronik yang diperoleh melalui penyadapan (intersepsi) tanpa seizin pengadilan tidak sah sebagai bukti. (http://nasional.kompas.com/read/2016/11/28/08042611/uu.ite.yang.baru.mulai.berlaku.hari.ini).
22
Kecuali surat yang menurut Undang-Undang harus dibuat dalam bentuk tertulis dan surat beserta dokumennya yang menurut Undang-Undang harus dibuat dalam bentuk akta notaril atau akta yang dibuat oleh pejabat pembuat akta. (Pasal 5 ayat (4) UU ITE).
23
20
21
(d) Prinsip Kehati-hatian (Prudential Principle) Penggunaan komputasi awan secara optimal tentunya akan memompa kinerja sektor keuangan, namun hal ini sulit untuk terjadi jika pelaku jasa keuangan sendiri belum memahami dengan mendalam. Memilih penyedia jasa komputasi awan adalah langkah pertama yang harus dilakukan dengan penuh kehati-hatian. Jika gagal dalam tahapan awal ini maka tidak mustahil suatu perusahaan jasa keuangan justru akan mengalami banyak permasalahan baik dari segi efisiensi, kinerja maupun keamanan data. Sebaliknya jika mampu menerapkan prinsip kehati-hatian dengan seksama dan konsisten, maka pelaku jasa keuangan diyakini akan mendapat manfaat yang optimal. Selaku lembaga yang memegang otorisasi atas jasa keuangan, maka sudah saatnya bagi OJK menerbitkan suatu pedoman bagi industri keuangan dalam memilih dan menggunakan layanan komputasi awan. Pedoman ini harus bertitik berat pada aspek keamanan atau manajemen risiko teknologi industri, dan selanjutnya secara mendalam mengatur mengenai standar keamanan, audit, transparansi, proteksi, kerahasiaan dan hal lainnya terkait komputasi awan yang dapat dimanfaatkan oleh pelaku usaha jasa keuangan. Dalam Lampiran I Kajian Singkat akan diuraikan Pedoman Penggunaan Layanan Komputasi Awan oleh Lembaga Jasa Keuangan yang telah kami himpun dari berbagai sumber terutama dari Asia Cloud Computing Association (“ACCA”) dan yang telah mengadopsi ketentuan-ketentuan yang dimuat dalam ISO/IEC 27001: Manajemen Keamanan Informasi (Information Security Management) dan ISO/IEC 27018. Diharapkan Pedoman Penggunaan Layanan Komputasi Awan oleh Lembaga Jasa Keuangan ini dapat dijadikan referensi oleh OJK dalam menyusun peraturan dan pedoman terkait penggunaan komputasi awan untuk lembaga jasa keuangan, baik bank maupun nonbank, secara keseluruhan.
LAMPIRAN 1 Pedoman Penggunaan Layanan Komputasi Awan oleh Lembaga Jasa Keuangan Bab 1: Pengantar Bagian A: Mengenai Pedoman ini
(1) Pedoman Penggunaan Layanan Komputasi Awan oleh Lembaga Jasa Keuangan ini (“Pedoman”) diterbitkan oleh Otoritas Jasa Keuangan Republik Indonesia (“OJK”) dan berlaku untuk pengadaan dan penggunaan Layanan Komputasi Awan oleh LJK (sebagaimana didefinisikan di bawah). (2) Pedoman ini berlaku untuk semua lembaga jasa keuangan di Indonesia, termasuk bank, perusahaan asuransi, dana pensiun dan perusahaan pembiayaan (semuanya disebut sebagai “Lembaga Jasa Keuangan” atau “LJK”). (3) Pedoman ini menjelaskan bahwa semua LJK diperbolehkan untuk menggunakan Layanan Komputasi Awan (baik Komputasi Awan Publik, Komputasi Awan Komunitas, Komputasi Awan Privat atau Komputasi Awan Campuran), dan memberikan pedoman untuk membantu LJK menghadapi permasalahan hukum dan operasional yang timbul ketika menggunakan penyedia Layanan Komputasi Awan (“Penyedia Layanan”). Ada empat bagian: a. Bab I: Pengantar; b. Bab II: Pernyataan Kebijakan; c. Bab III: Pedoman; dan d. Lampiran 1: Daftar Periksa Komputasi Awan. (4) LJK harus mengikuti Pedoman ini dengan melakukan langkah-langkah berikut:
Langkah 1
Langkah 2
Langkah 3
Langkah 4
22
LJK harus membaca Pernyataan Kebijakan (Bab II) yang menegaskan bahwa OJK memperbolehkan semua LJK di Indonesia untuk menggunakan Layanan Komputasi Awan (baik Komputasi Awan Publik, Komputasi Awan Komunitas, Komputasi Awan Privat maupun Komputasi Awan Campuran). LJK harus mematuhi sepuluh Pedoman (Bab III) selama proses pengadaan Layanan Komputasi Awan dan sepanjang masa kontrak Layanan Komputasi Awan.
LJK harus melengkapi Daftar Periksa Komputasi Awan (Lampiran I), sebagai penilaian diri, untuk verifikasi bahwa LJK telah mematuhi Pedoman. LJK tidak disyaratkan untuk menyampaikan Daftar Periksa Komputasi Awan yang telah diisi kepada OJK, namun wajib menyimpan salinannya, dan memberikannya kepada OJK berdasarkan permintaan OJK. LJK harus memperbarui Daftar Periksa Komputasi Awan sebelum melakukan setiap negosiasi ulang hal-hal yang sifatnya substansial, pembaruan atau pengadaan ulang Layanan Komputasi Awan. LJK wajib menyimpan salinan Daftar Periksa Komputasi Awan yang telah diperbarui, dan memberikannya kepada OJK berdasarkan permintaan dari OJK.
23
Bagian B: Mengenai Layanan Komputasi Awan
(5) “Layanan Komputasi Awan” merujuk pada akses jaringan berdasarkan permintaan ke pemanfaatan bersama atas sumber daya komputasi yang dapat dikonfigurasi. Mereka menggambarkan suatu model yang memungkinkan akses jaringan yang nyaman berdasarkan permintaan ke pemanfaatan bersama atas sumber daya komputasi yang dapat dikonfigurasi (contohnya jaringan, server, tempat penyimpanan, perangkat lunak, aplikasi, perlengkapan dan layanan penyimpanan) yang dapat dengan cepat disediakan dan dirilis dengan usaha manajemen yang minimal atau interaksi Penyedia Layanan. (6) Ada tiga model layanan yang umum dari Layanan Komputasi Awan: (i) Infrastruktur sebagai Layanan (“IaaS”) dimana Penyedia Layanan menyediakan infrastruktur informasi teknologi (IT), contohnya ruang penyimpanan atau tenaga komputasi; (ii) Platform sebagai Layanan (“PaaS”) dimana Penyedia Layanan menyediakan platform komputasi untuk pelanggan mengembangkan dan menjalankan aplikasi mereka sendiri; dan (iii) Perangkat lunak sebagai Layanan (“SaaS”) dimana Penyedia Layanan menyediakan aplikasi perangkat lunak kepada pelanggan.
(8) Keempat model penggunaan dapat memenuhi persyaratan yang disebutkan dalam Pedoman ini. Namun, penting untuk dicatat bahwa LJK yang mempertimbangkan untuk menggunakan model Komputasi Awan Publik, Komputasi Awan Komunitas, atau Komputasi Awan Campuran yang digunakan banyak penyewa, hanya dapat menggunakan Layanan Komputasi Awan dari Penyedia Layanan yang menawarkan suatu model yang dapat melayani banyak penyewa dengan cara yang sangat aman sehingga penyimpanan dan pemrosesan data untuk setiap penyewa dipisahkan melalui cara-cara teknis.
(7) Ada empat model penggunaan Layanan Komputasi Awan, yang karakternya masingmasing dibedakan berdasarkan: (i) pihak yang mengelola pengaturan, operasi, keamanan dan kepatuhan sehari-hari dari layanan; (ii) pihak yang memiliki infrastruktur (termasuk infrastruktur fisik seperti fasilitas, komputer, jaringan dan perlengkapan penyimpanan); (iii) lokasi penempatan infrastruktur; dan (iv) pihak yang dapat mengakses data yang dihos. Empat model penggunaan ini yaitu: a. “Komputasi Awan Publik” dimana infrastruktur dimiliki dan dikelola oleh Penyedia Layanan dan ditempatkan di luar lokasi pelanggan (off-premise). Walaupun data dan layanan dilindungi dari akses tidak sah, infrastruktur tetap dapat diakses oleh berbagai pelanggan. Komputasi Awan Publik juga dianggap sebagai “solusi banyak penyewa (multi-tenanted solution)” karena terdapat berbagai pelanggan yang semuanya memiliki akses kepada infrastruktur yang sama. b. “Komputasi Awan Komunitas” melayani anggota-anggota dari suatu komunitas pelanggan dengan kebutuhan atau persyaratan komputasi yang serupa, seperti keamanan, keandalan dan ketangguhan. Infrastruktur dapat dimiliki dan dikelola oleh anggota-anggota dari komunitas tersebut atau oleh Penyedia Layanan. Infrastruktur ditempatkan di tempat pelanggan atau di tempat Penyedia Layanan. Data dan layanan dapat diakses hanya oleh komunitas pelanggan tersebut. Komputasi Awan Komunitas pada sifatnya adalah “solusi banyak penyewa (multi-tenanted solution)” karena terdapat berbagai anggota dari suatu komunitas pelanggan yang semuanya memiliki akses kepada infrastruktur yang sama. c. “Komputasi Awan Privat”, adalah model layanan komputasi awan dimana infrastruktur dimiliki dan dikelola oleh pelanggan namun lebih umum dikelola oleh Penyedia Layanan. Infrastruktur ditempatkan di tempat pelanggan atau, lebih umumnya, di tempat Penyedia Layanan. Dalam semua hal, infrastruktur dari mana data dan layanan disediakan adalah untuk penggunaan eksklusif oleh satu pelanggan tertentu. d. “Komputasi Awan Campuran” adalah kombinasi dari dua atau lebih Komputasi Awan Publik, Komputasi Awan Komunitas atau Komputasi Awan Privat. Komputasi Awan Campuran dapat dimiliki dan dikelola oleh pelanggan atau oleh Penyedia Layanan, dan dalam hal yang mana pun infrastruktur dapat ditempatkan secara on-premises atau off-premises, atau keduanya (contohnya beberapa Komputasi Awan Privat yang bersifat on-premises diintegrasikan dengan Komputasi Awan Komunitas atau Komputasi Awan Publik yang bersifat off-premises). Data dan layanan dapat diakses berdasarkan rancangan solusi, disesuaikan dengan arsitektur yang memiliki karakteristik Komputasi Awan Publik, Komputasi Awan Privat atau Komputasi Awan Komunitas. Komputasi Awan Campuran dapat disebut “solusi banyak penyewa (multi-tenanted solution)”, apabila terdapat berbagai pelanggan yang memiliki akses kepada infrastruktur yang sama. Namun, Komputasi Awan Campuran juga dapat menyediakan solusi atau komponen yang terdedikasi untuk pengguna tertentu.
24
Bab 2: Pernyataan Kebijakan
Jika tidak demikian, Layanan Komputasi Awan tersebut tidak akan memenuhi persyaratan dalam Pedoman ini, terutama persyaratan dalam Pedoman 8.
Bab II: Pernyataan Kebijakan (1) OJK mendorong LJK untuk berkontrak dan menggunakan Layanan Komputasi Awan untuk mendapatkan keuntungan fleksibilitas, skalabilitas (scalability), kecepatan (agility) dan potensi berkurangnya biaya operasi yang ditawarkan kepada LJK oleh Layanan Komputasi Awan (baik Komputasi Awan Publik, Komputasi Awan Komunitas, Komputasi Awan Privat atau Komputasi Awan Campuran). (2) Penggunaan semua tipe Layanan Komputasi Awan oleh LJK, termasuk Komputasi Awan Publik, Komputasi Awan Komunitas, Komputasi Awan Privat atau Komputasi Awan Campuran, baik yang datanya dihos di dalam Indonesia atau di luar Indonesia oleh Penyedia Layanan, diperbolehkan, berdasarkan kebijakan-kebijakan OJK yang ada. (3) Meskipun terdapat ketentuan yang telah dinyatakan dalam kebijakan OJK, Pedoman ini yang berlaku mengalahkan ketentuan yang telah diatur dalam kebijakan OJK tersebut apabila ketentuan tersebut bertentangan dengan ketentuan apa pun yang diatur dalam Pedoman ini. (4) Ketika menggunakan Layanan Komputasi Awan terkait dengan operasi usahanya, LJK wajib menerapkan kerangka manajemen operasi dan risiko yang baik dan responsif untuk menghadapi persyaratan kepatuhan, keamanan dan kinerja. Maka dari itu, penggunaan Layanan Komputasi Awan oleh LJK harus selalu tunduk kepada Pedoman ini. (5) Pedoman ini adalah ekspektasi OJK kepada LJK yang bermaksud berkontrak dan menggunakan Layanan Komputasi Awan, baik dengan data yang dihos di dalam atau di luar Indonesia oleh Penyedia Layanan, dan menyediakan suatu rangkaian tindakan kehati-hatian yang dapat diikuti oleh LJK. (6) OJK mengharapkan LJK untuk menggunakan Pedoman ini sebagai posisi awal mereka dalam berdiskusi dengan Penyedia Layanan untuk mengambil keuntungan dari Layanan Komputasi Awan dengan cara yang tidak merugikan kerahasiaan, privasi, keamanan nasional atau kekuatan sistem keuangan di Indonesia.
25
Bagian 3: Pedoman
(1) Bab ini mencantumkan sepuluh Pedoman yang diharapkan diikuti oleh semua LJK ketika berkontrak dan menggunakan Layanan Komputasi Awan apa pun. Kesepuluh Pedoman ini dirancang untuk memandu LJK melalui proses pengadaan dan penggunaan Layanan Komputasi Awan dengan cara yang secara efektif memenuhi persyaratan kepatuhan, keamanan dan kinerja. (2) Masing-masing Pedoman:
Pedoman 1: Kompetensi dan Reputasi Penyedia Layanan
c. rekam jejak Penyedia Layanan dalam keberlangsungan layanan, contohnya pemeriksaan kinerja Penyedia Layanan dalam lima tahun terakhir dan apakah Penyedia Layanan mampu menunjukkan bahwa ketersediaan layanan tingkat tinggi secara konsisten telah dicapai; d. keluhan, proses litigasi atau sengketa yang belum diselesaikan yang melibatkan Penyedia Layanan sehubungan dengan Layanan Komputasi Awan;
a. dinyatakan dalam huruf tebal;
e. proses mempekerjakan dan penyaringan pegawai Penyedia Layanan;
b. diikuti oleh ikhtisar pendek yang menerangkan lebih detil mengenai Pedoman tersebut dan hal yang hendak dicapai; dan
f. kekuatan finansial Penyedia Layanan dan induk(-induk) perusahaan Penyedia Layanan (jika berlaku); dan
c. termasuk satu bagian yang berjudul “Cara Mematuhi Pedoman ini”, yang meng gambarkan langkah-langkah praktis dan operasional yang harus dilakukan oleh LJK untuk mematuhi masing-masing Pedoman.
g. kemampuan Layanan Komputasi Awan dan Penyedia Layanan untuk memenuhi semua persyaratan yang dinyatakan dalam Pedoman ini.
(3) OJK mengharapkan LJK untuk menunjukkan bahwa LJK telah mematuhi Pedoman dengan melengkapi Daftar Periksa Komputasi Awan. Masing-masing Pedoman memiliki satu bagian yang berjudul “Verifikasi Kepatuhan terhadap Pedoman Ini Daftar Periksa Komputasi Awan”, yang menyebutkan pertanyaan-pertanyaan yang diterangkan dalam Daftar Periksa Komputasi Awan yang mana yang harus dilengkapi oleh LJK untuk verifikasi bahwa LJK telah mematuhi masing-masing Pedoman. LJK tidak disyaratkan untuk menyampaikan Daftar Periksa Komputasi Awan LJK yang sudah diisi kepada OJK namun harus menyimpan salinannya, dan menyediakannya kepada OJK berdasarkan permintaan OJK.
(4) Rencana penilaian LJK harus termasuk analisa jangkauan penawaran layanan Penyedia Layanan untuk menentukan apakah Penyedia Layanan dapat memenuhi persyaratan LJK sekarang dan masa depan. Ada berbagai model penggunaan Layanan Komputasi Awan. Sebagai bagian dari proses uji tuntas, LJK harus memastikan bahwa mereka memahami kekuatan dan kelemahan apa pun dari setiap model penggunaan dan konfigurasi spesifik yang diusulkan oleh Penyedia Layanan untuk menentukan kecocokan dengan tujuan LJK dan dapat memenuhi persyaratan-persyaratan yang disebutkan dalam Pedoman ini. LJK harus mempertimbangkan pengadaan Layanan Komputasi Awan dari Penyedia Layanan yang menawarkan jangkauan layanan yang luas ke seluruh Komputasi Awan Privat, Komputasi Awan Publik, Komputasi Awan Komunitas dan Komputasi Awan Campuran, untuk memastikan bahwa solusi yang digunakan LJK memiliki fleksibilitas untuk memenuhi persyaratan-persyaratan LJK yang berganti dari waktu ke waktu.
LJK wajib menilai reputasi, kompetensi, pengalaman dan fleksibilitas penawaran layanan.
(5) LJK harus, dalam melaksanakan penilaian, melakukan pertimbangan yang menyeluruh atas usaha dan tujuan strategis secara keseluruhan dari proyek Layanan Komputasi Awan yang diusulkan.
Adalah penting bagi LJK untuk melaksanakan suatu penilaian untuk memastikan bahwa Penyedia Layanan mampu memberikan standar pelayanan tinggi dalam menyediakan Layanan Komputasi Awan. Penilaian ini akan memberikan informasi kepada bagian pengadaan LJK atas Layanan Komputasi Awan yang diusulkan Penyedia Layanan dan, jika LJK melanjutkan, penilaian akan membantu untuk memelihara kerahasiaan, privasi, keamanan nasional dan kesehatan sistem keuangan di Indonesia. LJK harus menggunakan penilaian untuk memastikan bahwa Layanan Komputasi Awan akan memenuhi persyaratan LJK, termasuk persyaratan-persyaratan yang disebutkan dalam Pedoman ini. Cara Mematuhi Pedoman ini: (1) LJK harus menciptakan penilaian risiko yang komprehensif dan rencana uji tuntas untuk mengevaluasi Penyedia Layanan, berdasarkan faktor kualitatif dan kuantitatif. Rencana ini termasuk, namun tidak terbatas pada, penilaian Penyedia Layanan terhadap butir-butir dalam daftar ini. Rencana ini harus memuat masukan dari Direksi LJK serta perwakilan-perwakilan unit usaha yang akan menggunakan Layanan Komputasi Awan. (2) LJK harus menggunakan rencana penilaian untuk menilai Layanan Komputasi Awan dan Penyedia Layanan yang diusulkan, untuk kemudian membuat laporan internal yang memuat hasil penilaian.
(6) Sebagai bagian dari penilaian LJK, LJK harus mendapatkan masukan dari Penyedia Layanan mengenai semua pertanyaan terkait dalam Daftar Periksa Komputasi Awan dan LJK harus memastikan bahwa Penyedia Layanan dapat menunjukkan bagaimana Layanan Komputasi Awan LJK akan membantu LJK untuk memenuhi persyaratanpersyaratan yang disebutkan dalam Pedoman ini. (7) Penilaian LJK harus didasarkan pada penemuan sendiri LJK dan tinjauan dan saran independen apapun mengenai Penyedia Layanan yang tersedia, contohnya hasil audit pihak ketiga yang diminta oleh Penyedia Layanan dan sertifikasi independen yang telah dicapai Penyedia Layanan. (8) LJK harus memastikan bahwa Direksi LJK sepenuhnya diberitahu tentang, dan mengetahui, tujuan yang disetujui dan risiko yang diidentifikasi dalam laporan internal yang dibuat setelah penilaian. (9) LJK harus menandatangani suatu kontrak dengan Penyedia Layanan untuk Layanan Komputasi Awan. LJK harus memastikan bahwa kontrak tersebut telah ditinjau oleh penasehat hukum yang berpengalaman sebelum penandatanganan. Verifikasi Kepatuhan terhadap Pedoman Ini - Daftar Periksa Komputasi Awan: Untuk menunjukkan bahwa LJK telah mematuhi Pedoman ini, LJK harus melengkapi Pertanyaan 9 hingga 18 dari Daftar Periksa Komputasi Awan.
(3) LJK harus menyertakan dalam rencana penilaiannya suatu perangkat kriteria seleksi Penyedia Layanan yang objektif dan terukur. Rencana harus menyertakan, sebagai syarat minimum, suatu penilaian terhadap hal berikut ini: a. pengalaman dan kompetensi Penyedia Layanan (termasuk, pada khususnya, suatu penilaian tingkat kepercayaan Penyedia Layanan di industri jasa keuangan); b. reputasi Penyedia Layanan;
26
27
Pedoman 2: Tinjauan, Pemantauan dan Pengendalian
LJK harus membuat dan mematuhi rencana untuk meninjau, memantau dan mengendalikan penggunaan LJK terhadap Layanan Komputasi Awan dan Penyedia Layanan. Setelah LJK melakukan penilaiannya (sebagaimana disyaratkan oleh Pedoman 1), LJK harus merencanakan dan melakukan proses peninjauan, pemantauan dan pengendalian berkelanjutan untuk meyakinkan bahwa Penyedia Layanan terus mematuhi ketentuan-ketentuan yang telah disepakati untuk diberikan oleh Penyedia Layanan dan Pedoman ini. LJK harus waspada dan memiliki pengawasan memadai terhadap Penyedia Layanan selama masa kontrak Layanan Komputasi Awan. Cara Mematuhi Pedoman ini: (1) LJK harus membuat dan mematuhi rencana untuk meninjau, memantau dan mengendalikan penggunaan LJK atas Layanan Komputasi Awan dan Penyedia Layanan. Rencana ini dapat dibuat oleh LJK berdasarkan proses LJK yang ada dan mengenai sifat, lingkup dan kompleksitas Layanan Komputasi Awan. Sebagai syarat minimum, rencana harus: a. memasukkan proses yang didefinisikan untuk meninjau dan memantau Layan Komputasi Awan dan kepatuhan berkelanjutan oleh Penyedia Layanan atas pedoman ini; b. membentuk bagian dari proses kepatuhan dan manajemen risiko LJK yang sekarang (seperti proses alih daya dan/atau manajemen risiko teknologi LJK yang sekarang); dan
(4) LJK harus mempertimbangkan untuk mensyaratkan Penyedia Layanan untuk menyediakan manajer akun yang khusus. LJK dianjurkan untuk mensyaratkan ini di mana manajer akun khusus akan membantu dalam mengatur kinerja dari masalah dan bias didapatkan dengan biaya yang efektif. (5) LJK harus memastikan bahwa kontrak Layanan Komputasi Awan memuat, sebagai syarat minimum: a. rincian tentang masing-masing butir, kegiatan, operasi, transaksi atau area untuk dilaksanakan oleh Penyedia Layanan sebagai bagian dari Layanan Komputasi Awan;| b. hak LJK untuk berpartisipasi dalam program kepatuhan produk Penyedia Layanan (jika Penyedia Layanan memiliki); dan c. ketentuan hukum yang mengatur dan ketentuan untuk penyelesasian sengketa antara para pihak. (6) LJK harus membuat dan memutakhirkan rekaman dari semua Layanan Komputasi Awan yang digunakan sekarang oleh LJK dan memastikan bahwa rekaman itu siap untuk diakses untuk peninjauan oleh Direksi dan manajemen senior LJK. Verifikasi Kepatuhan terhadap Pedoman Ini - Daftar Periksa Komputasi Awan: Untuk menunjukkan bahwa LJK telah mematuhi Pedoman ini, LJK harus melengkapi Pertanyaan 19 hingga 24 dari Daftar Periksa Komputasi Awan.
c. termasuk alokasi dari sumber yang cukup, baik dari segi waktu dan tenaga kerja, untuk memungkinkan personel LJK merencanakan secara cukup untuk dan mengawasi hubungan dengan Penyedia Layanan sesuai dengan kepatuhan terhadap Pedoman ini. Secara khusus, rencana harus termasuk alokasi personil yang menghadiri rapat-rapat reguler untuk mendiskusikan kinerja dan masalah Penyedia Layanan. (2) LJK harus mendapatkan, secara teratur, gambaran penuh dari (dan hasil dari) proses pengujian dan tinjauan apapun yang dilakukan Penyedia Layanan. (3) LJK harus mensyaratkan Penyedia Layanan untuk menyediakan informasi waktusebenarnya dan berkelanjutan mengenai ketersediaan layanan terkini, riwayat status ketersediaan, rincian gangguan layanan, waktu pemadaman dan pemeliharaan berjadwal. Informasi ini harus disediakan dalam bentuk “online dashboard” tapi metode lainnya dapat digunakan, asalkan informasi disediakan secara berkelanjutan dan waktu-sebenarnya. LJK harus meninjau informasi ini secara reguler.
28
29
Pedoman 3: Audit
LJK harus memastikan bahwa pihak ketiga yang independen dan OJK berhak mengaudit Layanan Komputasi Awan dan Penyedia Layanan. Sebagai tambahan dari persyaratan tinjauan, pemantauan dan pengendalian (dinyatakan dalam Pedoman 2), LJK harus memiliki mekanisme untuk memastikan dan memverifikasi bahwa Layanan Komputasi Awan dan Penyedia Layanan mematuhi persyaratan-persyaratan yang dinyatakan dalam Pedoman ini dan dengan persyaratan-persyaratan kontraktual dan usaha LJK. LJK harus memastikan bahwa Penyedia Layanan tunduk pada audit-audit pihak ketiga yang independen dan LJK, dan OJK, memiliki akses ke auditor pihak ketiga yang independen, ke hasil auditor pihak ketiga yang independen dan memiliki kemampuan untuk mengajukan pertanyaan kepada auditor pihak ketiga yang independen, berdasarkan permintaan. Juga penting bahwa OJK menjaga tingkat pengawasan yang wajar dari Layanan Komputasi Awan dan Penyedia Layanan sepanjang masa berlaku kontrak Layanan Komputasi Awan. Maka dari itu, LJK harus juga memastikan bahwa OJK berhak untuk mengaudit dan menginspeksi Penyedia Layanan. Akhirnya, LJK harus mempertimbangkan apakah wajar bagi LJK untuk memiliki hak melakukan audit atas Layanan Komputasi Awan dan Penyedia Layanan, contohnya jika LJK memiliki persyaratan kebijakan internal untuk memiliki hak audit tersebut. Cara Mematuhi Pedoman ini: (1) LJK harus memastikan bahwa kontrak Layanan Komputasi Awan mencakup kewajiban Penyedia Layanan untuk melaksanakan audit-audit pihak ketiga yang independen dan untuk membagikan hasilnya dengan LJK dan OJK. Kewajiban ini harus mencakup, sebagai syarat minimum: a. suatu komitmen dari Penyedia Layanan bahwa ia tunduk, dan akan terus tunduk, pada audit-audit pihak ketiga yang independen atas Layanan Komputasi Awannya selama masa berlaku kontrak Layanan Komputasi Awan; b. audit-audit pihak ketiga yang independen tersebut akan dilakukan paling sedikit satu kali setahun; dan c. suatu hak yang dinyatakan secara tegas bagi LJK dan OJK untuk memiliki akses ke auditor pihak ketiga yang independen, ke hasil auditor pihak ketiga yang independen dan untuk memiliki kemampuan untuk mengajukan pertanyaan kepada auditor pihak ketiga yang independen, berdasarkan permintaan. (2) Lingkup dari audit pihak ketiga yang independen harus mencakup, sebagai syarat minimum, fasilitas, sistem, proses Penyedia Layanan dan data LJK terkait dengan Layanan Komputasi Awan. (3) LJK harus memastikan bahwa kontrak Layanan Komputasi Awan mencakup kewajiban Penyedia Layanan untuk menyediakan OJK, atau agen pihak ketiga yang independen yang ditunjuk oleh OJK, dengan akses kepada Penyedia Layanan (termasuk untuk mendapatkan rekaman dan dokumen terkait dari Penyedia Layanan) dalam rangka melaksanakan fungsi pengawasan OJK. Lingkup dari akses ini harus mencakup, sebagai syarat minimum fasilitas, sistem, proses Penyedia Layanan dan data LJK terkait dengan Layanan Komputasi Awan. (4) LJK harus mempertimbangkan apakah akan menambahkan dalam kontrak Layanan Komputasi Awan, hak LJK untuk mengaudit Penyedia Layanan, contohnya jika LJK memiliki persyaratan kebijakan internal untuk memiliki hak audit tersebut.
Pedoman 4: Kerahasiaan dan Standar Keamanan
LJK harus memastikan bahwa Penyedia Layanan memiliki dan mempertahankan kebijakan-kebijakan dan praktik-praktik pengamanan yang tepat yang sesuai dengan atau melebihi standar-standar internasional. Penting bagi LJK untuk memastikan terjaganya kerahasiaan dan keamanan data LJK. Cara-cara pengamanan yang tepat akan melindungi reputasi LJK dalam mempertahankan pelanggan dan kepercayaan publik terhadap LJK. LJK harus memastikan, untuk dirinya sendiri, bahwa kebijakan, prosedur dan kontrol keamanan dari Penyedia Layanan akan memungkinkan LJK untuk melindungi kerahasiaan dan keamanan data LJK. Apabila digunakan secara tepat, Layanan Komputasi Awan dapat memberikan suatu tingkat keamanan data yang lebih tinggi. Standar-standar internasional menjadi penting sebagai dasar yang digunakan bagi pemerintah-pemerintah, regulator-regulator dan organisasi-organisasi privat di seluruh dunia untuk memastikan keamanan. LJK harus mensyaratkan Penyedia Layanan untuk mematuhi, sekurang-kurangnya, standar-standar internasional berikut; (i) ISO/IEC 27001, yang mengatur mengenai keamanan informasi dan teknologi secara umum; dan (ii) ISO/IEC 27018, yang mengatur mengenai kepatuhan privasi oleh Penyedia Layanan-Penyedia Layanan yang menyediakan layanan Komputasi Awan Publik. Cara Mematuhi Pedoman ini: (1) LJK harus memperoleh rincian dari Penyedia Layanan mengenai sertifikasi-sertifikasi dan/atau penilaian-penilaian independen terhadap Penyedia Layanan. (2) LJK harus memastikan bahwa Penyedia Layanan telah memenuhi, persyaratan minimum berikut: a. sertifikasi ISO/IEC 27001; dan b. untuk Komputasi Awan Publik (atau untuk setiap Layanan Komputasi Awan yang memiliki unsur Komputasi Awan Publik), sesuai dengan ISO/IEC 27018, yang dapat ditunjukkan dengan hasil-hasil dari suatu audit independen yang menegaskan bahwa Layanan Komputasi Awan Penyedia Layanan sesuai dengan kontrol ISO/IEC 27018 dan/atau suatu komitmen kontraktual untuk patuh terhadap kontrol ISO/IEC 27018. (3) LJK harus memperoleh informasi dari Penyedia Layanan mengenai, dan mempertimbangkan, sertifikasi-sertifikasi lain dari Penyedia Layanan yang menunjukkan praktik terbaik industri secara internasional, termasuk yang tidak secara khusus dibutuhkan, yang terkait dengan LJK-LJK di Indonesia. (4) LJK harus memastikan bahwa Penyedia Layanan telah memiliki penguasaan fisik dan lingkungan berikut pada pusat-pusat data Penyedia Layanan: a. pengawasan selama 24 jam terhadap fisik perangkat keras; b. kontrol akses secara fisik, sebagai contoh, pintu-pintu yang terkunci, kartu-kartu akses dan akses-akses biometrik; c. rekaman dan proses persetujuan bagi pengunjung-pengunjung untuk memperoleh akses terhadap pusat data; d. pasokan sumber daya yang tidak terputus; e. pendeteksi-pendeteksi api dan asap dan sistem pencegah kebakaran; f. Closed-circuit television (CCTV); dan g. prosedur-prosedur yang terdokumentasi untuk mengamankan perangkat keras dalam pusat data.
Verifikasi Kepatuhan terhadap Pedoman Ini - Daftar Periksa Komputasi Awan: Untuk menunjukkan bahwa LJK telah mematuhi Pedoman ini, LJK harus melengkapi Pertanyaan 25 hingga 28 dari Daftar Periksa Komputasi Awan.
30
31
Pedoman 5: Ketahanan dan Keberlanjutan Usaha
LJK harus memastikan bahwa Layanan Komputasi Awan dapat diandalkan, bahwa terdapat risiko-risiko minimum atas waktu tunggu dan bahwa prosedur-prosedur telah dimiliki untuk memberikan perlindungan terhadap, dan menghadapi, kejadian-kejadian gangguan terhadap layanan. Layanan Komputasi Awan harus dapat diandalkan. Gangguan terhadap layanan dapat berdampak signifikan terhadap operasi LJK, pelanggan-pelanggan LJK dan ekonomi. Oleh karena itu, risiko gangguan layanan harus dapat diminimalkan, dan dampak potensial dapat dikurangi, dengan cara membuat rencana-rencana dan prosedur-prosedur yang berkelanjutan secara tepat. Kepatuhan terhadap Pedoman ini dapat dicapai dengan tiga cara: (i) LJK harus memeriksa rekam jejak Penyedia Layanan terhadap kelanjutan layanan sebagai bagian dari penilaian Penyedia Layanan yang dilakukan sebelum LJK mengadakan kontrak Layanan Komputasi Awan (sebagaimana disyaratkan oleh Pedoman 1); (ii) LJK harus memiliki rencana keberlanjutan usaha dan harus memastikan bahwa penggunaan berkelanjutan atas Layanan Komputasi Awan oleh LJK sesuai dengan rencana keberlanjutan usaha tersebut; dan (iii) LJK harus memastikan bahwa Penyedia Layanan mempertahankan tujuan-tujuan ketersediaan layanan, pemulihan dan keberlanjutan (resumption) yang wajar, dengan sistem dan prosedur yang diuji dan diperbarui secara berkala yang sesuai dengan tujuan-tujuan tersebut.
Cara Mematuhi Pedoman ini: (1) LJK harus memiliki rencana keberlanjutan usaha dan penggunaan Layanan Komputasi Awan oleh LJK harus sesuai dengan persyaratan-persyaratan dalam rencana keberlanjutan usaha LJK. Rencana keberlanjutan usaha LJK harus membuat tujuan-tujuan ketersediaan layanan, pemulihan dan keberlanjutan yang wajar. LJK harus memastikan bahwa setiap risiko dari penggunaan Layanan Komputasi Awan tetap dalam tingkat yang diizinkan berdasarkan rencana keberlanjutan usaha LJK. (5) LJK harus memastikan bahwa kebijakan-kebijakan dan praktik-praktik keamanan berikut telah dimiliki: a. Penyedia Layanan menggunakan teknologi enkripsi yang sesuai dengan atau melebihi standar-standar internasional untuk melindungi dan mengamankan data LJK setiap saat, termasuk saat pemindahan (transit) dan saat disimpan di pusat data Penyedia Layanan; b. akun-akun dari sistem administrasi yang istimewa dikelola dengan baik.Harus ter dapat prosedur-prosedur untuk mengelola penerbitan, perlindungan, pemeliharaan, dan penghancuran dari akun-akun ini. Aktivitas-aktivitas dari akun-akun yang istimewa harus diperoleh, dicatat dan diperiksa secara berkala dan catatan tersebut harus dilindungi dari turut campur pengguna-pengguna yang memiliki akun-akun istimewa; c. akses terhadap dokumen-dokumen, perintah-perintah, dan layanan-layanan yang sensitif dibatasi dan dilindungi dari manipulasi. Pemeriksaan integritas harus dimiliki untuk mendeteksi perubahan-perubahan yang tidak sah terhadap basis data, dokumen, program dan konfigurasi sistem; d. kendali atas kata sandi untuk aplikasi-aplikasi dan sistem-sistem yang penting dan sensitif diperiksa secara berkala; e. aktivitas-aktivitas akses dapat dilacak dan diperiksa; dan f. pengujian penetrasi dilakukan secara berkala untuk memungkinkan peningkatan yang berkelanjutan terhadap prosedur-prosedur tanggapan tambahan. Verifikasi Kepatuhan terhadap Pedoman Ini - Daftar Periksa Komputasi Awan:
(2) Sebagai tambahan terhadap rencana keberlanjutan usaha internal LJK, LJK harus memastikan bahwa Penyedia Layanan memiliki praktik-praktik keberlanjutan usaha yang wajar. Secara minimum, LJK harus memastikan bahwa: a. Penyedia Layanan memiliki konfigurasi pusat data yang wajar (sebagai contoh, konfigurasi “active-active”, sebagaimana diperlukan). Konfigurasi yang dimaksud adalah dalam hal suatu kegagalan terjadi dalam satu server atau pusat data, kegagalan di server atau pusat data lain dapat terjadi secara minimum atau tidak ada kekosongan terhadap pengiriman layanan; b. Penyedia Layanan telah membangun duplikasi fisik dalam server-servernya, dalam suatu pusat data dan terhadap pusat-pusat data terpisah untuk melindungi dari kegagalan-kegagalan; c. Penyedia Layanan telah membangun duplikasi pada tingkat data dengan mereplikasi data terhadap pusat-pusat data yang terpisah secara geografis, untuk memungkinkan pemulihan data secara cepat; d. Penyedia Layanan menyediakan layanan ketahanan, sebagai contoh, menggunakan keseimbangan muatan dan pengujian pemulihan secara terus menerus; e. Penyedia Layanan membatasi lingkup dan dampak dari kegagalan di satu area layanan terhadap wilayah layanan tersebut sehingga area layanan lainnya tidak terkena dampak; dan f. Penyedia Layanan menggunakan komponen-komponen layanan yang disederhanakan, di manapun dimungkinkan, sehingga penyebaran menjadi lebih sedikit dan menyelesaikan permasalahan pengasingan.
Untuk menunjukkan bahwa LJK telah mematuhi Pedoman ini, LJK harus melengkapi Pertanyaan-Pertanyaan nomor 29 sampai 31 dari Daftar Periksa Komputasi Awan.
32
33
(3) LJK harus memastikan bahwa kontrak Layanan Komputasi Awan meliputi kewajiban bagi Penyedia Layanan untuk berkomitmen terhadap ketersediaan yang lebih atas layanan-layanan, sebagai contoh, suatu komitmen untuk waktu pengolahan (uptime) 99.9% (diketahui melalui jumlah menit layanan yang tersedia dalam satu bulan sebagai suatu persentase dari total jumlah menit dalam bulan tersebut).
LJK juga harus memastikan bahwa ketersediaaan tersebut diketahui dan dilaporkan. LJK harus mempertimbangkan untuk memperoleh Layanan Komputasi Awan dari suatu Penyedia Layanan yang mendukung secara finansial komitmen kontraktual Penyedia Layanan terhadap ketersediaan layanan, sebagai contoh, dengan membayar kredit-kredit layanan atas suatu kegagalan untuk mematuhi komitmen-komitmen tersebut.
(4) LJK harus mensyaratkan Penyedia Layanan untuk menyediakan dukungan layanan secara langsung, cepat dan dalam waktu 24/7 (24 jam dalam 7 hari). (5) LJK harus mengurangi risiko yang tidak diperkirakan terhadap pengakhiran atau likuidasi Penyedia Layanan. LJK harus mengambil langkah-langkah yang wajar untuk memastikan bahwa LJK memiliki suatu tingkat kontrol yang wajar dan disiapkan untuk (dapat digunakan untuk) melanjutkan operasional LJK dalam kejadian-kejadian tersebut. Langkah-langkah yang diambil LJK untuk melaksanakan hal tersebut dapat disesuaikan oleh LJK berdasarkan cara-cara LJK saat ini dan berdasarkan sifat, lingkup dan kompleksitas dari Layanan Komputasi Awan. Verifikasi Kepatuhan terhadap Pedoman Ini - Daftar Periksa Komputasi Awan: Untuk menunjukkan bahwa LJK telah mematuhi Pedoman ini, LJK harus melengkapi Pertanyaan-Pertanyaan nomor 32 sampai 36 dari Daftar Periksa Komputasi Awan.
Pedoman 6: Transparansi Lokasi Data
LJK harus memastikan bahwa Penyedia Layanan mengungkapkan secara tepat di mana data LJK akan disimpan dan, apabila data LJK disimpan di luar Indonesia, LJK harus memastikan bahwa kebijakan-kebijakan pemerintah, kondisi-kondisi ekonomi dan hukum dari lokasi(-lokasi) di luar Indonesia aman dan stabil. LJK harus mengetahui setiap saat lokasi yang tepat di mana suatu Penyedia Layanan akan menyimpan data LJK. Pusat-pusat data Penyedia Layanan harus aman, stabil dan di lokasi yang terjamin, di mana kewajiban-kewajiban kerahasiaan dan privasi dipatuhi, ditegakkan dan dilaksanakan oleh sistem hukum lokal yang terkait. Hal ini membantu untuk melindungi kerahasiaan dan keamanan data (sebagaimana disyaratkan oleh Pedoman 4) dan ketahanan dan keberlanjutan usaha dari Layanan Komputasi Awan (sebagaimana disyaratkan oleh Pedoman 5). LJK harus memastikan bahwa Penyedia Layanan setiap saat transparan mengenai di mana data LJK akan disimpan. Pedoman-pedoman ini dan kerangka pengaturan yang ada di Indonesia saat ini mengizinkan penggunaan pusat-pusat data yang berlokasi di luar Indonesia, dengan ketentuan bahwa LJK memastikan kondisi-kondisi ekonomi, sosial dan politik dari lokasi-lokasi yang ditunjukkan aman dan stabil. Cara Mematuhi Pedoman ini: (1) LJK harus memastikan bahwa Penyedia Layanan transparan mengenai di mana secara tepatnya data LJK akan disimpan. LJK harus memastikan bahwa lokasi ini diungkapkan pada saat LJK membuat kontrak Layanan Komputasi Awan dengan Penyedia Layanan dan pada saat pelaksanaannya selama jangka waktu kontrak Layanan Komputasi Awan. (2) Apabila data LJK disimpan di luar Indonesia, LJK harus: a. melaksanakan suatu pemeriksaan untuk memastikan bahwa kebijakan-kebijakan pemerintah, kondisi-kondisi ekonomi dan hukum dari lokasi-lokasi yang ditunjukkan, aman dan stabil; b. memastikan bahwa lokasi-lokasi di mana Penyedia Layanan akan menyimpan data LJK, adalah lokasi-lokasi yang aman dan stabil yang mempertahankan klausulklausul dan perjanjian-perjanjian kerahasiaan; dan c. memastikan bahwa kontrak Layanan Komputasi Awan meliputi kewajiban Penyedia Layanan untuk memastikan bahwa data LJK tetap tunduk pada perlindungan yang sama di luar Indonesia. Verifikasi Kepatuhan terhadap Pedoman Ini - Daftar Periksa Komputasi Awan: Untuk menunjukkan bahwa LJK telah mematuhi Pedoman ini, LJK harus melengkapi Pertanyaan-Pertanyaan nomor 37 sampai 40 dari Daftar Periksa Komputasi Awan.
34
35
Pedoman 7: Transparansi Lokasi Data
LJK harus memastikan bahwa Penyedia Layanan dengan tegas dilarang untuk menggunakan data LJK untuk tujuan apa pun selain dari yang diperlukan untuk menyediakan Layanan Komputasi Awan. LJK harus melarang Penyedia Layanan untuk menggunakan data LJK untuk tujuan apa pun selain untuk menyediakan Layanan Komputasi Awan kepada LJK (sebagai contoh, Penyedia Layanan dilarang untuk menggali atau memindai data untuk keperluan pemasaran atau pengiklanan). Hal ini membantu untuk melindungi kerahasiaan dan integritas data dan mencegah penyalahgunaan atau pengungkapan data (sebagaimana yang disyaratkan oleh Pedoman 4). Cara Mematuhi Pedoman ini: (1) LJK harus memastikan bahwa kontrak Layanan Komputasi Awan meliputi kewajiban Penyedia Layanan untuk tidak menggunakan data untuk tujuan apa pun selain untuk menyediakan Layanan Komputasi Awan atau untuk tujuan apa pun yang tidak sah, sebagai contoh, analisis, penggalian data, pemasaran atau pengiklanan. (2) LJK harus memastikan bahwa kontrak Layanan Komputasi Awan menyatakan bahwa hak-hak kepemilikan dalam data LJK tetap dimiliki oleh LJK setiap waktu dan tidak dimiliki oleh Penyedia Layanan atau pihak lain mana pun. (3) LJK harus mensyaratkan Penyedia Layanan untuk memberlakukan pengendalian akses yang ketat sehingga akses terhadap data dibatasi hanya untuk pihak-pihak internal Penyedia Layanan yang memerlukan akses terhadap data dalam rangka menyediakan Layanan Komputasi Awan. LJK harus memastikan bahwa Penyedia Layanan memeriksa dan meninjau pengendalian akses tersebut secara berkala. (4) Suatu LJK yang berkontrak dengan Penyedia Layanan yang Layanan Komputasi Awannya sesuai dengan ISO/IEC 27018 telah mematuhi Pedoman ini. Verifikasi Kepatuhan terhadap Pedoman Ini - Daftar Periksa Komputasi Awan: Untuk menunjukkan bahwa LJK telah mematuhi Pedoman ini, LJK harus melengkapi Pertanyaan-Pertanyaan nomor 41 sampai 43 dari Daftar Periksa Komputasi Awan.
Pedoman 8: Pemisahan/Pengasingan Data
LJK harus memastikan bahwa data LJK yang disimpan dalam suatu Komputasi Awan Publik dipisahkan/diasingkan dari semua data lainnya yang disimpan oleh Penyedia Layanan, dan bahwa Penyedia Layanan tersebut dapat mengindentifikasi dan membedakan data tersebut dari data lainnya yang disimpan olehnya. Model layanan Komputasi Awan Publik, Komputasi Awan Komunitas, dan Komputasi Awan Campuran menyediakan layanan kepada berbagai macam pelanggan dari infrastruktur yang digunakan bersama. Layanan Komputasi Awan yang digunakan oleh banyak pihak dapat menyediakan tingkat keamanan yang unggul dan dapat sesuai dengan Pedoman ini hanya apabila Penyedia Layanan memiliki kemampuan untuk menyediakan layanan dengan cara yang sangat aman, sehingga penyimpanan dan pengolahan data untuk masing-masing pengguna dipisahkan dengan pemisahan logika (logical segregation) dan metode-metode teknis lainnya. Pemisahan data, dengan cara logika atau lainnya, membantu untuk melindungi keamanan dan kerahasiaan data LJK (sebagaimana disyaratkan oleh Pedoman 4). Pemisahan data juga membantu setiap pengakhiran menjadi lebih mudah untuk dilakukan karena semua data LJK dapat dengan mudah diidentifikasi dan dikembalikan kepada LJK dan/atau dihapus (sebagaimana disyaratkan oleh Pedoman 10). Cara Mematuhi Pedoman ini: (1) LJK harus memastikan bahwa Penyedia Layanan memisahkan data LJK dari semua data lain yang disimpan oleh Penyedia Layanan, termasuk data dari pelanggan Penyedia Layanan lainnya dan data Penyedia Layanan. LJK harus memperoleh keterangan rinci dari Penyedia Layanan bagaimana pemisahan data ini dilakukan. (2) Dalam hal Komputasi Awan Publik, Komputasi Awan Komunitas, dan Komputasi Awan Campuran (yang merupakan model layanan yang digunakan banyak pengguna), LJK harus memastikan bahwa Penyedia Layanan memisahkan penyimpanan dan pengolahan data untuk masing-masing pelanggan Penyedia Layanan, dengan pemisahan logika dan metode-metode teknis lainnya, sehingga setiap pelanggan Penyedia Layanan tidak dapat mengakses data pelanggan lainnya. Apabila Layanan Komputasi Awan Publik yang disediakan oleh Penyedia Layanan tidak menawarkan pemisahan logika atau pemisahan lainnya untuk menjaga keamanan data, LJK tidak dapat memenuhi persyaratan-persyaratan dari Pedoman ini. (3) Suatu LJK yang berkontrak dengan Penyedia Layanan yang Layanan Komputasi Awannya sesuai dengan ISO/IEC 27018 telah mematuhi Pedoman ini. Verifikasi Kepatuhan terhadap Pedoman Ini - Daftar Periksa Komputasi Awan: Untuk menunjukkan bahwa LJK telah mematuhi Pedoman ini, LJK harus melengkapi Pertanyaan-Pertanyaan nomor 44 sampai 45 dari Daftar Periksa Komputasi Awan.
36
37
Pedoman 9: Persyaratan Alih Daya
LJK hanya dapat mengizinkan Penyedia Layanan untuk menggunakan subkontraktorsubkontraktor apabila mereka juga tunduk kepada prosedur pengendalian yang sama yang terhadapnya Penyedia Layanan tunduk. Banyak Penyedia Layanan yang akan menggunakan subkontraktor untuk menyediakan layanan dukungan tertentu. Pedoman ini memastikan kepatuhan yang berkelanjutan terhadap Pedoman ini bahkan dengan digunakannya subkontraktor. LJK harus memastikan bahwa penggunaan subkontraktor oleh Penyedia Layanan tidak mengurangi kemampuan LJK untuk patuh terhadap Pedoman ini.
Pedoman 10: Persyaratan Pengakhiran Data
LJK harus memiliki ketentuan-ketentuan pengakhiran yang tepat dalam kontrak Layanan Komputasi Awan dengan Penyedia Layanan, termasuk hak-hak, sepanjang disyaratkan oleh LJK, untuk mensyaratkan Penyedia Layanan mengembalikan data LJK dan untuk kemudian menghapus data LJK secara permanen. LJK harus jelas mengetahui apa yang akan terjadi pada saat pengakhiran hubungan dengan Penyedia Layanan. Pedoman ini membantu untuk melindungi dan mempertahankan kerahasiaan dan keamanan data LJK (sebagaimana disyaratkan oleh Pedoman 4). Pedoman ini juga membantu LJK untuk dapat melanjutkan layanan kepada pelanggan-pelanggan LJK pada saat pengakhiran kontrak Layanan Komputasi Awan (sebagaimana disyaratkan oleh Pedoman 5).
Cara Mematuhi Pedoman ini: (1) LJK harus memastikan bahwa mereka sepenuhnya mengetahui cara, alasan dan waktu Penyedia Layanan menggunakan subkontraktor.
Cara Mematuhi Pedoman ini:
(2) LJK harus memperoleh dari Penyedia Layanan, suatu daftar subkontraktor yang digunakan olehnya dan setiap pembaruan atas daftar tersebut selama jangka waktu kontrak Layanan Komputasi Awan.
(1) LJK harus memastikan bahwa kontrak Layanan Komputasi Awan meliputi kewajiban Penyedia Layanan pada saat pengakhiran untuk mengembalikan data LJK kepada LJK sepanjang disyaratkan oleh LJK, dan untuk kemudian menghapus data LJK secara permanen dari sistem-sistem Penyedia Layanan.
(3) LJK harus memastikan bahwa Penyedia Layanan mempunyai prosedur yang diberlakukan untuk memastikan kepatuhan para subkontraktornya terhadap prosedur pengendalian yang setara yang terhadapnya Penyedia Layanan juga patuh. LJK secara khusus harus memastikan bahwa Penyedia Layanan dapat menunjukkan bahwa para subkontraktornya tunduk kepada kewajiban-kewajiban keamanan dan kerahasiaan (sebagaimana dijelaskan di Pedoman 4), kewajiban-kewajiban transparansi lokasi data (sebagaimana dijelaskan di Pedoman 6) dan kewajiban-kewajiban pembatasan penggunaan data (sebagaimana dijelaskan di Pedoman 7) serta persyaratan lainnya yang sama yang dijelaskan dalam Pedoman ini.
(2) LJK harus memastikan bahwa proses pengembalian atau penghapusan data LJK dijelaskan dengan terperinci di dalam kontrak Layanan Komputasi Awan, sebagai contoh, dengan membuat suatu permintaan oleh LJK kepada Penyedia Layanan untuk mengembalikan atau menghapus data LJK.
(4) LJK harus memastikan bahwa kontrak Layanan Komputasi Awan meliputi kewajiban Penyedia Layanan untuk bertanggung jawab secara keseluruhan terhadap kinerja dari setiap subkontraktor.
(4) LJK harus memastikan bahwa Penyedia Layanan menggunakan, untuk perangkat keras yang tidak dapat dibersihkan, suatu proses pemusnahan yang menghancurkan dan tidak memungkinkannya dilakukan pemulihan informasi.
Verifikasi Kepatuhan terhadap Pedoman Ini - Daftar Periksa Komputasi Awan:
(5) Suatu LJK yang berkontrak dengan Penyedia Layanan yang Layanan Komputasi Awannya disertifikasi sesuai dengan ISO/IEC 27001 dan sesuai dengan ISO/IEC 27018 telah mematuhi Pedoman ini.
Untuk menunjukkan bahwa LJK telah mematuhi Pedoman ini, LJK harus melengkapi Pertanyaan-Pertanyaan nomor 46 sampai 49 dari Daftar Periksa Komputasi Awan.
(3) LJK harus mensyaratkan Penyedia Layanan untuk menggunakan prosedur dan solusi pembersihan data yang terbaik dalam praktik, sebagai contoh, menggunakan cara-cara yang sesuai dengan US National Institute of Standards and Technology’s Guidelines for Media Sanitization (yang dijelaskan dalam publikasi NIST 800-88).
Verifikasi Kepatuhan terhadap Pedoman Ini - Daftar Periksa Komputasi Awan: Untuk menunjukkan bahwa LJK telah mematuhi Pedoman ini, LJK harus melengkapi Pertanyaan-Pertanyaan nomor 50 sampai 53 dari Daftar Periksa Komputasi Awan.
38
39
Lampiran 2 Daftar Periksa Komputasi Awan Mengenai Daftar Periksa Komputasi Awan Ini Daftar Periksa Komputasi Awan ini didesain untuk digunakan sebagai alat penilaian diri untuk membantu LJK dalam menentukan apabila Layanan Komputasi Awan yang ditawarkannya telah sesuai dengan Pedoman. Daftar Periksa ini harus dipenuhi sebelum tanggal dimulainya Layanan Komputasi Awan dan diperbarui sebelum adanya setiap renegosiasi, pembaruan atau pengadaan ulang Layanan Komputasi Awan yang bersifat substansial.
Cara Mengisi Daftar Periksa Komputasi Awan
LJK wajib menyimpan salinan Daftar Periksa Komputasi Awan dan salinan tersebut wajib tersedia setiap saat untuk akses dan peninjauan Direksi LJK. LJK tidak disyaratkan untuk menyerahkan Daftar Periksa Komputasi Awan yang telah diisi kepada OJK namun LJK harus menyimpan salinan Daftar Periksa Komputasi Awan yang telah diisi tersebut dan menyediakannya kepada OJK atas permintaan dari OJK.
12.
Apakah rencana penilaian termasuk, namun tidak terbatas kepada, suatu penilaian terhadap Penyedia Layanan mengenai hal-hal berikut ini:
1. Mohon lengkapi kolom “Tanggapan” di bawah ini dengan informasi terbaru yang tersedia.
• Pengalaman dan kompetensi Penyedia Layanan (termasuk, khususnya, suatu penilaian terhadap dokumen keabsahan Penyedia Layanan dalam industri layanan keuangan)?
2. LJK harus mendapatkan bantuan dari Penyedia Layanan untuk melaksanakan proses ini (misalnya, dengan meminta rincian teknologi enkripsi yang digunakan oleh Penyedia Layanan).
• Reputasi Penyedia Layanan?
3. Setiap pertanyaan dalam Daftar Periksa Komputasi Awan terkait dengan Pedoman yang telah dijelaskan, maka silakan mengacu kepada Pedoman tersebut untuk memahami dasar Pedoman untuk memastikan bahwa tanggapan Anda telah sesuai dengan pertanyaan yang diajukan.
• Setiap keluhan, proses litigasi atau sengketa berjalan yang melibatkan Penyedia Layanan sehubungan dengan Layanan Komputasi Awan?
1.3
• Rekam jejak Penyedia Layanan atas layanan berkelanjutan, misalnya, pemeriksaan kinerja Penyedia Layanan selama lima tahun terakhir dan apakah Penyedia Layanan mampu menunjukkan bahwa ia selalu konsisten memberikan layanan yang baik?
• Proses perekrutan dan penyaringan staf Penyedia Layanan? • Kemampuan keuangan Penyedia Layanan, dan induk perusahaan Penyedia Layanan (apabila berlaku)? • Kemampuan Layanan Komputasi Awan dan Penyedia Layanan untuk memenuhi persyaratan-persyaratan yang ditetapkan dalam Pedoman? Mohon berikan rincian hasil dari penilaian. 13.
Apakah rencana penilaian meliputi suatu analisis jangkauan penawaran layanan Penyedia Layanan untuk menentukan apabila Penyedia Layanan dapat memenuhi persyaratan-persyaratan Anda saat ini dan yang akan datang?
1.4
Mohon berikan rincian hasil dari penilaian.
Ref.
Pertanyaan
Tanggapan
Ref. Pedoman Komputasi Awan
14.
Apakah rencana penilaian meliputi suatu pertimbangan yang seksama atas keseluruhan usaha dan tujuan strategis dari proyek Layanan Komputasi Awan yang ditawarkan? Mohon berikan rincian hasil dari penilaian.
Informasi Latar Belakang 1.
Apa saja kegiatan, fungsi dan proses yang akan disediakan oleh Penyedia Layanan?
N/A
2.
Siapa Penyedia Layanan?
N/A
Sebagai bagian dari penilaian Penyedia Layanan, apakah Anda mendapatkan masukan dari Penyedia Layanan atas pertanyaan-pertanyaan yang relevan dalam Daftar Periksa Komputasi Awan dan apakah Penyedia Layanan menjelaskan bagaimana dia akan memenuhi persyaratan-persyaratan yang ditentukan dalam Pedoman ini?
3.
Di mana alamat fisik Penyedia Layanan?
N/A
Mohon berikan rincian hasil dari penilaian.
4.
Kapan layanan dimulai?
N/A
5.
Berapa lama durasi layanan?
N/A
Apakah penilaian Anda atas Penyedia Layanan berdasarkan baik temuan Anda sendiri maupun setiap ulasan independen dan umpan balik terkait Penyedia Layanan yang tersedia, misalnya hasil audit pihak ketiga yang diproses oleh Penyedia Layanan dan sertifikasi independen yang telah diperoleh oleh Penyedia Layanan?
15.
Bab I, Bagian B.
Harap berikan rincian.
16.
Model Layanan dan Penggunaan 6.
Apakah Anda telah secara hati-hati mempertimbangkan perbedaan dari tipe-tipe solusi komputasi awan yang tersedia?
1.5
17.
Mengapa Anda memutuskan untuk menggunakan tipe solusi komputasi awan ini? 7.
Apa model layanan yang ditawarkan (IaaS, PaaS atau SaaS)?
Bab I, Bagian B.
8.
Apa model penggunaan yang akan digunakan (Komputasi Awan Publik, Komputasi Awan Komunitas, Komputasi Awan Campuran atau Komputasi Awan Privat)?
Bab I, Bagian B.
Apakah Anda memastikan bahwa Direksi telah sepenuhnya diberitahu dan mengetahui tujuan dan risiko yang disepakati yang diidentifikasi dalam laporan internal yang dibuat mengikuti penilaian tersebut?
1.6
1.7
1.8
Mohon berikan rincian hasil dari penilaian. 18.
Apakah Anda telah membuat kontrak dengan Penyedia Layanan atas Layanan Komputasi Awan yang akan disediakan? Apakah kontrak tersebut telah ditinjau oleh penasihat hukum yang berpengalaman sebelum ditandatangani?
1.9
Pedoman 1: Reputasi dan Kompetensi Penyedia Layanan Komputasi Awan 9.
Apakah Anda sudah mempunyai suatu rencana penilaian risiko dan uji tuntas yang komprehensif untuk mengevaluasi Penyedia Layanan, berdasarkan faktor kualitatif dan kuantitatif?
1.1
Apakah rencana penilaian tersebut termasuk juga satu set kriteria seleksi Penyedia Layanan yang objektif dan terukur? 10.
Apakah rencana penilaian melibatkan masukan dari Direksi Anda serta perwakilan dari unit usaha Anda yang akan memanfaatkan Layanan Komputasi Awan?
1.1
11.
Apakah Anda menggunakan rencana penilaian dalam penilaian Anda terhadap Penyedia Layanan dan Layanan Komputasi Awan untuk menghasilkan suatu laporan internal yang menjelaskan hasil penilaian tersebut?
1.2
40
41
Pedoman 2: Peninjauan, Pemantauan dan Kendali 19.
Apakah Anda telah membuat suatu rencana untuk meninjau, memantau dan mengendalikan penggunaan Layanan Komputasi Awan dan Penyedia Layanan Anda?
27. 2.1
• mencakup proses yang terdefinisi untuk meninjau dan memantau Layanan Komputasi Awan terkait kepatuhan terus-menerus oleh Penyedia Layanan dengan Pedoman?
28.
• merupakan bagian dari proses kepatuhan dan manajemen risiko Anda yang telah ada (seperti proses manajemen risiko alih daya dan/atau teknologi Anda)?
Panduan 4: Kerahasiaan dan Standar Keamanan
• mencakup alokasi sumber daya yang cukup, baik dari segi waktu maupun tenaga kerja, untuk memungkinkan personel Anda merencanakan dan mengawasi hubungan dengan Penyedia Layanan dengan cukup?
29.
Apakah Anda mempertimbangkan untuk memasukkan ke dalam kontrak Layanan Komputasi Awan, hak Anda untuk melakukan audit terhadap Penyedia Layanan?
Apa sertifikasi independen dan/atau penilaian yang dimiliki oleh Penyedia Layanan?
3.4
4.1 sampai 4.3
Apakah Penyedia Layanan telah melaksanakan sertifikasi ISO/IEC 27001?
• mencakup alokasi personel untuk menghadiri pertemuan rutin untuk mendiskusikan kinerja dan masalah Penyedia Layanan? Apakah Penyedia Layanan menyediakan, secara teratur, suatu gambaran penuh dari (dan hasil dari) setiap proses pengujian dan peninjauan yang dilakukan oleh Penyedia Layanan?
2.2
Apakah Penyedia Layanan menyediakan informasi waktu nyata (real-time) dan terus-menerus mengenai ketersediaan layanan, riwayat status ketersediaan, rincian mengenai gangguan dan penghentian layanan dan jadwal waktu perawatan? Jika demikian, harap berikan rincian dan konfirmasi bahwa hal ini akan ditinjau oleh Anda secara rutin.
2.3
22.
Apakah Penyedia Layanan menyediakan seorang manajer akun terdedikasi atau khusus untuk Anda? Jika iya, harap berikan rincian.
2.4
23.
Apakah kontrak Layanan Komputasi Awan mencakup:
2.5
21.
3.3
Apakah lingkup akses ini meliputi, paling tidak, fasilitas, sistem dan proses Penyedia Layanan serta data Anda yang berhubungan dengan Layanan Komputasi Awan?
Mohon berikan rincian rencana. Apakah rencana tersebut:
20.
Apakah kontrak Layanan Komputasi Awan mencakup kewajiban Penyedia Layanan untuk menyediakan kepada OJK, atau pihak ketiga independen yang ditunjuk oleh OJK, akses terhadap Layanan Komputasi Awan (termasuk untuk mendapatkan catatan dan dokumen dari Penyedia Layanan) dalam rangka melaksanakan fungsi pengawasan OJK?
Jika Penyedia Layanan menggunakan Komputasi Awan Publik, apakah Penyedia Layanan mematuhi ISO/IEC 27018 (ditunjukkan baik dengan hasil audit independen atau komitmen kontraktual)? Apakah Penyedia Layanan memiliki sertifikasi lainnya? 30.
Apakah kendali fisik dan lingkungan berikut tersedia di pusat data?
4.4
• Pengawasan perangkat keras fisik selama 24 jam. • Kendali akses fisik seperti pintu yang terkunci, kartu akses, akses biometrik, dll. • Proses persetujuan yang patut terhadap pengunjung yang bermaksud mendapatkan akses ke pusat data. • Pengawalan pengunjung oleh staf. • Rekaman aktivitas pengunjung. • Jaminan sistem dan peralatan jaringan.
• rincian atas setiap hal, aktivitas, operasi, transaksi atau ruang lingkup yang akan dilaksanakan oleh Penyedia Layanan sebagai bagian dari Layanan Komputasi Awan?
• Sumber daya listrik yang tanpa hambatan. • Sistem pendingin udara. • Sensor suhu.
• hak bagi Anda untuk berpartisipasi dalam program kepatuhan produk Penyedia Layanan (jika Penyedia Layanan memilikinya)?
• Detektor api. • Detektor asap.
• ketentuan hukum yang berlaku (baik hukum Indonesia atau lainnya) dan ketentuan penyelesaian sengketa antara para pihak (baik di Indonesia atau di tempat lain)?
• Alat penyiram air (pipa kering atau pipa basah). • FM200 atau sistem pencegah kebakaran lainnya. • Lantai yang ditinggikan.
24.
Apakah Anda telah membuat suatu catatan dari seluruh Layanan Komputasi Awan yang Anda gunakan saat ini dan yang setiap saat siap diakses untuk ditinjau oleh Direksi dan manajemen senior Anda?
2.6
• CCTV. • Prosedur tertulis untuk menjaga keamanan perangkat keras di pusat data.
Pedoman 3: Audit 25.
Apakah kontrak Layanan Komputasi Awan mencakup kewajiban Penyedia Layanan untuk melaksanakan audit pihak ketiga independen dan untuk membagi hasil audit tersebut dengan Anda dan OJK? Apakah kewajiban ini meliputi:
3.1
• komitmen Penyedia Layanan bahwa dirinya tunduk dan akan terus tunduk terhadap audit pihak ketiga independen dan berkala? • komitmen bahwa audit pihak ketiga independen akan dilaksanakan setidaknya setahun sekali? • hak ekspres bagi Anda dan OJK untuk mendapatkan akses terhadap auditor pihak ketiga independen, hasil audit dan untuk mengajukan pertanyaan kepada auditor pihak ketiga independen, berdasarkan permintaan terhadap Penyedia Layanan? 26.
42
Apakah lingkup audit pihak ketiga independen meliputi fasilitas, sistem dan proses Penyedia Layanan serta data Anda yang berhubungan dengan layanan?
3.2
43
31.
Apakah kebijakan dan praktik keamanan berikut telah dilaksanakan?
4.5
• Teknologi enkripsi yang memenuhi atau melebihi standar internasional untuk melindungi dan mengamankan data Anda setiap waktu, termasuk pada saat transit dan ketika diterima di pusat data Penyedia Layanan.
Pedoman 6: Transparansi Lokasi Data 37.
38.
Apakah Anda telah melakukan suatu tinjauan untuk memastikan bahwa kebijakan pemerintah, pertimbangan ekonomi dan hukum terkait lokasi data yang diidentifikasi aman dan stabil?
6.2.a
39.
Apakah lokasi-lokasi di mana Penyedia Layanan akan menyimpan data Anda menghormati klausul kerahasiaan dan perjanjian?
6.2.b
• Akses terhadap berkas, perintah dan jasa yang sensitif dibatasi dan dilindungi dari manipulasi. Pengecekan integritas harus dilaksanakan untuk mendeteksi perubahan yang tidak sah terhadap pangkalan data (database), berkas, program dan konfigurasi sistem.
40.
Apakah kontrak Layanan Komputasi Awan mencakup kewajiban Penyedia Layanan untuk memastikan bahwa data Anda tetap tunduk kepada perlindungan yang sama walaupun ditempatkan di luar Indonesia?
6.2.c
• Pengendalian kata sandi untuk aplikasi yang kritis dan sensitif ditinjau secara berkala.
Pedoman 7: Batasan Penggunaan Data
• Aktivitas akses jarak jauh dilacak dan ditinjau.
41.
Apakah Penyedia Layanan telah berkomitmen untuk tidak menggunakan data untuk tujuan selain apa yang diperlukan untuk menjalankan Layanan Komputasi Awan?
7.1
42.
Apakah kontrak menyebutkan bahwa hak milik dalam data Anda setiap saat akan adalah milik Anda dan bukan pada Penyedia Layanan atau pihak lain?
7.2
43.
Apakah Penyedia Layanan memiliki prosedur pengendalian akses yang ketat sehingga akses terhadap data terbatas hanya kepada mereka di dalam organisasi Penyedia Layanan yang membutuhkan akses data untuk menjalankan Layanan Komputasi Awan? Apakah hal ini ditinjau oleh Penyedia Layanan secara berkala?
7.3
• Pengujian penetrasi secara teratur dilakukan untuk memungkinkan perbaikan terus-menerus atas prosedur tanggapan insiden. Pedoman 5: Ketangguhan dan Keberlangsungan Usaha Apakah Anda memiliki rencana keberlangsungan usaha yang patut dan apakah penggunaan Layanan Komputasi Awan Anda telah sesuai dengan persyaratan-persyaratan dalam rencana keberlangsungan usaha Anda?
5.1
Apakah rencana keberlangsungan usaha Anda memiliki tujuan ketersediaan layanan, pemulihan dan pembaruan/keberlangsungan yang patut? 33.
Apakah Penyedia Layanan memiliki keberlangsungan usaha yang patut? Setidaknya, apakah Penyedia Layanan:
Pedoman 8: Pemisahan/Isolasi Data 5.2
44.
• memiliki konfigurasi pusat data yang patut (misalnya, konfigurasi aktif-aktif (active-active), apabila berlaku)? 45.
• memiliki kemampuan redundansi yang terpasang (built-in redundancy) pada tingkat data dengan mereplikasi data melalui pusat data-pusat data yang terpisah secara geografis? • menyediakan ketangguhan layanan, misalnya dengan menggunakan pengimbang beban (load balancing) dan pengujian pemulihan yang terus menerus?
Apakah Penyedia Layanan memberikan suatu komitmen kontraktual yang mengikat terhadap ketersediaan layanan yang baik? Apakah komitmen tersebut mencapai atau melebihi 99,9% dan jika iya, apakah hal tersebut didukung secara finansial?
5.3
Apakah Penyedia Layanan menyediakan dukungan nyata, cepat dan secara 24 jam tersedia?
5.4
Apakah dukungan ini termasuk akses terhadap insinyur, pengembang produk, manajer program, manajer produk dan pemimpin senior?
44
Apakah Anda telah mengurangi risiko pembubaran atau likuidasi Penyedia Layanan dengan mengambil langkah-langkah yang wajar untuk memastikan bahwa Anda memiliki tingkat pengendalian yang cukup dan siap untuk (serta mampu) melanjutkan operasi Anda apabila terjadi peristiwa tersebut?
Apabila Anda menggunakan Komputasi Awan Publik, Komputasi Awan Komunitas dan Komputasi Awan Campuran, apakah Penyedia Layanan memisahkan penyimpanan dan pemrosesan data untuk setiap pelanggan Penyedia Layanan, dengan logika pemisahan (logical segregation) dan metode teknis lainnya, sehingga satu pelanggan Penyedia Layanan tidak dapat mengakses data pelanggan lainnya?
8.2
Pedoman 9: Ketentuan Alih Daya
• menggunakan komponen layanan yang disederhanakan selama dimungkinkan?
36.
8.1
Harap berikan rincian.
• membatasi ruang lingkup dan dampak kegagalan di satu daerah layanan hanya terjadi di daerah layanan tersebut saja dan tidak mempengaruhi daerah layanan lainnya?
35.
Apakah Penyedia Layanan memisahkan data Anda dari semua data lain yang disimpan oleh Penyedia Layanan, termasuk data pelanggan Penyedia Layanan lainnya dan data Penyedia Layanan? Bagaimana hal ini dicapai?
• memiliki redundansi fisik (physical redundancy) di dalam server-servernya, di dalam suatu pusat data dan tersebar di pusat data-pusat data yang terpisah?
34.
6.1
Apakah Anda akan mengetahui transparansi lokasi data setiap saat?
• Pengelolaan akun administrasi sistem yang diutamakan. Harus terdapat prosedur untuk mengelola penerbitan, perlindungan, pemeliharaan dan pemusnahan akun tersebut. Aktivitas akun yang diutamakan harus direkam, dicatat dan ditinjau secara berkala dan pencatatan tersebut harus dilindungi dari gangguan oleh pengguna dengan akun yang diutamakan.
32.
Di mana Penyedia Layanan akan menyimpan data?
46.
Bagaimana, kenapa dan kapan Penyedia Layanan menggunakan subkontraktor untuk menyediakan Layanan Komputasi Awan?
9.1
47.
Harap berikan daftar subkontraktor yang digunakan oleh Penyedia Layanan dan konfirmasi bahwa Penyedia Layanan akan memberikan kepada Anda perbaruan terhadap daftar ini selama jangka waktu kontrak Layanan Komputasi Awan.
9.2
48
Apakah Penyedia Layanan memiliki prosedur pengendalian untuk memastikan bahwa subkontraktornya tunduk kepada prosedur pengendalian yang setara yang terhadapnya Penyedia Layanan juga tunduk?
9.3
49
Apakah kontrak Layanan Komputasi Awan mencakup kewajiban Penyedia Layanan untuk bertanggung jawab secara keseluruhan terhadap kinerja subkontraktor?
9.4
5.5
45
Lampiran 3: Kepastian Hukum dalam Transaksi Lintas Batas
Pedoman 10: Ketentuan Pengakhiran 50.
Apakah Penyedia Layanan memberikan komitmen kontraktual yang jelas untuk mengembalikan data Anda dan kemudian menghapus data tersebut secara permanen dari sistem Penyedia Layanan pada saat pengakhiran kontrak?
10.1
51.
Bagaimana proses pengembalian atau penghapusan data Anda, misalnya, apakah Anda harus membuat permohonan kepada Penyedia Layanan?
10.2
52.
Apa tipe solusi penghapusan data yang digunakan oleh Penyedia Layanan?
10.3
Hukum yang berlaku (pilihan hukum)
Apakah sesuai dengan National Institute of Standards and Technology’s Guidelines for Media Sanitization (sebagaimana yang ditetapkan dalam publikasi NIST 800-88)? 53.
Apakah Penyedia Layanan menggunakan proses penghapusan data yang memusnahkan dan membuat pemulihan informasi tidak mungkin dilakukan untuk cakram keras yang tidak dapat dibersihkan?
1 Ada dua hal utama yang harus diperhatikan dalam suatu transaksi lintas batas untuk memastikan adanya suatu kepastian hukum, yaitu hukum yang berlaku dan penyelesaian sengketa. Dalam suatu transaksi lintas batas, adanya klausul-klausul mengenai hukum yang berlaku dan penyelesaian sengketa menjadi penting karena para pihak berasal dari negara-negara yang berbeda yang mungkin memiliki aturan-aturan yang berbeda pula mengenai hal-hal yang diatur dalam kontrak transaksi lintas batas. Oleh karenanya, harus terdapat satu pilihan hukum dan pilihan forum yang disepakati demi kepastian hukum atas transaksi lintas batas tersebut.
10.4
2. Hukum yang berlaku merujuk kepada sistem hukum dimana para pihak secara tegas atau tersirat memilih hukum yang mengatur kontrak para pihak tersebut, atau dalam hal tidak adanya pilihan untuk itu, “sistem hukum yang dimana kontrak memiliki hubungan paling dekat dan nyata” (Marshall, 2012). Hukum yang berlaku kemudian disempitkan menjadi suatu substansi hukum yang mengatur mengenai hubungan kontraktual dalam aspek legalitas, formalitas dan interpretasi mengenai substansi dari kontrak. Namun, tidak hanya mengenai hukum yang berlaku terhadap kontrak tapi juga (Schuller, 2008): (a) hukum dari domisili para pihak yang mengatur mengenai kapasitas para pihak untuk mengadakan suatu kontrak; (b) hukum yang wajib berlaku di suatu negara terlepas dari adanya pilihan hukum; (c) prosedur hukum di negara di mana sengketa terhadap suatu kontrak akan ditentukan; dan (d) hukum dari negara-negara dimana kontrak akan dilaksanakan. 3. Penetapan suatu hukum yang berlaku secara umum dibuat berdasarkan prinsip kebebasan memilih oleh para pihak, kecuali hukum yang mengatur mengenai kapasitas para pihak untuk mengadakan suatu kontrak, ketentuan hukum yang wajib dituruti (contohnya perlindungan konsumen, ketenagakerjaan, jasa keuangan) dan ketertiban umum. Apabila para pihak tidak memilih, hukum yang berlaku dapat juga ditetapkan oleh badan penyelesaian sengketa yang disepakati oleh para pihak (Schuller, 2008). Forum penyelesaian sengketa (pilihan yurisdiksi) 4. Forum penyelesaian sengketa atau pilihan yurisdiksi berkaitan dengan kompetensi suatu pengadilan untuk memutuskan suatu sengketa terlepas dari hukum yang berlaku. Dalam suatu kontrak, terdapat suatu klausul pilihan forum dimana para pihak menentukan terlebih dahulu yurisdiksi mana sengketa-sengketa di masa yang akan datang akan diselesaikan secara hukum.
46
47
Lampiran 4: Bagaimana Hukum Indonesia Memandang Kepastian Hukum dan Pembuktian atas Transaksi Finansial dalam Komputasi Awan
Kepastian hukum atas kontrak (secara umum)
Kepastian hukum atas kontrak (melalui komputasi awan)
1. Secara umum, keberlakuan suatu kontrak, termasuk suatu transaksi finansial, akan bergantung kepada hukum yang mengatur kontrak itu sendiri dan pelaksanaannya bergantung kepada hukum tempat di mana satu pihak berupaya untuk melaksanakan kontrak tersebut. Suatu kontrak berlaku efektif saat para pihak mencapai kesepakatan bersama. Kepastian hukum atas kontrak yang digunakan dalam transaksi apa pun telah dirumuskan secara garis besar dalam Kitab Undang-Undang Hukum Perdata. Suatu kontrak diakui sebagai hukum yang mengikat bagi para pihak di dalam kontrak tersebut (pacta sunt servanda) dan harus memenuhi syarat-syarat dasar berikut:
4. Sehubungan dengan transaksi finansial yang dilakukan melalui komputasi awan, hal ini merupakan suatu transaksi elektronik. UU 11/2008 mengatur bahwa suatu transaksi elektronik yang dituangkan dalam suatu kontrak elektronik (atau bentuk kontraktual lain yang bentuknya disepakati oleh para pihak) mengikat para pihak yang terkait (dan tentunya, dengan memperhatikan persyaratan menurut UU 11/2008 dan PP 82/2012).
(a) kesepakatan para pihak, berarti bahwa masing-masing pihak dalam suatu kontrak harus menyetujui mengenai hal-hal pokok yang diatur di dalam kontrak, persetujuan tersebut dapat dibuktikan contohnya dengan membubuhkan tanda tangan pihak tersebut dalam kontrak; (b) kecakapan para pihak, berarti bahwa masing-masing pihak haruslah memiliki kecakapan untuk mengadakan suatu kontrak termasuk melaksanakan hak dan kewajibannya yang diatur di dalam kontrak tersebut; (c) objek tertentu, berarti bahwa objek suatu kontrak haruslah tertentu, dapat ditetapkan dan spesifik, baik dalam bentuk berwujud atau tidak berwujud; dan (d) sebab yang halal, berarti bahwa kontrak dan segala hal yang disetujui di dalamnya tidak boleh bertentangan dengan peraturan perundang-undangan yang berlaku, kesopanan dan ketertiban umum. 2. Prinsip penting lainnya terkait kontrak menurut hukum Indonesia adalah kontrak harus dibuat berdasarkan itikad baik, yang berarti bahwa kontrak harus dijalankan dan dilaksanakan dengan kepatuhan terhadap norma kewajaran dan moral. Oleh karenanya, standar objektif harus digunakan untuk mengevaluasi pelaksanaan kontrak. 3. Terkait dengan hukum yang berlaku dan forum penyelesaian sengketa, hukum Indonesia secara umum menyerahkan penerapan hal-hal ini kepada kesepakatan para pihak sebagai bagian dari prinsip konsensualisme. Akan tetapi dalam hal bahasa yang berlaku, UU No. 24 Tahun 2009 tentang Bendera, Bahasa, dan Lambang Negara serta Lagu Kebangsaan mewajibkan dokumen dan/ atau kontrak apa pun yang melibatkan pihak Indonesia untuk dibuat dalam versi Bahasa Indonesia (dan jika kedua belah pihak merupakan pihak Indonesia, Bahasa Indonesia yang berlaku, dan bila salah satu pihak bukan merupakan pihak Indonesia, bahasa lain dapat digunakan untuk mendampingi Bahasa Indonesia namun kedua bahasa akan memiliki kekuatan hukum yang sama) dan pelanggaran terhadap ketentuan ini akan menyebabkan dokumen dan/atau kontrak menjadi batal demi hukum.
5. Sehubungan dengan kontrak elektronik, berlaku prinsip-prinsip umum suatu kontrak yang disebutkan dalam paragraf 1 hingga 3. Sebagai tambahan, PP 82/2012 mengatur mengenai persyaratan minimum kontrak elektronik: (a) kontrak elektronik dan bentuk kontraktual lain yang ditujukan kepada penduduk Indonesia harus dibuat dalam Bahasa Indonesia; (b) kontrak elektronik yang dibuat dengan klausul baku harus sesuai dengan ketentuan klausul baku yang diatur oleh peraturan perundang-undangan; (c) kontrak elektronik harus sekurang-kurangnya memuat informasi mengenai identitas para pihak, objek dan jenis, persyaratan transaksi elektronik, harga dan biaya, prosedur pembatalan, jaminan atas produk atau penggantian terkait dengan cacat yang tersembunyi dan pilihan hukum untuk penyelesaian transaksi elektronik. 6. Menurut UU 11/2008, suatu transaksi elektronik berlaku ketika para pihak mencapai suatu kesepakatan dan kesepakatan dicapai dengan penawaran atasa transaksi yang dikirimkan oleh pengirim diterima dan disetujui oleh penerima dengan (a) tindakan yang menyatakan persetujuan, seperti meng-klik suatu tombol persetujuan secara elektronik, atau (b) tindakan penerimaan dan/atau penggunaan objek (kecuali para pihak menyepakati lain). Pembuktian hukum 7. UU 11/2008 telah mengakui bahwa data elektronik (dalam bentuk informasi elektronik dan/atau dokumen elektronik dan/atau hasil cetaknya) adalah alat bukti yang sah secara hukum sebagai perluasan pembuktian yang sah sesuai dengan Kitab Undang-Undang Hukum Acara Pidana, dengan ketentuan bahwa data elektronik tersebut menggunakan sistem elektronik yang sesuai dengan UU 11/2008. Keberadaan informasi elektronik dan/atau dokumen elektronik adalah mengikat dan diakui sebagai alat bukti yang sah untuk memberikan suatu kepastian hukum kepada penyelenggara sistem elektronik, khususnya dalam hal pembuktian dan hal-hal lain yang terkait dengan tindakan hukum yang dilakukan melalui sistem elektronik. 8. PP 82/2012 selanjutnya mensyaratkan bahwa suatu tanda tangan elektronik diperlukan dalam masing-masing transaksi elektronik yang berfungsi sebagai kesepakatan dari pihak penandatangan informasi elektronik dan/atau dokumen elektronik yang ditandatangani. Tanda tangan elektronik dapat dihasilkan melalui berbagai prosedur penandatanganan, dan tanda tangan elektronik mengikat dan efektif secara hukum sepanjang tanda tangan elektronik memenuhi persyaratan berikut: (a) data tanda tangan elektronik hanya terkait kepada penanda tangannya; (b) data tanda tangan elektronik pada saat penandatanganan hanya berada dalam kuasa penanda tangan; (c) setiap perubahan mengenai tanda tangan elektronik setelah penandatanganan dapat diketahui; (d) setiap perubahan mengenai informasi elektronik yang terkait dengan tanda tangan elektronik setelah penandatanganan dapat diketahui; (e) terdapat cara tertentu untuk mengidentifikasi mengenai siap penanda tangan; dan (f) terdapat cara tertentu untuk memperlihatkan bahwa penanda tangan telah memberikan persetujuannya atas informasi elektronik terkait.
48
49
Lampiran 5: Analisis Manfaat Ekonomi dari Komputasi Awan untuk Industri Jasa Keuangan
1. Teknologi komputasi awan, seperti yang telah didiskusikan pada bagian sebelumnya merupakan teknologi yang sangat fleksibel. Teknologi ini memungkinkan pelaku usaha atau bisnis sebagai pengguna komputasi awan melahirkan berbagai inovasi dan ciptaan baru oleh penggunanya. Selain itu, komputasi awan juga mentransformasikan sifat sebuah organisasi dalam berbagai dimensi, termasuk dalam lingkungan bisnis atau usaha. Teknologi komputasi awan diklaim telah berkembang dengan sangat pesat dalam beberapa tahun terakhir baik dalam hal pemanfaatannya maupun nilai investasinya. Gambar 11 menangkap berbagai valuasi investasi tekonologi komputasi awan oleh perusahaan-perusahaan, dengan jumlah investasi yang bervariasi pula. Grafik ini juga menggambarkan bahwa teknologi komputasi awan telah menjadi sebuah investasi strategis dengan nilai investasi yang terbilang besar.
Gambar 11: Nilai Investasi Teknologi Komputasi Awan oleh Industri (IDC, 2009)
2. Seperti terlihat di Gambar 11, valuasi teknologi komputasi awan meningkat sebesar hampir 3 kali lipat dalam 6 tahun yang menggambarkan sebuah pertumbuhan secara konstan dengan jumlah yang besar. Selain itu, diprediksikan pula bahwa sebanyak lebih dari 50% dari seluruh teknologi informasi akan menggunakan teknologi komputasi awan dalam jangka waktu lima hingga sepuluh tahun mendatang (Eaves, 2014). Di Eropa, kontribusi penggunaan komputasi awan terlihat dalam peningkatan jumlah GDP gabungan lima negara, Perancis, Jerman, Italia, Spanyol dan Inggris, sebesar 763 miliar Euro selama kurun waktu 2010 hingga 2015 (CEBR, 2010; 2011). 3. Keuntungan lebih lanjut dari penggunaan teknologi komputasi awan juga tergambarkan di Gambar 12 yang merangkum persentase kontribusi dari penghematan biaya bersih, pengembangan bisnis serta terciptanya bisnis baru kepada ekonomi total dari lima negara tadi (CEBR, 2011).
4. Sedangkan di Yunani, adopsi teknologi komputasi awan bersama memunculkan prediksi keuntungan yang diperoleh melalui pengembangan usaha dan terciptanya usaha baru sekaligus memberikan nilai tambahan sebesar 5,1 miliar Euro (Danchev et al, 2011). Penghematan Biaya dan Ekonomi Skala 5. Penggunaan teknologi komputasi awan menyederhanakan proses bisnis dalam berbagai industri, termasuk sektor industri jasa keuangan. Penggunaan komputasi awan mengurangi permintaan terhadap infrastruktur yang tinggi, dan pada saat yang bersamaan menyediakan ruang yang jauh lebih besar bagi data-data yang akan masuk (Jang-Li dan Chiang, 2015).
Hal ini memungkinkan sektor bisnis untuk memangkas waktu yang teralokasi untuk proses bisnis sekaligus memangkas biaya transaksi serta menciptakan iklim bisnis yang lebih gesit dan adaptif (Chu dan Wang, 2010). Karakteristik komputasi awan yang sangat fleksibel juga mengurangi belanja modal, karena industri mengalihkan anggaran belanja teknologi informasi dan komunikasi mereka ke belanja operasional, yang bergantung pada permintaan dan besaran data yang disewa menggunakan teknologi komputasi awan ini (Rafique et al, 2011). Fleksibilitas koputasi awan juga mampu mengakomodasi kebutuhan proses bisnis dengan lebih efektif dan efisien. IDC (2009) memprediksikan bahwa penggunaan teknologi komputasi awan memungkinkan industri untuk menghemat biaya sebesar lebih dari 50%. Terlebih lagi, Carr (2003) menyebutkan bahwa teknologi komputasi awan ini mampu mengurangi pengeluaran industri sebesar 50% di bidang modal kerja. Oleh karena itu, manfaat pengunaan komputasi awan tidak hanya memungkinkan perusahaan atau organisasi untuk bekerja dengan lebih efisien, namun juga, melalui penghematan di sektor operasional sehingga organisasi mampu mengalokasikan dana penghematan tersebut untuk mengembangkan langkah-langkah strategis dalam meningkatkan kapasitas organisasi terutama meningkatkan produktivitas.
6. Dengan efisiensi biaya dan produktivitas yang meningkat, perusahaan atau organisasi, termasuk yang bergerak di industri jasa keuangan akan mampu menyumbang pemasukan yang signifikan bagi peningkatan GDP negara. Implikasi makro bagi ekonomi negara ini pun tentunya dapat semakin dimaksimalkan dengan adopsi teknologi komputasi awan yang lebih holistik di masa depan. 7. Seperti yang disebutkan oleh Brynjolfsson et al (2010), komputasi awan akan semakin meningkatkan inovasi gabungan, dan secara langsung akan memerlukan keahlian teknologi informasi komunikasi yang lebih lanjut pula. Dengan adanya skala produksi yang semakin besar dan terus bertumbuh yang didukung dengan pemanfaatan teknologi komputasi awan, ekspansi proses bisnis dapat terjadi yang tentu saja akan menciptakan ekspansi kebutuhan tenaga kerja. Sebuah kajian tentang penggunaan komputasi awan di Eropa, yang melibatkan lebih dari 17 juta perusahaan dengan lebih dari 114 juta tenaga kerja, menunjukkan bahwa adopsi teknologi komputasi awan memberikan dampak pada ekspansi penciptaan bisnisbisnis dan inovasi (Etro, 2011). Lebih lanjut lagi, kajian ini juga menyimpulkan bahwa akan ada kebutuhan akan tenaga teknologi informasi dan komunikasi menjadi delapan kali lebih besar. Efisiensi arus kas dan belanja yang diakibatkan oleh penggunaan teknologi komputas awan akan melahirkan beberapa ratus ribu usaha kecil menengah (UKM) baru, yang tentunya akan berdampak pada lapangan pekerjaan baru yang tercipta.
Gambar 12: Persentase Kontribusi Penggunaan Komputasi Awan terhadap Sektor Ekonomi 5 Negara Eropa (CEBR, 2011)
50
51
RANGKAIAN PROGRAM ICCA DALAM MENDUKUNG TRANSFORMASI DIGITAL DI SEKTOR KEUANGAN Etro, F. 2011. The Economics of Cloud Computing. The IUP Journal of Managerial Economics, 9 (2). Forrester Research. (2 Juli 2013). Cloud Economics 2.0: German Stock Exchange Starts Cloud Computing Exchange. Diakses pada 17 November 2016 melalui http://www.zdnet.com/article/cloudeconomics-2-0-german-stock-exchange-starts-cloud-computing-exchange/. Furht, B & Armando, E. ed. 2010. Handbook of Cloud Computing. New York: Springer. Gomolski, B. 2005. U.S. IT Spending and Staffing Survey. Groendfeldt, T. (26 Juni 2014). Some Banks Are Heading To The Cloud -- More Are Planning To. Diakses pada 17 November melalui http://www.forbes.com/sites/tomgroenfeldt/2014/06/26/some-banks-are-heading-to-the-cloud-more-are-planning-to/#3f30831e5991. Hacket, R. (2015). Most companies believe they’ll be hacked in 2015, poll shows. 20 Maret 2015. http://fortune.com/2015/03/20/corporate-hacking/. Hermans, J. (2014). Cyber Security, a Theme for the Boardroom. Netherlands: KPMG Advisory NV, 2014. https://www.kpmg.com/NL/nl/IssuesAndInsights/ArticlesPublications/Documents/PDF/IT-Risk-Advisory/Cybersecurity-Boardroom.pdf.
Daftar Pustaka Business Wire. 1 Juni 2011. NYSE Technologies Introduces the World’s First Capital Markets Community Platform. Diakses pada 17 November 2016 melalui http://www.businesswire.com/news/home/20110601006045/en/NYSE-Technologies-Introduces-World%E2%80%99s-Capital-Markets-Community.
International Data Corporation (IDC). 2009. “Aid to recovery”. IDC White Paper. IDC Financial Insights Research. 2015. Cloud Adoption in Asia/Pacific Bank Flourishes in 2015.
Marshall, B, A., (2012). Melbourne Journal International Law. Reconsidering the Proper Law of the Contract,1-35. Diakses pada 4 November 2016 melalui http://law.unimelb.edu.au/__data/assets/pdf_file/0004/1687288/Marshall.pdf.
Calciago, A. and Rossi, L. 2011. Endogenous Market Structure and Labar Market Dynamics. Bicocca: Mimeo.
Marston, S., Li, Z., bandyopadhyay, S., & Ghalsasi, A. 2011. Cloud Computing: The Business Perspective. Decision Support System.
Carr, N. 2003. “It Doesn’t Matter”. Harvard Business Review, May.
Mathuros, F. (2014). Increased Cyber Security Can Save Global Economy Trillions. 20 Januari 2014. Diakses pada 7 November 2016 melalui https://www. weforum.org/press/2014/01/increased-cyber-security-can-save-global-economytrillions/.
Centre for Economic and Business Research (CEBR). 2010. The Cloud Dividend Part One: The Economic Benefits of Cloud Computing to Business and the Wider EMEA Economy (France, Germany, Italy, Spain, and the UK). London: CEBR. Chinn. D, Kaplan. J, & Allen. W, Risk and Responsibility in a Hyperconnected World: Implications for Enterprises. Januari 2014. Diakses pada 7 November 2016 melalui http://www.mckinsey.com/business-functions/digital-mckinsey/ our-insights/risk-and-responsibility-in-a-hyperconnected-world-implications-forenterprises. Chu, Z. and Wang, Q. 2010. “Drivers of Relationship Quality in Logistics Outsourcing in China”. Journal of Supply Chain Management, vol. 48. Conn, R, F. & Corbett, W, P. Conn Kavanaugh Rosenthal Peisch & Ford, LLP, Boston. Defending Your Client’s Choice of Forum. Diakses pada 4 November 2016 melalui http://www.connkavanaugh.com/8D94AF/assets/files/News/iadc_htm1. pdf Danchev, S. et al. 2011. Cloud Computing: A Driver for Greek Economic Competitiveness. Athens: Foundation for Economic and Industrial Research. Djaja, K., Mardanugraha, E., dan Sihombing, M. 2015. An Assessment of the Indonesian Financial Services Sector. Geneva: International Labour Office. eMarketer. 22 Agustus 2016. Worldwide Retail Ecommerce Sales Will Reach $1.915 Trillion This Year - See more at: https://www.emarketer.com/Article/Worldwide-Retail-Ecommerce-Sales-WillReach-1915-trillion-This Year/1014369#sthash.IFYN6wg8.dpuf. Diakses pada November 17, 2016 melalui: emarketer: https://www.emarketer. com/Article/Worldwide-Retail-Ecommerce-Sales-Will-Reach-1915-trillion-ThisYear/1014369.
Pembicara:
Understanding the Legal Aspects of Cloud Computing & Anticipating Cybercrime Threat Valuable Learning for In-House Lawyer in Providing Legal Advice on Data Security, Privacy & Cybersecurity to Management in Anticipating the Advent of Cloud Computing Era.
Andrew Cooke Regional Director of Legal Affairs, Microsoft Asia Pacific.
Jakarta, 11 November 2014
Jonathan Selvasegaram Attorney Digital Crime Unit, Microsoft South East Asia
Jiang-Li, J.H. and Chiang, I.R. 2015. “Resource Allocation and Revenue Optimization for Cloud Service Providers”. Decision Support System, vol. 77.
Brooks, C. 20 Oktober 2010. NASDAQ Puts Market Data in The Cloud. Diakses pada 17 November 2016 melalui http://searchcloudcomputing.techtarget.com/ news/1522284/NASDAQ-puts-market-data-in-the-cloud.
Center for Economic and Business Research (CEBR). 2011. The Cloud Dividend Part Two: The Economic Benefits of Cloud Computing to Business and the Wider EMEA Economy, Comparative Analysis of the Impact on Aggregated Industry Sectors. London: CEBR
Foto Kegiatan Acara Diskusi:
Mell, P. & Grance, T. 2011. The NIST Definition of Cloud Computing, Recommendations of the National Institute of Standards and Technology, Special Publication 800-145. Gaithersburg: National Institute of Standards and Technology. Muncaster, P. (2015). Hackers Spend 200+ Days Inside Systems Before Discovery. 24 Februari 2015. Diakses pada 7 November 2016 melalui http://www. infosecurity-magazine.com/news/hackers-spend-over-200-days-inside/.
Foto Kegiatan Acara Diskusi:
Pembicara:
Memahami Ketentuan E-Commerce di Indonesia? Sudah Siapkah Kita?
OECD. 2014. Cloud Computing: The Concept, Impacts and The Role of Government Policy. OECD Digital Economy Papers.
Jakarta, 29 Oktober 2015
Ir. Fetnayeti, MM Direktur Bina Usaha, Kementrian Perdagangan Republik Indonesia
PwC. Pimpinan Bisnis Global Semakin Menyadari Adanya Risiko Keamanan Siber, Menurut Survei Global State of Information Security® 2016 PwC, CIO dan CSO. Oleh Daniel Rembeth & Farhana Asnap. http://www.pwc.com/id/en/ media-centre/press-release/2016/indonesian/pimpinan-bisnis-global-semakinmenyadari-adanya-risiko-keamanan-.html.
Iwan Setiawan Peneliti Senior Bank Indonesia Institute Even Alex Chandra Asosiasi E-Commerce Indonesia (IDEA)
PwC. Moving forward with cybersecurity and privacy: How organizations are adopting innovative safeguards to manage threats and achieve competitive advantages in a digital era. 5 Oktober 2016. http://www.pwc.com/gx/en/information-security-survey/assets/gsiss-report-cybersecurity-privacy-safeguards.pdf. Schuller, A, M. 2008. Governing Law Provision-ADT. Dipresentasikan pada ACC Europe 2008 Corporate Counsel University di Hotel Amsterdam Radisson. Sealy, L, S. dan Hooley RJA. 2003. Commercial Law: Text, Cases and Materials, Oxford: Oxford University Press. The Open Group. 2011. Cloud Computing for Business-The Open Group Guide. Zaltbommel: Van Haren Publishing. UNDP. 2015. Human Development Report 2015: Work for Human Development.
Foto Kegiatan Acara Diskusi:
Pembicara:
Komputasi Awan dalam Industri Perbankan Peran Penting In-House Lawyer Untuk Memastikan Dipatuhinya Ketentuan Terkait
Iwan Setiawan Peneliti Senior Bank Indonesia Institute
Jakarta, 26 November 2015 52
53
Kajian Singkat Ketentuan Hukum Penggunaan Komputasi Awan di Era Transformasi Digital ini dibuat oleh ICCA dengan didukung Center for Digital Society FISIPOL Universitas Gadjah Mada, Kantor Konsultan Hukum Mataram Partners, dan pada acara Workshop yang telah diadakan ICCA di Jakarta pada tanggal 9 November 2016 telah mendapat masukan dari penasihat hukum internal dari perusahaan-perusahaan sektor jasa keuangan di bawah ini:
Foto Kegiatan Acara Diskusi:
Pembicara:
Regulations of Information & Technology Risk Management in Banking & Other Financial Services Understanding Role of In-House Lawyer in Financial Sector
Fithri Hadi Direktur Operasional & Sarana Sistim Informasi, Otoritas Jasa Keuangan
Jakarta, 28 April 2016
Andrew Cooke Regional Director of Legal Affairs, Microsoft Asia Pacific
1. Astra Credit Company Keshav Dhakad Senior Attorney & Regional Director Digital Crime Unit, Microsoft Asia Region
2. Asuransi Tokio Marine 3. Bank BRI Syariah 4. Bank Maybank Indonesia 5. Bursa Efek Indonesia 6. PT. Digital Solutions 7. Bussan Auto Finance 8. Chubb Life Insurance 9. Commonwealth Life 10. Great Eastern Life Indonesia 11. Reasuransi Indonesia 12. PT. AIG Insurance Indonesia
Foto Kegiatan Acara Diskusi:
13. Federal International Finance (FIF)
Kepastian Hukum Menghadapi Tranformasi Digital Sektor Jasa Keuangan di Indonesia Menyusun Kajian Singkat (White paper) Mengenai Aturan Hukum Penggunaan Komputasi Awan Sebagai Masukan dan Saran ICCA Kepada Otoritas Jasa Keuangan
14. Bank BTPN
Jakarta, 9 November 2016
54
55
