DILEMA PP NO. 82/2012: MENYIAPKAN CLOUD UNTUK INDUSTRI PERBANKAN DAN KEUANGAN DI INDONESIA
Penerapan Peraturan Pemerintah Nomor 82 tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik atau PP PSTE yang akan segera diimplementasikan membuat pelaku industri perbankan dan finansial harus segera menyiapkan rencana. Rencana ini bertujuan untuk menyiapkan pusat data (data center) atau beralih ke layanan cloud di Indonesia.
Namun di balik itu, masih ada sejumlah ganjalan yang mungkin akan menghambat mereka untuk menerapkan kebijakan tersebut. Sejauh mana proses persiapan industri perbankan dan finansial dalam mempersiapkan diri? Lalu bagaimana dengan pemerintah sebagai regulator dalam menciptakan aturan yang lengkap dan mendetail, serta membuat lingkungan infrastruktur yang kondusif untuk memudahkan industri perbankan dan finansial?
Kian populernya implementasi cloud di industri di Indonesia membuat makin banyak korporasi dari berbagai bidang yang bersiap untuk mengalihkan data center yang ada, dari terpusat dan tersimpan di lokasi sendiri menjadi tersebar di berbagai pusat data cloud yang tersedia. Sayangnya, implementasi migrasi dari data center terpusat ke cloud tak semudah itu. Selain harus mempertimbangkan aspek kesiapan infrastruktur di Indonesia, pengaturan mengenai penyimpanan data-data ke cloud tentu harus diatur. Apalagi kalau data-data tersebut bersifat rahasia.
Industri perbankan dan finansial merupakan industri yang menghadapi kegamangan tentang implementasi cloud di perusahaannya masing-masing. Dihadapkan pada PP Nomor 82 tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, para korporasi yang bermain di industri perbankan dan finansial diwajibkan untuk membangun data center serta disaster recovery center di Indonesia.
Jika dilihat, peraturan ini sebenarnya bertujuan untuk mengamankan berbagai data penting dan rahasia seperti transaksi serta informasi keuangan seseorang dari ancaman intipan pihak asing. Ini juga bertujuan memudahkan negara beserta aparatnya saat ingin melakukan investigasi terkait kasus-kasus tertentu.
Mariam F. Barata (Direktur Pemberdayaan Informatika, Ditjen Aplikasi Informatika, Kementerian Komunikasi dan Informatika/Kemkominfo) menyatakan bahwa masih banyak pihak penyelenggara sistem elektronik yang belum mengetahui tentang peraturan tersebut. Bahkan untuk pemerintah sendiri, dalam kurun waktu dua tahun Kominfo baru dapat menjangkau sekitar 154 pemerintah daerah dari 514 pemerintah daerah yang ada.
Mendorong Kesiapan Infrastruktur di Indonesia
Dari sisi infrastruktur, kesiapan infrastruktur di Indonesia juga masih menjadi sorotan. Pemerintah beranggapan bahwa aspek infrastruktur di Indonesia sudah cukup memadai untuk mengimplementasikan cloud. Mariam mengatakan bahwa secara umum, penyedia layanan data center di Indonesia saat ini sudah terbilang siap untuk meladeni kebutuhan cloud industri perbankan dan finansial. Otoritas Jasa Keuangan (OJK) serta sejumlah instansi lain yang terkait pun sudah menyiapkan ketentuan mengenai persyaratan data center.
Selain kesiapan data center, kesiapan infrastruktur secara menyeluruh juga masih menjadi persoalan yang membuat industri perbankan dan finansial harus berpikir secara matang. Memang, dari sisi kesiapan, infrastruktur konektivitas jaringan di Indonesia masih terbilang tertinggal jika dibandingkan dengan negara tetangga seperti Singapura.
Dengan infrastruktur yang jauh lebih siap, tawaran implementasi cloud dari penyedia layanan di Singapura tentu menjadi lebih menarik. Apalagi, ini didukung oleh klaim keandalan dan tingkat keamanan yang terjamin.
Supriyanto (IT Operation Head, BTPN) mengatakan bahwa kesiapan infrastruktur bukan hanya dilihat dari data center-nya saja. Selama infrastruktur lain seperti konektivitas jaringan belum memadai, proses adopsi cloud akan makin lama. Belum lagi, biaya layanan cloud di Indonesia cenderung kurang kompetitif jika dibandingkan dengan di Singapura.
Irianto Kusumadjaja (CIO, Bank Andara) beranggapan, kebutuhan industri akan cloud serta kewajiban menyimpan data di Indonesia bisa menjadi peluang bisnis yang bagus mengingat kebutuhan akan layanan cloud di Indonesia lebih banyak dibandingkan di Singapura. Jika makin banyak penyedia layanan cloud yang hadir, diharapkan kondisi infrastruktur juga akan makin membaik, serta harganya menjadi makin kompetitif.
Sejumlah perusahaan perbankan dan finansial sebenarnya juga sudah ada yang mulai beralih ke cloud. Namun karena pertimbangan keamanan, hanya sejumlah aspek kecil yang tidak penting saja yang dipindahkan ke cloud.
Misalnya seperti yang dikatakan oleh Muhammad Guntur (Senior Vice President, Enterprise Data Management, Bank Mandiri). Menurutnya, Bank Mandiri sudah menggunakan private cloud untuk kebutuhan human resources department (HRD). Nantinya, kemungkinan Bank Mandiri juga akan menerapkan cloud untuk sejumlah e-mail yang tidak berkaitan dengan data transaksi.
Dwi Kurniawan (Direktur Strategi dan Pengembangan Sistem Informasi, Otoritas Jasa Keuangan) mengatakan bahwa sebenarnya perusahaan perbankan dan finansial bisa-bisa saja meletakkan datanya di luar Indonesia. Namun, ada sejumlah kriteria yang harus dipenuhi untuk dapat meletakkan data di luar negeri, itu pun tidak boleh mengandung aneka data sensitif yang terkait dengan nasabah di Indonesia.
Mendekati tenggat waktu implementasi Peraturan Pemerintah Nomor 82 tahun 2012 yang akan jatuh pada bulan Oktober 2017 mendatang, Kemkominfo beserta OJK berharap para institusi perbankan dan finansial bisa segera menyiapkan roadmap untuk menyiapkan diri bermigrasi ke cloud.
Namun, regulasi yang belum jelas dan detail membuat pelaku industri perbankan dan finansial merasa kebingungan untuk menentukan rencana implementasi, termasuk juga memilih penyedia layanan cloud yang bisa menunjang kegiatan operasionalnya.
Untuk itu, industri perbankan dan finansial berharap Kemkominfo dan OJK sebagai regulator bisa melakukan assessment terhadap penyedia layanan cloud yang saat ini ada di Indonesia sesuai dengan persyaratan yang diperlukan. Dengan begitu, diharapkan regulator juga bisa memberikan rekomendasi tentang penyedia layanan yang layak dipilih oleh industri perbankan dan finansial saat mereka akan menggunakan layanan cloud.
Menanti Sanksi Wajib Terapkan Data Center di Indonesia
Peraturan Pemerintah Nomor 82 Tahun 2012 berisikan kewajiban yang harus dipenuhi oleh penyelenggara sistem elektronik. Salah satunya adalah kewajiban bagi tiap penyelenggara tersebut untuk menempatkan pusat data (data center) dan pusat pemulihan bencana (disaster recovery center) di Indonesia.
Seperti kita ketahui, beberapa perusahaan lokal saat ini meletakkan pusat datanya di luar negeri dengan pertimbangan keamanan, layanan (service), dan biaya yang lebih mumpuni dibanding dengan penyedia data center lokal. Jika PP Nomor 82 Tahun 2012 sudah diberlakukan di Indonesia, penyelenggara sistem elektronik asing seperti Google misalnya, akan “dipaksa” untuk menempatkan pusat datanya di Indonesia, jika mereka masih ingin melanjutkan bisnisnya di Indonesia.
Mariam F Barata menyebutkan, PP PSTE sendiri merupakan turunan dari UU No. 11 tentang Informasi dan Transaksi Elektronik (UU ITE) yang disahkan pada 21 April 2008. Ada sembilan hal yang harus dilakukan melalui PP ini, lima di antaranya adalah pengelolaan nama domain, tata kelola keamanan informasi, lembaga sertifikasi keandalan, tanda tangan elektronik, serta sertifikasi elektronik.
Namun Mariam menuturkan bahwa selama ini, Kominfo cukup mengalami kesulitan karena penyelenggara sistem elektronik belum semuanya mengetahui adanya kewajiban tersebut. Mariam pun menyebut jika masih banyak penyelenggara sistem elektronik yang mengelak dari aturan tentang pembentukan data center di Indonesia. Hal ini dibuktikan via adanya kenyataan bahwa baru sebanyak 154 pemerintah daerah dari 514 daerah yang sudah mematuhi aturan tersebut dalam dalam kurun waktu dua tahun.
Kominfo sendiri sudah memastikan kepada Otoritas Jasa Keuangan (OJK) tentang kesiapan mereka jika perbankan ramai-ramai mendaftar. Pasalnya, diprediksi jika OJK sudah melakukan dorongan kepada semua perbankan, bukan tidak mungkin pendaftaran akan dilakukan secara berbarengan. Mariam menyebut, Kominfo sedang menyiapkan hal itu.
Mariam juga memaparkan bahwa ada beberapa syarat yang harus dipenuhi penyelenggara sistem elektronik, seperti nama domain harus mengandung nama Indonesia, bersifat badan usaha tetap (BUT), serta data center-nya harus berada di Indonesia.
Jika nanti pendekatannya sudah tepat, Kominfo menyatakan sedang mengatur strategi agar proses pendaftaran bisa dilakukan secara online. Setidaknya, strategi ini diatur terkait keterbatasan sumber daya manusia (SDM) dan kapasitas data center Kominfo sendiri.
Sementara itu, Dewi Aryani Suzana (Kepala Divisi TI, PT Asuransi Jasa Indonesia) sedikit memberi sinyal kekhawatiran mengenai PP tersebut jika disahkan di Indonesia. Ia menyebut hal yang menjadi pertimbangan adalah ketika kegiatan operasional sudah berjalan, pihaknya tidak mungkin menggunakan layanan on premise, sehingga harus memilih cloud. Meski data center lokal juga sudah menunjukkan kesiapan di sisi infrastruktur, industri masih membutuhkan kepastian dari sisi keandalan dan keamanan.
Senada dengan Dewi, Faisal Yahya (Associate VP, Technology Services, IBS Group) mengimbau alangkah baiknya jika industri mendapatkan rekomendasi penyedia jasa layanan dari Otoritas Jasa Keuangan (OJK) dan Kominfo selaku regulator. Menurut Faisal, hal ini akan sangat berguna. Jadi jika industri mendapatkan assessment report yang dikeluarkan Kemkominfo dalam usaha agar comply dengan aturan OJK, industri tidak harap-harap cemas.