Peraturan Disaster Recovery untuk Fintech di Indonesia

Peraturan Disaster Recovery dari OJK
Memahami Peraturan Disaster Recovery dari OJK untuk Fintech

Pada peraturan PP 82 Tahun 2012 dan juga pada peraturan OJK Nomor 77/POJK.01/2016, secara jelas disaster recovery harus dimiliki oleh Perbankan dan FinTech. Peraturan disaster recovery tersebut menyebutkan bahwa lokasi data cadangan harus berada di Indonesia.

Mungkin banyak yang terlintas di benak para praktisi bahwa peraturan tersebut hanya sebagai formalitas. Namun ada baiknya coba cermati dan pahami lebih baik lagi persyaratan kepatuhan dari OJK tersebut.

Peraturan Disaster Recovery dari OJK

Selain mewajibkan Perbankan dan FinTech untuk memiliki sarana mitigasi risiko, disaster recovery juga wajib berada di Indonesia.

Dalam peraturan OJK untuk FinTech (Nomor 77/POJK.01/2016) dinyatakan pada pasal 25 ayat 2:

Pusat data dan pusat pemulihan bencana sebagaimana dimaksud pada ayat (1) wajib ditempatkan di Indonesia.

Kita dapat cermati bahwa sebetulnya pasal 25 ayat 2 tersebut mewajibkan data center juga harus berada di wilayah Indonesia. Ini merupakan perlindungan pemerintah untuk kedaulatan data di Indonesia.

Sayangnya, pada peraturan disaster recovery dari OJK tersebut tidak disebutkan syarat teknis minimum. Seharusnya ada persyaratan tambahan selain berada di Indonesia, infrastruktur data center tersebut harus selaras dengan kepatuhan yang disyaratkan oleh PCI DSS dan ISO 27001.

Peraturan OJK tersebut berfokus pada mitigasi risiko pada penyelenggaran teknologi informasi (tidak hanya untuk FinTech saja, namun juga untuk Perbankan seperti BPD dan BPR/BPRS).

  • Mengingat keamanan transaksi keuangan akhir-akhir ini semakin terancam oleh serangan cyber, data center untuk transaksi keuangan baik untuk operasional aktif maupun cadangan, harus memiliki standar keamanan yang jelas. Minimal telah mematuhi PCI DSS V.3.2 dan ISO 27001.
  • Selain itu, sebuah data center harus memiliki jaminan ketersediaan layanan 99.999% yang jelas, minimal dengan sertifikasi Tier III dari The Uptime Institute.

Standar minimal tersebut sangat diperlukan untuk dapat lebih menjamin keberlangsungan operasional bisnis FinTech tanpa henti dan tanpa gangguan.

Data Center dan Disaster Recovery Kenapa Wajib di Indonesia?

Mungkin hal ini yang sering dipertanyakan oleh para pelaku bisnis fintech dan para startup digital di tanah air. Sebetulnya, selain untuk kedaulatan data, lokasi data center di Indonesia dapat mempercepat layanan aplikasi FinTech.

Demikian untuk Disaster Recovery Data Center. Berdasarkan praktik terbaik yang diakui secara umum bahwa, disaster recovery sebaiknya berada dalam radius kurang dari 60 kilo meter dari pusat operasional bisnis. Ini untuk memudahkan, mempercepat dan mengurangi risiko rusak atau hilangnya data.

Saat downtime terjadi, seluruh operasional wajib di alihkan ke situs cadangan. Waktu pemulihan dan maksimal toleransi titik pemulihan harus jelas dalam Disaster Recovery Plan.

Estimasi RTO (Recovery Time Objective) dan RPO (Recovery Point Objective) dapat membantu anda dalam menyusun analisa dampak bisnis terhadap downtime. Dengan menimbang skala bisnis, maka para pimpinan di perbankan dan FinTech dapat menghitung potensi dampak kerugian yang dapat di timbulkan dari sebuah downtime.

Oleh karena itu, bisnis FinTech wajib memiliki pencadangan terbaik yang selalu dapat diandalkan baik untuk pengujian, downtime terjadwal, dan untuk downtime tak terduga.

Tips Memilih Penyedia Disaster Recovery

Saat ini, bisnis skala menengah dapat memiliki fasilitas situs cadangan pada para penyedia jasa disaster recovery, baik dalam bentuk fisik maupun virtual (cloud). Sesuai dengan skala bisnis menengah, disaster recovery yang berjalan di atas cloud (DRaaS) akan lebih sesuai secara biaya dan teknis.

Berikut beberapa faktor penting yang harus di ingat dalam menyeleksi penyedia Disaster Recovery as a Services (DRaaS):

  1. Perhatikan dan pastikan jaminan layanan (SLA) dengan memeriksa sertifikasi TIER yang mereka miliki.
  2. Penyedia DRaaS wajib memiliki sertifikasi dari PCI DSS V.3.2
  3. Pastikan jaminan keamanan infrastruktur dengan melihat pada sertifikasi ISO 27001.
  4. Lihatlah sertifikasi TUFactor untuk memastikan kerahasiaan data anda.
  5. Lihat sertifikasi profesional yang menangani layanan tersebut.

Dengan menyeleksi 5 point tersebut mungkin dapat menghindarkan para pimpinan dari masalah besar saat pemeriksaan kepatuhan maupun pada saat terjadi downtime tak terduga.