Aturan OJK TI BPR resmi diterbitkan sebagai pedoman baru bagi Bank Perkreditan Rakyat (BPR) dan BPR Syariah untuk menyelenggarakan teknologi informasi secara lebih aman, tertib, dan terukur. Intinya, Otoritas Jasa Keuangan (OJK) mendorong penguatan pengamanan informasi agar layanan perbankan di level daerah tetap andal di tengah meningkatnya risiko siber.
Dalam beberapa tahun terakhir, digitalisasi layanan keuangan bergerak cepat. BPR dan BPR Syariah pun ikut bertransformasi: mulai dari penggunaan core banking, layanan berbasis aplikasi, hingga integrasi dengan pihak ketiga. Di sisi lain, ancaman kebocoran data, penipuan digital, dan serangan ransomware juga meningkat. Aturan baru ini hadir untuk memastikan transformasi digital tidak mengorbankan keamanan dan kepatuhan.
Kenapa OJK Menerbitkan Aturan Ini?
Regulasi penyelenggaraan TI menjadi penting karena TI sudah menjadi tulang punggung operasional bank. Saat sistem terganggu, dampaknya bukan hanya ke internal bank, tetapi juga ke nasabah dan stabilitas layanan. OJK mendorong BPR dan BPR Syariah memperkuat tata kelola TI agar:
- Risiko operasional dan risiko siber lebih terkendali.
- Data nasabah lebih terlindungi.
- Layanan tetap tersedia (availability) dan pulih cepat saat terjadi gangguan.
- Penggunaan vendor/mitra TI tidak menimbulkan celah keamanan baru.
Poin-Poin Utama Aturan Penyelenggaraan TI di BPR & BPR Syariah
Berikut ringkasan poin penting yang perlu dicermati BPR dan BPR Syariah. Meski detail teknis dapat berbeda sesuai ketentuan lengkapnya, garis besar pengaturannya umumnya mencakup aspek tata kelola, manajemen risiko, dan keamanan informasi.
1) Penguatan Tata Kelola (Governance) TI
OJK menekankan bahwa TI bukan sekadar urusan tim IT, melainkan bagian dari tata kelola bank. Artinya, manajemen dan pengurus harus memiliki keterlibatan yang jelas dalam arah kebijakan TI.
- Penetapan kebijakan dan prosedur TI yang terdokumentasi.
- Kejelasan peran dan tanggung jawab unit terkait (IT, risiko, kepatuhan, audit).
- Pengawasan dan evaluasi berkala atas kinerja TI.
2) Manajemen Risiko TI dan Keamanan Informasi
Poin paling disorot adalah pengamanan informasi. Bank diminta memperkuat kontrol untuk mencegah, mendeteksi, dan merespons ancaman.
- Identifikasi aset informasi dan sistem kritikal.
- Penilaian risiko TI secara berkala, termasuk risiko siber.
- Penerapan kontrol keamanan seperti akses berbasis peran, enkripsi, dan pemantauan log.
- Penguatan kesadaran keamanan (security awareness) bagi karyawan.
3) Ketersediaan Layanan dan Rencana Pemulihan (BCP/DRP)
Sistem bank harus siap menghadapi gangguan, baik karena kegagalan teknis maupun insiden keamanan. OJK mendorong BPR memiliki rencana kesinambungan bisnis dan pemulihan bencana yang realistis, diuji, dan diperbarui.
- Rencana backup data yang rutin dan terverifikasi.
- Uji pemulihan sistem (disaster recovery test) secara berkala.
- Target waktu pemulihan layanan sesuai tingkat kritikalitas.
4) Pengelolaan Vendor, Pihak Ketiga, dan Outsourcing
Transformasi digital sering melibatkan pihak ketiga: penyedia aplikasi, data center, cloud, hingga konsultan. Aturan ini menegaskan perlunya kontrol saat menggunakan vendor agar tidak terjadi “blind spot” keamanan.
- Due diligence sebelum bekerja sama dengan vendor TI.
- Perjanjian kerja sama yang memuat SLA, keamanan, dan kewajiban kerahasiaan.
- Pemantauan kinerja dan kepatuhan vendor secara berkelanjutan.
5) Pelaporan, Dokumentasi, dan Audit
Penguatan TI tidak cukup hanya diterapkan, tetapi juga harus bisa dibuktikan. Dokumentasi kebijakan, bukti kontrol, hasil pengujian, dan laporan insiden menjadi bagian penting dalam kepatuhan.
- Dokumentasi kebijakan/prosedur serta perubahan sistem.
- Audit internal terkait TI dan keamanan informasi.
- Mekanisme pelaporan insiden sesuai ketentuan yang berlaku.
Dampak Aturan Ini bagi BPR dan BPR Syariah
Bagi sebagian BPR, aturan ini bisa terasa menuntut karena memerlukan investasi, baik dari sisi SDM, proses, maupun teknologi. Namun manfaatnya juga jelas: operasional lebih stabil, risiko menurun, dan kepercayaan nasabah meningkat.
Dalam praktiknya, BPR perlu menilai kesiapan internal: apakah kebijakan TI sudah lengkap, apakah kontrol akses sudah ketat, bagaimana posisi backup dan pemulihan, serta seberapa aman integrasi dengan vendor. Langkah kecil seperti pembaruan prosedur akses, edukasi karyawan, dan pengujian backup yang rutin bisa memberi dampak besar.
Kesimpulan
Aturan OJK tentang penyelenggaraan teknologi informasi menjadi pengingat bahwa digitalisasi harus diimbangi dengan keamanan. BPR dan BPR Syariah didorong untuk memperkuat tata kelola, manajemen risiko TI, keamanan informasi, serta kesiapan menghadapi insiden dan gangguan layanan. Dengan kepatuhan yang baik, transformasi digital bisa berjalan lebih aman dan berkelanjutan—tanpa mengorbankan kepercayaan nasabah.
