Setidaknya terdapat dua fase digital banking atau layanan/kegiatan perbankan melalui perangkat elektronik. Pertama, digital branch, yakni kantor bank pada lokasi tertentu yang menyediakan sarana elektronik/digital sehingga nasabah dapat memperoleh informasi dan melakukan registrasi, pembukaan/penutupan rekening, transaksi perbankan/non perbankan secara mandiri.
Sedangkan fase kedua adalah banking anywhere, yakni layanan bank yang sedemikian rupa sehingga nasabah dapat memperoleh informasi dan melakukan registrasi, pembukaan/penutupan rekening dan transaksi perbankan/non perbankan kapan dan dimana saja dengan menggunakan media digital seperti smart phone, tablet, laptop dan komputer (PC) milik nasabah secara mandiri.
Namun dalam melaksanakan digital banking ini, perbankan sebagai penyelengara wajib menerapkan Manajemen Risiko Teknologi Informasi (MRTI). Ada tiga prinsip MRTI yang harus dilakukan, yakni pengamanan logic, pengamanan fisik dan pengendalian operasional. Hal itu disebutkan oleh Pengawas Perbankan Senior Otoritas Jasa Keuangan, Anton Sudharma dalam pelatihan yang digelar hukumonline bertema “Aspek Hukum dan Teknis Penyelenggaraan Jasa Perbankan Berbasis Internet (Digital Banking)” di Jakarta, Rabu (18/5).
Anton menjelaskan, untuk pengamanan logic, bank wajib menerapkan prinsip two factor authentication pada saat pendaftaran/registrasi nasabah baru maupun pada saat transaksi. Prinsip tersebut berupa verifikasi menggunakan data Kartu Tanda Penduduk (KTP) elektronik yang divalidasi dengan sidik jari nasabah. Bank juga bisa melakukan pertemuan langsung (face to face) dengan calon nasabah. Jika calon nasabah merupakan nasabah dari lembaga jasa keuangan lain, bank dapat menggunakan hasil customer due dilligence (CDD) yang telah dilakukan lembaga jasa keuangan tersebut.
“Bisa di-pending pembukaan rekening atau transaksi nasabah oleh bank setelah lakukan CDD terindikasi calon nasabah high risk atau dicurigai sebagai teroris dari daftar yang dimiliki,” kata Anton.
Kewajiban pengamanan logic lainnya menggunakan KTP elektronik sebagai basis data dan verifikasi calon nasabah. Kemudian, bank wajib menggunakan alat pembaca (reader) KTP elektronik yang telah disertifikasi oleh badan yang berwenang sesuai ketentuan yang berlaku. Bank juga wajib menyimpan gambar/image KTP elektronik calon nasabah. Berikutnya, bank wajib menyimpan informasi calon nasabah untuk kebutuhan know your customer (KYC) dan Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme (APU-PPT).
“Mengacu UU Kearsipan (UU No. 43 Tahun 2009), penyimpanan dilakukan selama lima tahun sejak (rekening) ditutup,” tambah Anton.
Bank juga wajib melakukan validasi beberapa data calon nasabah terhadap data kependudukan yang ada di Direktorat Jenderal Kependudukan dan Catatan Sipil (Dukcapil) Kementerian Dalam Negei (Kemendagri). Bank juga wajib menentukan batas toleransi kesalahan penginputan verifikasi data. Serta, menjaga privacy dan kerahasiaan informasi pribadi nasabah/calon nasabah saat proses pendaftaran, transaksi maupun layanan lainnya.
Untuk pengamanan fisik, lanjut Anton, bank wajib melakukan pengamanan terhadap seluruh sarana dan prasarana misalnya alat pembaca KTP elektronik, terminal, kabel jaringan dan lainnya. Bank juga wajib menggunakan perangkat elektronik yang bersifat tempered proof. Selain itu, bank wajib mengoperasikan CCTV yang dapat meng-cover seluruh area digital branch dan infrastruktur pendukung serta menyimpan hasil rekaman selama periode tertentu sesuai kebijakan bank.
Sedangkan dalam pengendalian operasional, bank wajib menyediakan panduan, penjelasan dan ilustrasi jenis dan cara penggunaan layanan digital branch sebagai bagian dari aspek edukasi dan perlindungan nasabah. Kemudian, memverifikasi dan meyakini keabsahan dan kesesuaian nomor ponsel yang didaftarkan nasabah, misalnya dengan mengirimkan kode one time password (OTP) ke nomor ponsel yang didaftarkan nasabah.
Lalu, bank juga wajib menyediakan bukti transaksi dalam bentuk elektronik atau tercetak kepada nasabah. Kemudian, menyediakan layanan notifikasi kepada nasabah untuk jenis transaksi tertentu sesuai risk appetite bank atau kebutuhan nasabah. Bank juga wajib memiliki metode monitoring aktivitas digital branch, termasuk menyediakan sarana audit trail dari sistem yang digunakan dalam mendukung penyelenggaraan digital branch. Terakhir, bank wajib memiliki mekanisme untuk memastikan pengamanan log pada alat pembaca KTP elektronik.
Di tempat yang sama, Pengawas Perbankan Senior OJK Pardiyono menambahkan, tingkat keamanan dalam digital banking sudah sangat baik. Untuk itu, jika ada oknum yang akan berniat jahat maka berisiko besar bagi pelaku tersebut. “Saya kira model bisnis digital branch relatif secure, sehingga jika ada orang niat jahat, buka rekening, berisiko besar baginya. Secara fisik akan terekam, dan itu bisa dibuka dan dicek ulang di kemudian hari,” pungkasnya.
Sedangkan fase kedua adalah banking anywhere, yakni layanan bank yang sedemikian rupa sehingga nasabah dapat memperoleh informasi dan melakukan registrasi, pembukaan/penutupan rekening dan transaksi perbankan/non perbankan kapan dan dimana saja dengan menggunakan media digital seperti smart phone, tablet, laptop dan komputer (PC) milik nasabah secara mandiri.
Namun dalam melaksanakan digital banking ini, perbankan sebagai penyelengara wajib menerapkan Manajemen Risiko Teknologi Informasi (MRTI). Ada tiga prinsip MRTI yang harus dilakukan, yakni pengamanan logic, pengamanan fisik dan pengendalian operasional. Hal itu disebutkan oleh Pengawas Perbankan Senior Otoritas Jasa Keuangan, Anton Sudharma dalam pelatihan yang digelar hukumonline bertema “Aspek Hukum dan Teknis Penyelenggaraan Jasa Perbankan Berbasis Internet (Digital Banking)” di Jakarta, Rabu (18/5).
Anton menjelaskan, untuk pengamanan logic, bank wajib menerapkan prinsip two factor authentication pada saat pendaftaran/registrasi nasabah baru maupun pada saat transaksi. Prinsip tersebut berupa verifikasi menggunakan data Kartu Tanda Penduduk (KTP) elektronik yang divalidasi dengan sidik jari nasabah. Bank juga bisa melakukan pertemuan langsung (face to face) dengan calon nasabah. Jika calon nasabah merupakan nasabah dari lembaga jasa keuangan lain, bank dapat menggunakan hasil customer due dilligence (CDD) yang telah dilakukan lembaga jasa keuangan tersebut.
“Bisa di-pending pembukaan rekening atau transaksi nasabah oleh bank setelah lakukan CDD terindikasi calon nasabah high risk atau dicurigai sebagai teroris dari daftar yang dimiliki,” kata Anton.
Kewajiban pengamanan logic lainnya menggunakan KTP elektronik sebagai basis data dan verifikasi calon nasabah. Kemudian, bank wajib menggunakan alat pembaca (reader) KTP elektronik yang telah disertifikasi oleh badan yang berwenang sesuai ketentuan yang berlaku. Bank juga wajib menyimpan gambar/image KTP elektronik calon nasabah. Berikutnya, bank wajib menyimpan informasi calon nasabah untuk kebutuhan know your customer (KYC) dan Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme (APU-PPT).
“Mengacu UU Kearsipan (UU No. 43 Tahun 2009), penyimpanan dilakukan selama lima tahun sejak (rekening) ditutup,” tambah Anton.
Bank juga wajib melakukan validasi beberapa data calon nasabah terhadap data kependudukan yang ada di Direktorat Jenderal Kependudukan dan Catatan Sipil (Dukcapil) Kementerian Dalam Negei (Kemendagri). Bank juga wajib menentukan batas toleransi kesalahan penginputan verifikasi data. Serta, menjaga privacy dan kerahasiaan informasi pribadi nasabah/calon nasabah saat proses pendaftaran, transaksi maupun layanan lainnya.
Untuk pengamanan fisik, lanjut Anton, bank wajib melakukan pengamanan terhadap seluruh sarana dan prasarana misalnya alat pembaca KTP elektronik, terminal, kabel jaringan dan lainnya. Bank juga wajib menggunakan perangkat elektronik yang bersifat tempered proof. Selain itu, bank wajib mengoperasikan CCTV yang dapat meng-cover seluruh area digital branch dan infrastruktur pendukung serta menyimpan hasil rekaman selama periode tertentu sesuai kebijakan bank.
Sedangkan dalam pengendalian operasional, bank wajib menyediakan panduan, penjelasan dan ilustrasi jenis dan cara penggunaan layanan digital branch sebagai bagian dari aspek edukasi dan perlindungan nasabah. Kemudian, memverifikasi dan meyakini keabsahan dan kesesuaian nomor ponsel yang didaftarkan nasabah, misalnya dengan mengirimkan kode one time password (OTP) ke nomor ponsel yang didaftarkan nasabah.
Lalu, bank juga wajib menyediakan bukti transaksi dalam bentuk elektronik atau tercetak kepada nasabah. Kemudian, menyediakan layanan notifikasi kepada nasabah untuk jenis transaksi tertentu sesuai risk appetite bank atau kebutuhan nasabah. Bank juga wajib memiliki metode monitoring aktivitas digital branch, termasuk menyediakan sarana audit trail dari sistem yang digunakan dalam mendukung penyelenggaraan digital branch. Terakhir, bank wajib memiliki mekanisme untuk memastikan pengamanan log pada alat pembaca KTP elektronik.
Di tempat yang sama, Pengawas Perbankan Senior OJK Pardiyono menambahkan, tingkat keamanan dalam digital banking sudah sangat baik. Untuk itu, jika ada oknum yang akan berniat jahat maka berisiko besar bagi pelaku tersebut. “Saya kira model bisnis digital branch relatif secure, sehingga jika ada orang niat jahat, buka rekening, berisiko besar baginya. Secara fisik akan terekam, dan itu bisa dibuka dan dicek ulang di kemudian hari,” pungkasnya.