KETENTUAN HUKUM INDONESIA TERKAIT KOMPUTASI AWAN (CLOUD COMPUTING) ICCA CLOUD COMPUTING WHITE PAPER FOCUS GROUP DISCUSSION – JAKARTA, 8 DESEMBER 2016
DASAR HUKUM
Undang-Undang Republik Indonesia No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE)
Sistem elektronik “Serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan,
mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik.” Definisi ini sangat luas dan tidak terinci sehingga dapat juga mencakup komputasi awan
DASAR HUKUM (2) Peraturan Pemerintah Republik Indonesia No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi
Elektronik (PP 82/2012) Merupakan peraturan pelaksanaan UU ITE
Mengatur secara terperinci mengenai sistem elektronik
Memuat ketentuan yang membedakan antara penyelenggaraan sistem elektronik untuk pelayanan publik dan
nonpelayanan publik
KETENTUAN LOKASI DATA
Terkait dengan komputasi awan, sektor jasa keuangan seharusnya tunduk pada peraturan yang diterbitkan OJK, serta peraturan terkait dari pengatur & pengawas sektor jasa keuangan lainnya sebelum OJK yang belum diganti oleh OJK
JASA KEUANGAN DAN PELAYANAN PUBLIK Terdapat pendapat bahwa
penyelenggara jasa keuangan adalah pelaku pelayanan publik
Isu ini harus dicermati dengan merujuk
kepada:
Undang-Undang Republik Indonesia No. 25 Tahun 2009 tentang Pelayanan Publik (UU 25/2009)
Peraturan Pemerintah Republik Indonesia No. 96 Tahun 2012 tentang Pelaksanaan UU 25/2009 (PP 96/2012)
JASA KEUANGAN DAN PELAYANAN PUBLIK (2) Penyelenggara jasa keuangan yang berstatus BUMN (terutama Persero), tidak dapat dikategorikan sebagai
penyelenggara pelayanan publik, karena tidak sejalan dengan Undang-Undang Republik Indonesia No. 19 Tahun 2003 tentang Badan Usaha Milik Negara
PERAN INSTANSI PENGAWAS DAN PENGATUR SEKTOR JASA KEUANGAN
OJK telah menerbitkan Surat OJK No. S-44/PB.1.2015 tertanggal 25 Agustus 2015 perihal Penerapan PP 82/2012
(“Surat OJK 44/2015”)
Memuat panduan kriteria sistem elektronik yang dapat ditempatkan di luar Indonesia
Surat tersebut merupakan bentuk pelaksanaan kewenangan OJK untuk lokasi data dan penggunaan komputasi awan di sektor perbankan sesuai ketentuan Pasal 17 ayat (3) PP 82/2012
PERAN INSTANSI PENGAWAS DAN PENGATUR SEKTOR JASA KEUANGAN (2)
Bank Indonesia telah menerbitkan Peraturan Bank Indonesia No. 9/15/PBI/2007 tentang Penerapan Manajemen
Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (“PBI 9/15/2007”)
Mengatur bahwa bank dapat menyelenggarakan pusat data dan pusat pemulihan bencana di luar Indonesia sepanjang mendapatkan persetujuan dari Bank Indonesia
Keberadaan PBI 9/15/2007 yang sampai saat ini masih berlaku juga dapat diinterpretasikan sebagai pengakuan bahwa pengaturan penggunaan komputasi awan di sektor keuangan sepenuhnya berada di bawah kewenangan OJK
PERAN INSTANSI PENGAWAS DAN PENGATUR SEKTOR JASA KEUANGAN (3) OJK bukanlah satu-satunya lembaga yang telah menjalankan kewenangan Instansi Pengawas dan Pengatur Sektoral
Dalam sektor minyak dan gas bumi: Satuan Kerja Khusus Pelaksana Kegiatan Usaha Hulu Minyak dan Gas Bumi (“SKK Migas”)
SKK Migas telah menerapkan kewenangan tersebut dengan mengeluarkan Surat Keputusan No. KEP 0008/SKO0000/2013/S) tertanggal 10 Januari 2013 tentang Pedoman Tata Kerja Pengelolaan Teknologi Informasik dan Komunikasi pada Kontrak Kerja Sama
Surat tersebut mengatur bahwa data-data tertentu dalam industri migas dapat ditempatkan di luar negeri sepanjang mendapatkan persetujuan Menteri Energi dan Sumber Daya Mineral
PERAN INSTANSI PENGAWAS DAN PENGATUR SEKTOR JASA KEUANGAN (4)
Untuk sektor keuangan nonbank, OJK telah menerbitkan Surat Edaran OJK No. 10/SEOJK.05/2016 tentang Pedoman Penerapan Manajemen Risiko dan Laporan Hasil Penilaian Sendiri Penerapan Manajemen Risiko bagi Lembaga Jasa Keuangan NonBank (“SEOJK 10/2016”)
Surat edaran tersebut juga merupakan bentuk pelaksanaan kewenangan OJK untuk lokasi data dan penggunaan komputasi awan di sektor jasa keuangan
Namun terdapat pengaturan yang berbeda mengenai penempatan pusat data untuk sektor perbankan dan non-perbankan
PBI 9/15/2007 dan Surat OJK 44/2015 mengizinkan sektor bank untuk menggunakan komputasi awan atau menyelenggarakan penempatan pusat dan pusat pemulihan bencana di luar Indonesia sepanjang mendapatkan persetujuan OJK, sementara SEOJK 10/2016 menetapkan bahwa (a) untuk sektor asuransi konvensional harus dilakukan Indonesia, (b) pembiayaan perlu ditempatkan di Indonesia; dan (c) dana pensiun sebaiknya ditempatkan di Indonesia
KEAMANAN SISTEM ELEKTRONIK
Peraturan Menkominfo No. 4 Tahun 2016 tentang Sistem
Manajemen Pengamanan Informasi yang mensyaratkan penyelenggara sistem elektronik untuk pelayanan publik untuk menerapkan sistem manajemen keamanan informasi berdasarkan asas risiko
Jika sistem elektronik dikategorikan sebagai “strategis”,
penyelenggara yang bersangkutan harus mematuhi persyaratan keamanan SNI ISO/IEC 27001 dan persyaratan keamanan yang ditetapkan oleh Instansi Pengawas dan Pengatur Sektor
Jika sistem elektronik dikategorikan sebagai “tinggi”,
penyelenggara yang bersangkutan harus mematuhi persyaratan keamanan SNI ISO/IEC 27001
Jika sistem elektronik dikategorikan sebagai “rendah”,
penyelenggara yang bersangkutan harus mematuhi pedoman Indeks Keamanan Informasi yang akan diatur oleh Menkominfo
KESIMPULAN
Ketentuan hukum terkait dengan komputasi awan yang berlaku saat ini, khususnya UU ITE dan PP 82/2012, tidak
melarang penggunaan komputasi awan di sektor jasa keuangan - PP 82/2012, diperkuat dengan UU OJK, justru memberikan kewenangan kepada OJK untuk melakukan pengaturan tersebut Selaku lembaga yang memegang otorisasi atas jasa keuangan, sudah saatnya bagi OJK untuk menerbitkan suatu
pedoman bagi industri keuangan dalam memilih dan menggunakan layanan komputasi awan Pedoman ini harus bertitik berat pada aspek keamanan atau manajemen risiko teknologi industri, dan selanjutnya
secara mendalam mengatur mengenai standar keamanan, audit, transparansi, proteksi, kerahasiaan dan hal lainnya terkait komputasi awan yang dapat dimanfaatkan oleh pelaku usaha jasa keuangan
