PERBAN

Peraturan Badan Nomor 11-pojk-03-2022 Tahun 2022 tentang PENYELENGGARAAN TEKNOLOGI INFORMASI OLEH BANK UMUM

PERBAN Nomor 11-pojk-03-2022 Tahun 2022

Konten ini bukan nasihat hukum. Selalu rujuk sumber resmi untuk kepastian hukum.

BAB I

KETENTUAN UMUM

Pasal 1

Dalam Peraturan Otoritas Jasa Keuangan ini, yang dimaksud dengan: 1. Bank Umum yang selanjutnya disebut sebagai Bank adalah bank yang melaksanakan kegiatan usaha secara konvensional atau melaksanakan kegiatan usaha berdasarkan prinsip syariah, yang dalam kegiatannya memberikan jasa dalam lalu lintas pembayaran, termasuk kantor cabang dari bank yang berkedudukan di luar negeri dan unit usaha syariah. 2. Teknologi Informasi yang selanjutnya disingkat TI adalah suatu teknik untuk mengumpulkan, menyiapkan, menyimpan, memproses, mengumumkan, menganalisis, dan/atau menyebarkan informasi. 3. Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik. 4. Pusat Data adalah suatu fasilitas yang digunakan untuk menempatkan Sistem Elektronik dan komponen terkaitnya untuk keperluan penempatan, penyimpanan, dan pengolahan data. 5. Pusat Pemulihan Bencana adalah suatu fasilitas yang digunakan untuk memulihkan kembali data atau informasi serta fungsi penting Sistem Elektronik yang terganggu atau rusak akibat terjadinya bencana yang disebabkan oleh alam atau manusia. 6. Rencana Pemulihan Bencana adalah dokumen yang berisikan rencana dan langkah untuk menggantikan dan/atau memulihkan kembali akses data, perangkat keras, dan perangkat lunak yang diperlukan, agar Bank dapat menjalankan kegiatan operasional bisnis yang kritikal setelah adanya gangguan dan/atau bencana. 7. Direksi adalah organ Bank yang berwenang dan bertanggung jawab penuh atas pengurusan Bank untuk kepentingan Bank, sesuai dengan maksud dan tujuan Bank serta mewakili Bank, baik di dalam maupun di luar pengadilan sesuai dengan anggaran dasar bagi Bank yang berbadan hukum perseroan terbatas, organ atau pihak yang setara bagi Bank dengan bentuk badan hukum selain perseroan terbatas, atau pemimpin kantor cabang dan pejabat satu tingkat di bawah pemimpin kantor cabang bagi kantor cabang dari bank yang berkedudukan di luar negeri. 8. Dewan Komisaris adalah organ Bank yang bertugas melakukan pengawasan secara umum dan/atau khusus sesuai dengan anggaran dasar serta memberi nasihat kepada Direksi bagi Bank yang berbadan hukum perseroan terbatas, organ atau pihak yang setara bagi Bank dengan bentuk badan hukum selain perseroan terbatas, atau pihak yang ditunjuk untuk melaksanakan fungsi pengawasan bagi kantor cabang dari bank yang berkedudukan di luar negeri.

BAB II

TATA KELOLA TI BANK

Pasal 2

Koreksi

(1) Bank wajib menerapkan tata kelola TI yang baik dalam penyelenggaraan TI. (2) Dalam menerapkan tata kelola TI yang baik sebagaimana dimaksud pada ayat (1), Bank mempertimbangkan faktor paling sedikit: a. strategi dan tujuan bisnis Bank; b. ukuran dan kompleksitas bisnis Bank; c. peran TI bagi Bank; d. metode pengadaan sumber daya TI; e. risiko dan permasalahan terkait TI; f. praktik atau standar yang berlaku secara nasional maupun internasional; dan g. ketentuan peraturan perundang-undangan. (3) Dalam menerapkan tata kelola TI yang baik sebagaimana dimaksud pada ayat (1), Bank melakukan kegiatan paling sedikit: a. evaluasi atas pilihan strategi, pengarahan atas strategi penyelenggaraan TI, dan pemantauan pencapaian strategi; b. penyelarasan, perencanaan, dan pengorganisasian seluruh unit, strategi, dan kegiatan yang mendukung penyelenggaraan TI; c. pendefinisian, akuisisi, dan implementasi atas solusi TI serta integrasinya dalam proses bisnis Bank; d. penyediaan dukungan operasional layanan TI kepada pemangku kepentingan; dan e. pemantauan kinerja dan kesesuaian penyelenggaraan TI dengan target kinerja intern, pengendalian intern, dan ketentuan peraturan perundang-undangan. (4) Penerapan tata kelola TI yang baik sebagaimana dimaksud pada ayat (1) berlaku bagi seluruh unit dan/atau fungsi: a. pengelola TI; dan b. pengguna TI, pada Bank.

Pasal 3

(1) Dalam menerapkan tata kelola TI, Bank wajib melakukan pemetaan, perencanaan, dan/atau penetapan atas aspek paling sedikit: a. proses bisnis; b. struktur organisasi; c. kebijakan, standar, dan prosedur; d. kebutuhan dan alur informasi pendukung proses bisnis; e. sumber daya manusia pendukung; f. budaya TI; dan g. infrastruktur dan aplikasi. (2) Bank memastikan terciptanya sinergi pada seluruh aspek sebagaimana dimaksud pada ayat (1). (3) Bank wajib menerapkan kebijakan, standar, dan prosedur sebagaimana dimaksud pada ayat (1) huruf c secara konsisten dan berkesinambungan. (4) Bank wajib melakukan kaji ulang dan penginian kebijakan, standar, dan prosedur sebagaimana dimaksud pada ayat (1) huruf c secara berkala.

Pasal 4

Bank wajib MENETAPKAN wewenang dan tanggung jawab yang jelas dari Direksi, Dewan Komisaris, dan pejabat pada setiap jenjang jabatan yang terkait dengan penerapan tata kelola TI.

Pasal 5

Wewenang dan tanggung jawab Direksi sebagaimana dimaksud dalam Pasal 4 paling sedikit mencakup: a. MENETAPKAN rencana strategis TI; b. MENETAPKAN kebijakan, standar, dan prosedur terkait penyelenggaraan dan penggunaan TI yang memadai dan mengomunikasikan secara efektif, baik kepada satuan kerja penyelenggara maupun pengguna TI; dan c. mengevaluasi tujuan strategis, mengarahkan pejabat eksekutif Bank, dan memantau seluruh kegiatan penyelenggaraan TI untuk memastikan: 1. penerapan tata kelola TI sesuai dengan kebutuhan dan karakteristik Bank; 2. efektivitas dan efisiensi penyelenggaraan TI secara keseluruhan untuk memberikan manfaat yang optimal bagi Bank; 3. penerapan proses manajemen risiko dalam penyelenggaraan TI dilaksanakan secara efektif; 4. tersedianya sumber daya yang memadai terkait penyelenggaraan TI untuk mendukung bisnis Bank secara efektif dan efisien; dan 5. dukungan dan keterlibatan pemangku kepentingan dalam penerapan tata kelola TI.

Pasal 6

Wewenang dan tanggung jawab Dewan Komisaris sebagaimana dimaksud dalam Pasal 4 paling sedikit mencakup: a. mengevaluasi, mengarahkan, dan memantau rencana strategis TI; dan b. mengevaluasi, mengarahkan, dan memantau penerapan tata kelola TI.

Pasal 7

(1) Bank wajib memiliki komite pengarah TI. (2) Komite pengarah TI sebagaimana dimaksud pada ayat (1) bertanggung jawab memberikan rekomendasi kepada Direksi paling sedikit terkait dengan: a. rencana strategis TI yang sejalan dengan rencana korporasi Bank; b. kebijakan, standar, dan prosedur TI; c. kesesuaian antara rencana pengembangan TI dan rencana strategis TI; d. kesesuaian antara pelaksanaan pengembangan TI dan rencana pengembangan TI; e. evaluasi atas efektivitas biaya TI terhadap pencapaian manfaat yang direncanakan; f. pemantauan atas kinerja TI dan upaya peningkatan kinerja TI; g. upaya penyelesaian berbagai masalah terkait TI yang tidak dapat diselesaikan oleh satuan kerja pengguna dan penyelenggara TI secara efektif, efisien, dan tepat waktu; dan h. kecukupan dan alokasi sumber daya terkait TI yang dimiliki Bank. (3) Komite pengarah TI sebagaimana dimaksud pada ayat (1) paling sedikit beranggotakan: a. direktur yang membawahkan satuan kerja penyelenggara TI; b. direktur yang membawahkan satuan kerja manajemen risiko; c. pejabat tertinggi yang memimpin satuan kerja penyelenggara TI; dan d. pejabat tertinggi yang memimpin satuan kerja pengguna TI. (4) Komite pengarah TI sebagaimana dimaksud pada ayat (3) diketuai oleh salah satu direktur Bank merangkap sebagai anggota.

Pasal 8

(1) Bank wajib memiliki satuan kerja penyelenggara TI yang bertanggung jawab atas pengelolaan TI. (2) Pengelolaan TI sebagaimana dimaksud pada ayat (1) paling sedikit berupa aktivitas: a. perencanaan; b. penyusunan atau pengembangan; c. pengoperasian; dan d. pemantauan, atas kegiatan penyelenggaraan TI. (3) Aktivitas pengelolaan TI sebagaimana dimaksud pada ayat (2) dilaksanakan sesuai dengan arahan yang ditetapkan oleh Direksi untuk mencapai tujuan bisnis Bank.

Pasal 9

(1) Bank yang melanggar ketentuan sebagaimana dimaksud dalam Pasal 2 ayat (1), Pasal 3 ayat (1), ayat (3), ayat (4), Pasal 4, Pasal 7 ayat (1), dan/atau Pasal 8 ayat (1), dikenai sanksi administratif berupa teguran tertulis. (2) Dalam hal Bank telah dikenai sanksi administratif sebagaimana dimaksud pada ayat (1) dan belum memenuhi ketentuan sebagaimana dimaksud dalam Pasal 2 ayat (1), Pasal 3 ayat (1), ayat (3), ayat (4), Pasal 4, Pasal 7 ayat (1), dan/atau Pasal 8 ayat (1), Bank dikenai sanksi administratif berupa: a. larangan untuk menerbitkan produk Bank baru; b. pembekuan kegiatan usaha tertentu; dan/atau c. penurunan penilaian faktor tata kelola dalam penilaian tingkat kesehatan Bank.

Pasal 10

Ketentuan lebih lanjut mengenai penerapan tata kelola TI ditetapkan oleh Otoritas Jasa Keuangan.

BAB Kesatu

Umum

Pasal 2

Koreksi

Pasal 3

BAB Kedua

Penerapan Tata Kelola TI Bank

Pasal 4

Koreksi

Bank wajib MENETAPKAN wewenang dan tanggung jawab yang jelas dari Direksi, Dewan Komisaris, dan pejabat pada setiap jenjang jabatan yang terkait dengan penerapan tata kelola TI.

Pasal 5

Koreksi

Pasal 6

Pasal 7

Pasal 8

Pasal 9

Pasal 10

Ketentuan lebih lanjut mengenai penerapan tata kelola TI ditetapkan oleh Otoritas Jasa Keuangan.

BAB III

ARSITEKTUR TI BANK

Pasal 11

Koreksi

(1) Bank wajib memiliki arsitektur TI. (2) Dalam menyusun arsitektur TI sebagaimana dimaksud pada ayat (1), Bank mempertimbangkan faktor paling sedikit: a. visi dan misi Bank; b. rencana korporasi Bank; c. proses dan kapabilitas bisnis Bank; d. tata kelola TI; e. prinsip pengelolaan data, aplikasi, dan teknologi Bank; f. ukuran dan kompleksitas bisnis Bank; g. kemampuan permodalan Bank; h. standar yang berlaku secara nasional maupun internasional; dan i. ketentuan peraturan perundang-undangan. (3) Arsitektur TI sebagaimana dimaksud pada ayat (1) disusun secara komprehensif meliputi proses: a. perencanaan; b. desain; c. implementasi; dan d. kontrol. (4) Dalam hal terdapat perubahan pada faktor sebagaimana dimaksud pada ayat (2), Bank wajib melakukan penginian terhadap arsitektur TI. (5) Ketentuan lebih lanjut mengenai penyusunan arsitektur TI ditetapkan oleh Otoritas Jasa Keuangan.

Pasal 12

(1) Bank wajib memiliki rencana strategis TI yang mendukung rencana korporasi Bank. (2) Rencana strategis TI sebagaimana dimaksud pada ayat (1) disusun untuk penyelenggaraan TI dalam jangka panjang sesuai periode rencana korporasi Bank. (3) Ketentuan lebih lanjut mengenai penyusunan rencana strategis TI ditetapkan oleh Otoritas Jasa Keuangan.

Pasal 13

(1) Bank wajib menyampaikan rencana strategis TI sebagaimana dimaksud dalam Pasal 12 ayat (1) kepada Otoritas Jasa Keuangan paling lambat pada akhir bulan November tahun sebelum periode awal rencana strategis TI dimulai. (2) Dalam hal terdapat kondisi yang secara signifikan memengaruhi sasaran dan strategi TI Bank sebagaimana dimuat dalam rencana strategis TI yang sedang berjalan, Bank dapat melakukan perubahan rencana strategis TI. (3) Bank menyampaikan perubahan rencana strategis TI sebagaimana dimaksud pada ayat (2) kepada Otoritas Jasa Keuangan sewaktu-waktu dalam periode rencana strategis TI sebagaimana dimaksud dalam Pasal 12 ayat (2).

Pasal 14

(1) Bank yang melanggar ketentuan sebagaimana dimaksud dalam Pasal 11 ayat (1), ayat (4), Pasal 12 ayat (1), dan/atau Pasal 13 ayat (1), dikenai sanksi administratif berupa teguran tertulis. (2) Dalam hal Bank telah dikenai sanksi administratif sebagaimana dimaksud pada ayat (1) dan belum memenuhi ketentuan sebagaimana dimaksud dalam Pasal 11 ayat (1), ayat (4), Pasal 12 ayat (1), dan/atau Pasal 13 ayat (1), Bank dikenai sanksi administratif berupa: a. larangan untuk menerbitkan produk Bank baru; b. pembekuan kegiatan usaha tertentu; dan/atau c. penurunan penilaian faktor tata kelola dalam penilaian tingkat kesehatan Bank.

BAB IV

PENERAPAN MANAJEMEN RISIKO PENYELENGGARAAN TI BANK

Pasal 15

Koreksi

(1) Bank wajib menerapkan manajemen risiko secara efektif dalam penyelenggaraan TI. (2) Penerapan manajemen risiko sebagaimana dimaksud pada ayat (1) harus dilakukan secara terintegrasi dalam setiap tahapan penyelenggaraan TI. (3) Dalam menerapkan manajemen risiko sebagaimana dimaksud pada ayat (1), Bank melakukan proses paling sedikit: a. identifikasi risiko; b. pengukuran risiko; c. pemantauan risiko; dan d. pengendalian risiko. (4) Bank wajib memastikan kecukupan sistem informasi manajemen risiko dalam penyelenggaraan TI. (5) Ketentuan lebih lanjut mengenai penerapan manajemen risiko dalam penyelenggaraan TI ditetapkan oleh Otoritas Jasa Keuangan.

Pasal 16

(1) Bank wajib memastikan pengamanan informasi dilaksanakan secara efektif dan efisien. (2) Pengamanan informasi sebagaimana dimaksud pada ayat (1) dilakukan terhadap aspek sumber daya manusia, proses, teknologi, dan fisik atau lingkungan, dalam penyelenggaraan TI secara menyeluruh. (3) Penerapan pengamanan informasi sebagaimana dimaksud pada ayat (1) dilakukan berdasarkan hasil penilaian terhadap risiko pada informasi yang dimiliki Bank. (4) Ketentuan lebih lanjut mengenai pengamanan informasi ditetapkan oleh Otoritas Jasa Keuangan.

Pasal 17

(1) Bank wajib memastikan jaringan komunikasi yang disediakan oleh Bank telah memenuhi prinsip kerahasiaan, integritas, dan ketersediaan. (2) Ketentuan lebih lanjut mengenai jaringan komunikasi ditetapkan oleh Otoritas Jasa Keuangan.

Pasal 18

(1) Bank wajib memiliki Rencana Pemulihan Bencana. (2) Bank wajib memastikan Rencana Pemulihan Bencana sebagaimana dimaksud pada ayat (1) dapat dilaksanakan, sehingga kelangsungan operasional Bank tetap berjalan saat terjadi bencana dan/atau gangguan pada sarana TI yang digunakan Bank. (3) Bank wajib melakukan uji coba atas Rencana Pemulihan Bencana terhadap seluruh aplikasi dan infrastruktur yang kritikal sesuai hasil analisis dampak bisnis, paling sedikit 1 (satu) kali dalam 1 (satu) tahun dengan melibatkan pengguna TI. (4) Bank wajib melakukan kaji ulang Rencana Pemulihan Bencana paling sedikit 1 (satu) kali dalam 1 (satu) tahun. (5) Ketentuan lebih lanjut mengenai Rencana Pemulihan Bencana ditetapkan oleh Otoritas Jasa Keuangan.

Pasal 19

Bank umum konvensional yang memiliki unit usaha syariah wajib memiliki sistem yang dapat menghasilkan laporan terpisah bagi kegiatan unit usaha syariah.

Pasal 20

(1) Bank yang melanggar ketentuan sebagaimana dimaksud dalam Pasal 15 ayat (1), ayat (4), Pasal 16 ayat (1), Pasal 17 ayat (1), Pasal 18 ayat (1), ayat (2), ayat (3), ayat (4), dan/atau Pasal 19, dikenai sanksi administratif berupa teguran tertulis. (2) Dalam hal Bank telah dikenai sanksi administratif sebagaimana dimaksud pada ayat (1) dan belum memenuhi ketentuan sebagaimana dimaksud dalam Pasal 15 ayat (1), ayat (4), Pasal 16 ayat (1), Pasal 17 ayat (1), Pasal 18 ayat (1), ayat (2), ayat (3), ayat (4), dan/atau Pasal 19, Bank dikenai sanksi administratif berupa: a. larangan untuk menerbitkan produk Bank baru; b. pembekuan kegiatan usaha tertentu; dan/atau c. penurunan penilaian faktor tata kelola dalam penilaian tingkat kesehatan Bank.

BAB Kedua

Pengamanan Informasi dalam Penyelenggaraan TI Bank

Pasal 16

Koreksi

Pasal 17

Pasal 18

Pasal 19

Bank umum konvensional yang memiliki unit usaha syariah wajib memiliki sistem yang dapat menghasilkan laporan terpisah bagi kegiatan unit usaha syariah.

Pasal 20

BAB V

KETAHANAN DAN KEAMANAN SIBER BANK

Pasal 21

Koreksi

(1) Bank wajib menjaga ketahanan siber. (2) Untuk menjaga ketahanan siber sebagaimana dimaksud pada ayat (1), Bank melakukan proses paling sedikit: a. identifikasi aset, ancaman, dan kerentanan; b. pelindungan aset; c. deteksi insiden siber; dan d. penanggulangan dan pemulihan insiden siber. (3) Bank memastikan proses untuk menjaga ketahanan siber sebagaimana dimaksud pada ayat (2) didukung dengan sistem informasi ketahanan siber yang memadai.

Pasal 22

Koreksi

(1) Bank wajib melakukan penilaian sendiri atas tingkat maturitas keamanan siber. (2) Penilaian sendiri atas tingkat maturitas keamanan siber sebagaimana dimaksud pada ayat (1) dilakukan secara tahunan untuk posisi akhir bulan Desember. (3) Bank dapat melakukan penginian penilaian sendiri atas tingkat maturitas keamanan siber sewaktu-waktu apabila diperlukan. (4) Bank wajib menyampaikan hasil penilaian sendiri atas tingkat maturitas keamanan siber sebagaimana dimaksud pada ayat (1) kepada Otoritas Jasa Keuangan sebagai bagian dari laporan kondisi terkini penyelenggaraan TI Bank.

Pasal 23

Bank wajib melakukan pengujian keamanan siber berdasarkan: a. analisis kerentanan; dan b. skenario.

Pasal 24

(1) Pengujian keamanan siber berdasarkan analisis kerentanan sebagaimana dimaksud dalam Pasal 23 huruf a wajib dilaksanakan secara berkala. (2) Bank wajib menyampaikan hasil pengujian keamanan siber berdasarkan analisis kerentanan sebagaimana dimaksud pada ayat (1) kepada Otoritas Jasa Keuangan sebagai bagian dari laporan kondisi terkini penyelenggaraan TI Bank.

Pasal 25

(1) Pengujian keamanan siber berdasarkan skenario sebagaimana dimaksud dalam Pasal 23 huruf b wajib dilaksanakan paling sedikit 1 (satu) kali dalam 1 (satu) tahun. (2) Pengujian keamanan siber berdasarkan skenario sebagaimana dimaksud pada ayat (1) paling sedikit mencakup: a. penetapan tujuan, cakupan, dan skenario pengujian; b. pelaksanaan pengujian; c. evaluasi hasil pengujian; dan d. penilaian terhadap efektivitas upaya mitigasi, respon, dan tindakan pemulihan Bank terhadap serangan siber. (3) Bank wajib menyampaikan laporan hasil pengujian keamanan siber berdasarkan skenario sebagaimana dimaksud pada ayat (1) kepada Otoritas Jasa Keuangan paling lama 10 (sepuluh) hari kerja setelah pengujian keamanan siber selesai dilaksanakan. (4) Laporan hasil pengujian keamanan siber sebagaimana dimaksud pada ayat (3) paling sedikit mencakup: a. ringkasan pelaksanaan pengujian; b. pelajaran terpetik atau hasil observasi dari hasil pengujian; dan c. rencana atau perbaikan yang telah dilakukan.

Pasal 26

(1) Bank wajib membentuk unit atau fungsi yang bertugas menangani ketahanan dan keamanan siber Bank. (2) Unit atau fungsi sebagaimana dimaksud pada ayat (1) bersifat independen terhadap fungsi pengelolaan TI.

Pasal 27

(1) Bank yang melanggar ketentuan sebagaimana dimaksud dalam Pasal 21 ayat (1), Pasal 22 ayat (1), ayat (4), Pasal 23, Pasal 24, Pasal 25 ayat (1), dan/atau Pasal 26 ayat (1), dikenai sanksi administratif berupa teguran tertulis. (2) Dalam hal Bank telah dikenai sanksi administratif sebagaimana dimaksud pada ayat (1) dan belum memenuhi ketentuan sebagaimana dimaksud dalam Pasal 21 ayat (1), Pasal 22 ayat (1), ayat (4), Pasal 23, Pasal 24, Pasal 25 ayat (1), dan/atau Pasal 26 ayat (1), Bank dikenai sanksi administratif berupa: a. larangan untuk menerbitkan produk Bank baru; b. pembekuan kegiatan usaha tertentu; dan/atau c. penurunan penilaian faktor tata kelola dalam penilaian tingkat kesehatan Bank.

Pasal 28

Ketentuan lebih lanjut mengenai ketahanan dan keamanan siber Bank ditetapkan oleh Otoritas Jasa Keuangan.

BAB VI

PENGGUNAAN PIHAK PENYEDIA JASA TI DALAM PENYELENGGARAAN TI BANK

Pasal 29

Koreksi

(1) Bank dapat menggunakan pihak penyedia jasa TI dalam penyelenggaraan TI. (2) Bank yang menggunakan pihak penyedia jasa TI sebagaimana dimaksud pada ayat (1) wajib memiliki kemampuan dalam melakukan pengawasan atas pelaksanaan kegiatan Bank yang diselenggarakan oleh pihak penyedia jasa TI. (3) Bank wajib memiliki kebijakan dan prosedur dalam penggunaan pihak penyedia jasa TI sebagaimana dimaksud pada ayat (1) paling sedikit memuat: a. proses identifikasi kebutuhan penggunaan pihak penyedia jasa TI; b. proses pemilihan pihak penyedia jasa TI; c. tata cara melakukan hubungan kerja sama dengan pihak penyedia jasa TI; d. proses manajemen risiko penggunaan pihak penyedia jasa TI; dan e. tata cara penilaian kinerja dan kepatuhan pihak penyedia jasa TI.

Pasal 30

(1) Bank dalam melakukan proses identifikasi kebutuhan penggunaan pihak penyedia jasa TI sebagaimana dimaksud dalam Pasal 29 ayat (3) huruf a paling sedikit: a. meneliti potensi calon pihak penyedia jasa TI; dan b. menyusun kriteria pihak penyedia jasa TI yang dibutuhkan. (2) Bank dalam melakukan proses pemilihan pihak penyedia jasa TI sebagaimana dimaksud dalam Pasal 29 ayat (3) huruf b paling sedikit memperhatikan: a. kualifikasi dan kompetensi pihak penyedia jasa TI, termasuk sumber daya manusia yang dimiliki; b. analisis biaya dan manfaat dengan mengikutsertakan satuan kerja penyelenggara TI Bank; c. prinsip kehati-hatian dan manajemen risiko; dan d. prinsip hubungan kerja sama secara wajar jika pihak penyedia jasa TI merupakan pihak terkait dengan Bank. (3) Bank dalam melakukan hubungan kerja sama dengan pihak penyedia jasa TI sebagaimana dimaksud dalam Pasal 29 ayat (3) huruf c wajib memiliki perjanjian kerja sama dengan pihak penyedia jasa TI, dengan memperhatikan paling sedikit: a. kualifikasi dan kompetensi sumber daya manusia yang dimiliki pihak penyedia jasa TI; b. komitmen pihak penyedia jasa TI dalam menjaga kerahasiaan data dan/atau informasi Bank serta nasabah Bank; c. komitmen pihak penyedia jasa TI untuk menyampaikan hasil audit TI secara berkala yang dilakukan auditor independen atas penyediaan jasa TI kepada Bank; d. pengalihan sebagian kegiatan atau subkontrak oleh pihak penyedia jasa TI dilakukan atas persetujuan Bank yang dibuktikan dengan dokumen tertulis; e. mekanisme pelaporan kejadian kritis oleh pihak penyedia jasa TI kepada Bank; f. mekanisme penghentian perjanjian kerja sama jika terdapat penghentian perjanjian sebelum jangka waktu perjanjian berakhir; g. pemenuhan ketentuan peraturan perundang- undangan atas penyediaan jasa TI oleh pihak penyedia jasa TI; h. kesediaan pihak penyedia jasa TI untuk memenuhi kewajiban dan/atau persyaratan yang dimuat dalam perjanjian kerja sama; dan i. kesediaan pihak penyedia jasa TI untuk memberikan akses kepada Otoritas Jasa Keuangan dan/atau pihak lain yang berwenang untuk melakukan pemeriksaan terhadap kegiatan penyediaan jasa TI yang diberikan sesuai dengan ketentuan peraturan perundang-undangan. (4) Proses manajemen risiko penggunaan pihak penyedia jasa TI sebagaimana dimaksud dalam Pasal 29 ayat (3) huruf d meliputi: a. tanggung jawab Bank atas penerapan manajemen risiko terkait penggunaan pihak penyedia jasa TI; b. penyediaan Rencana Pemulihan Bencana yang teruji dan memadai; dan c. penetapan dan pemantauan atas pemenuhan persyaratan keamanan data dan/atau informasi dalam kebijakan dan prosedur intern serta dalam perjanjian kerja sama. (5) Bank dalam melakukan penilaian kinerja dan kepatuhan pihak penyedia jasa TI sebagaimana dimaksud dalam Pasal 29 ayat (3) huruf e memperhatikan paling sedikit: a. pemantauan dan evaluasi keandalan pihak penyedia jasa TI secara berkala terkait kinerja, reputasi pihak penyedia jasa TI, dan kelangsungan penyediaan layanan; b. penerapan pengendalian TI secara memadai oleh pihak penyedia jasa TI, yang dibuktikan dengan hasil audit dan/atau penilaian yang dilakukan oleh pihak independen; dan c. pemenuhan tingkat layanan sesuai dengan perjanjian tingkat layanan antara Bank dan pihak penyedia jasa TI.

Pasal 31

Dalam hal terdapat perubahan yang signifikan terhadap organisasi dari pihak penyedia jasa TI, Bank wajib melakukan penilaian ulang materialitas terhadap pihak penyedia jasa TI.

Pasal 32

Pasal 33

(1) Bank yang melanggar ketentuan sebagaimana dimaksud dalam Pasal 29 ayat (2), ayat (3), Pasal 30 ayat (3), Pasal 31, Pasal 32 ayat (1), dan/atau ayat (4), dikenai sanksi administratif berupa teguran tertulis. (2) Dalam hal Bank telah dikenai sanksi administratif sebagaimana dimaksud pada ayat (1) dan belum memenuhi ketentuan sebagaimana dimaksud dalam Pasal 29 ayat (2), ayat (3), Pasal 30 ayat (3), Pasal 31, Pasal 32 ayat (1), dan/atau ayat (4), Bank dikenai sanksi administratif berupa: a. larangan untuk menerbitkan produk Bank baru; b. pembekuan kegiatan usaha tertentu; dan/atau c. penurunan penilaian faktor tata kelola dalam penilaian tingkat kesehatan Bank.

Pasal 34

Ketentuan lebih lanjut mengenai penggunaan pihak penyedia jasa TI dalam penyelenggaraan TI Bank ditetapkan oleh Otoritas Jasa Keuangan.

BAB VII

PENEMPATAN SISTEM ELEKTRONIK DAN PEMROSESAN TRANSAKSI BERBASIS TI

Pasal 35

Koreksi

(1) Bank wajib menempatkan Sistem Elektronik pada Pusat Data dan Pusat Pemulihan Bencana di wilayah INDONESIA. (2) Bank dapat menempatkan Sistem Elektronik pada Pusat Data dan/atau Pusat Pemulihan Bencana di luar wilayah INDONESIA sepanjang memperoleh izin dari Otoritas Jasa Keuangan. (3) Kriteria Sistem Elektronik yang dapat ditempatkan pada Pusat Data dan/atau Pusat Pemulihan Bencana di luar wilayah INDONESIA sebagaimana dimaksud pada ayat (2), meliputi: a. Sistem Elektronik yang digunakan untuk mendukung analisis terintegrasi dalam memenuhi ketentuan yang diterbitkan oleh otoritas negara asal Bank yang bersifat global, termasuk lintas negara; b. Sistem Elektronik yang digunakan untuk manajemen risiko secara terintegrasi dengan kantor pusat Bank atau kantor induk atau kantor entitas utama di luar wilayah INDONESIA; c. Sistem Elektronik yang digunakan untuk penerapan anti pencucian uang dan pencegahan pendanaan terorisme secara terintegrasi dengan kantor pusat Bank atau kantor induk Bank di luar wilayah INDONESIA; d. Sistem Elektronik yang digunakan untuk pelayanan kepada nasabah secara global, yang memerlukan integrasi dengan Sistem Elektronik milik grup Bank di luar wilayah INDONESIA; e. Sistem Elektronik yang digunakan untuk manajemen komunikasi antara kantor pusat Bank dan kantor cabang, atau antara perusahaan anak dan perusahaan induk; dan/atau f. Sistem Elektronik yang digunakan untuk manajemen intern Bank. (4) Dalam hal terdapat kondisi yang mengganggu operasional Bank secara signifikan, Otoritas Jasa Keuangan dapat menentukan penempatan Sistem Elektronik pada Pusat Data dan/atau Pusat Pemulihan Bencana di luar wilayah INDONESIA selain kriteria sebagaimana dimaksud pada ayat (3) untuk sementara waktu.

Pasal 36

Pasal 37

Bank wajib memastikan Pusat Data dan Pusat Pemulihan Bencana sebagaimana dimaksud dalam Pasal 35 menjamin kelangsungan usaha Bank.

Pasal 38

Ketentuan lebih lanjut mengenai penempatan Sistem Elektronik pada Pusat Data dan Pusat Pemulihan Bencana ditetapkan oleh Otoritas Jasa Keuangan.

Pasal 39

(1) Bank wajib menyelenggarakan pemrosesan transaksi berbasis TI di wilayah INDONESIA. (2) Pemrosesan transaksi berbasis TI dapat dilakukan oleh pihak penyedia jasa TI di wilayah INDONESIA. (3) Penyelenggaraan pemrosesan transaksi berbasis TI oleh pihak penyedia jasa TI sebagaimana dimaksud pada ayat (2) dapat dilakukan sepanjang: a. memenuhi prinsip kehati-hatian; b. memenuhi ketentuan sebagaimana dimaksud dalam Pasal 29 dan Pasal 30; dan c. memperhatikan aspek perlindungan nasabah. (4) Pemrosesan transaksi berbasis TI oleh pihak penyedia jasa TI di luar wilayah INDONESIA dapat dilakukan sepanjang Bank memperoleh izin dari Otoritas Jasa Keuangan. (5) Bank dapat mengajukan permohonan izin sebagaimana dimaksud pada ayat (4) sepanjang: a. Bank memenuhi persyaratan sebagaimana dimaksud pada ayat (3); b. dokumen pendukung administrasi keuangan atas transaksi yang dilakukan di kantor Bank di INDONESIA ditatausahakan di kantor Bank di INDONESIA; dan c. rencana bisnis Bank menunjukkan adanya upaya untuk meningkatkan peran Bank bagi perkembangan perekonomian INDONESIA. (6) Otoritas Jasa Keuangan memberikan izin atau menolak permohonan izin pemrosesan transaksi berbasis TI oleh pihak penyedia jasa TI di luar wilayah INDONESIA sebagaimana dimaksud pada ayat (4) paling lama 3 (tiga) bulan setelah seluruh persyaratan dipenuhi oleh Bank dan dokumen permohonan diterima secara lengkap oleh Otoritas Jasa Keuangan. (7) Ketentuan lebih lanjut mengenai pemrosesan transaksi berbasis TI ditetapkan oleh Otoritas Jasa Keuangan.

Pasal 40

(1) Permohonan izin sebagaimana dimaksud dalam Pasal 35 ayat (2) dan/atau Pasal 39 ayat (4) disampaikan kepada Otoritas Jasa Keuangan secara daring melalui sistem perizinan dan registrasi terintegrasi Otoritas Jasa Keuangan. (2) Dalam hal sarana penyampaian sebagaimana dimaksud pada ayat (1) belum tersedia, penyampaian dilakukan melalui sistem pelaporan Otoritas Jasa Keuangan untuk laporan tidak terstruktur kepada: a. Departemen Pengawasan Bank terkait atau Kantor Regional Otoritas Jasa Keuangan di Jakarta, bagi Bank yang berkantor pusat di wilayah Provinsi Daerah Khusus Ibukota Jakarta atau Provinsi Banten; atau b. Kantor Regional Otoritas Jasa Keuangan atau Kantor Otoritas Jasa Keuangan setempat, bagi Bank yang berkantor pusat di luar wilayah Provinsi Daerah Khusus Ibukota Jakarta atau Provinsi Banten.

Pasal 41

(1) Bank harus: a. menempatkan Sistem Elektronik pada Pusat Data dan/atau Pusat Pemulihan Bencana di luar wilayah INDONESIA sebagaimana dimaksud dalam Pasal 35 ayat (2); dan/atau b. mengimplementasikan pemrosesan transaksi berbasis TI oleh pihak penyedia jasa TI di luar wilayah INDONESIA sebagaimana dimaksud dalam Pasal 39 ayat (4), paling lama 6 (enam) bulan sejak memperoleh izin dari Otoritas Jasa Keuangan. (2) Apabila Bank tidak melaksanakan ketentuan sebagaimana dimaksud pada ayat (1) dalam jangka waktu 6 (enam) bulan sejak izin diperoleh dari Otoritas Jasa Keuangan, izin Otoritas Jasa Keuangan menjadi tidak berlaku.

Pasal 42

(1) Bank yang melanggar ketentuan sebagaimana dimaksud dalam Pasal 35 ayat (1), Pasal 36 ayat (3), Pasal 37, dan/atau Pasal 39 ayat (1), dikenai sanksi administratif berupa teguran tertulis. (2) Dalam hal Bank telah dikenai sanksi administratif sebagaimana dimaksud pada ayat (1) dan belum memenuhi ketentuan sebagaimana dimaksud dalam Pasal 35 ayat (1), Pasal 36 ayat (3), Pasal 37, dan/atau Pasal 39 ayat (1), Bank dikenai sanksi administratif berupa: a. larangan untuk menerbitkan produk Bank baru; b. pembekuan kegiatan usaha tertentu; dan/atau c. penurunan penilaian faktor tata kelola dalam penilaian tingkat kesehatan Bank.

BAB Kesatu

Penempatan Sistem Elektronik

Pasal 35

Koreksi

Pasal 36

Pasal 37

Bank wajib memastikan Pusat Data dan Pusat Pemulihan Bencana sebagaimana dimaksud dalam Pasal 35 menjamin kelangsungan usaha Bank.

Pasal 38

Ketentuan lebih lanjut mengenai penempatan Sistem Elektronik pada Pusat Data dan Pusat Pemulihan Bencana ditetapkan oleh Otoritas Jasa Keuangan.

BAB Ketiga

Tata Cara Permohonan Izin dan Batas Waktu Pelaksanaan Setelah Memperoleh Izin

Pasal 40

Koreksi

Pasal 41

Pasal 42

BAB VIII

PENGELOLAAN DATA DAN PELINDUNGAN DATA PRIBADI DALAM PENYELENGGARAAN TI BANK

Pasal 43

Koreksi

(1) Bank wajib mengelola data secara efektif dalam pemrosesan data Bank untuk mendukung pencapaian tujuan bisnis Bank. (2) Pengelolaan data secara efektif sebagaimana dimaksud pada ayat (1) memperhatikan paling sedikit: a. kepemilikan dan kepengurusan data; b. kualitas data; c. sistem pengelolaan data; dan d. sumber daya pendukung pengelolaan data. (3) Ketentuan lebih lanjut mengenai pengelolaan data oleh Bank ditetapkan oleh Otoritas Jasa Keuangan.

Pasal 44

Koreksi

(1) Bank wajib melaksanakan prinsip pelindungan data pribadi dalam melakukan pemrosesan data pribadi. (2) Dalam hal terdapat kondisi tertentu yang berpotensi meningkatkan risiko bagi pemilik data pribadi, Bank wajib melakukan penilaian dampak atas penerapan prinsip pelindungan data pribadi sebagaimana dimaksud pada ayat (1).

Pasal 45

(1) Dalam menerapkan pelindungan data pribadi pada kegiatan pertukaran data, Bank wajib MENETAPKAN paling sedikit: a. klasifikasi data yang merupakan data pribadi; b. hak dan kewajiban para pihak yang terlibat dalam pertukaran data pribadi; c. perjanjian pertukaran data pribadi; d. sarana pertukaran data pribadi; dan e. keamanan data pribadi. (2) Pertukaran data pribadi sebagaimana dimaksud pada ayat (1) dilakukan dengan memperhatikan persetujuan nasabah dan/atau calon nasabah yang dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan.

Pasal 46

(1) Bank yang melanggar ketentuan sebagaimana dimaksud dalam Pasal 43 ayat (1), Pasal 44, dan/atau Pasal 45 ayat (1), dikenai sanksi administratif berupa teguran tertulis. (2) Dalam hal Bank telah dikenai sanksi administratif sebagaimana dimaksud pada ayat (1) dan belum memenuhi ketentuan sebagaimana dimaksud dalam Pasal 43 ayat (1), Pasal 44, dan/atau Pasal 45 ayat (1), Bank dikenai sanksi administratif berupa: a. larangan untuk menerbitkan produk Bank baru; b. pembekuan kegiatan usaha tertentu; dan/atau c. penurunan penilaian faktor tata kelola dalam penilaian tingkat kesehatan Bank.

Pasal 47

Ketentuan lebih lanjut mengenai pelindungan data pribadi oleh Bank ditetapkan oleh Otoritas Jasa Keuangan.

BAB IX

PENYEDIAAN JASA TI OLEH BANK

Pasal 48

Koreksi

(1) Bank hanya dapat menyediakan jasa TI kepada lembaga jasa keuangan lain: a. yang diawasi oleh Otoritas Jasa Keuangan; dan/atau b. di luar wilayah INDONESIA yang diawasi otoritas pengawas dan pengatur lembaga jasa keuangan setempat. (2) Bank yang akan menyediakan jasa TI sebagaimana dimaksud pada ayat (1), wajib: a. memenuhi persyaratan penyediaan jasa TI tidak menjadi salah satu kegiatan pokok Bank; b. memenuhi prinsip kehati-hatian; c. memperhatikan analisis biaya dan manfaat; d. memenuhi prinsip hubungan kerja sama secara wajar; dan e. memenuhi ketentuan peraturan perundang- undangan. (3) Bank wajib memperoleh izin Otoritas Jasa Keuangan untuk setiap rencana penyediaan jasa TI sebagaimana dimaksud pada ayat (1). (4) Penyediaan jasa TI berupa aplikasi kepada lembaga jasa keuangan selain bank dapat dilakukan sepanjang: a. lembaga jasa keuangan pengguna jasa TI berada dalam satu grup atau kelompok dengan Bank; dan b. penggunaan aplikasi ditujukan untuk mendukung kegiatan operasional yang umum.

Pasal 49

(1) Permohonan izin sebagaimana dimaksud dalam Pasal 48 ayat (3) disampaikan kepada Otoritas Jasa Keuangan secara daring melalui sistem perizinan dan registrasi terintegrasi Otoritas Jasa Keuangan. (2) Dalam hal sarana penyampaian sebagaimana dimaksud pada ayat (1) belum tersedia, penyampaian dilakukan melalui sistem pelaporan Otoritas Jasa Keuangan untuk laporan tidak terstruktur kepada: a. Departemen Pengawasan Bank terkait atau Kantor Regional Otoritas Jasa Keuangan di Jakarta, bagi Bank yang berkantor pusat di wilayah Provinsi Daerah Khusus Ibukota Jakarta atau Provinsi Banten; atau b. Kantor Regional Otoritas Jasa Keuangan atau Kantor Otoritas Jasa Keuangan setempat, bagi Bank yang berkantor pusat di luar wilayah Provinsi Daerah Khusus Ibukota Jakarta atau Provinsi Banten.

Pasal 50

(1) Bank harus melaksanakan rencana penyediaan jasa TI sebagaimana dimaksud dalam Pasal 48 ayat (3) paling lama 6 (enam) bulan sejak memperoleh izin dari Otoritas Jasa Keuangan. (2) Apabila Bank tidak melaksanakan rencana penyediaan jasa TI sebagaimana dimaksud dalam Pasal 48 ayat (3) dalam jangka waktu 6 (enam) bulan sejak izin diperoleh dari Otoritas Jasa Keuangan, izin Otoritas Jasa Keuangan menjadi tidak berlaku.

Pasal 51

(1) Bank yang melanggar ketentuan sebagaimana dimaksud dalam Pasal 48 ayat (2) dan/atau ayat (3) dikenai sanksi administratif berupa teguran tertulis. (2) Dalam hal Bank telah dikenai sanksi administratif sebagaimana dimaksud pada ayat (1) dan belum memenuhi ketentuan sebagaimana dimaksud dalam Pasal 48 ayat (2) dan/atau ayat (3), Bank dikenai sanksi administratif berupa: a. larangan untuk menerbitkan produk Bank baru; b. pembekuan kegiatan usaha tertentu; dan/atau c. penurunan penilaian faktor tata kelola dalam penilaian tingkat kesehatan Bank.

Pasal 52

Ketentuan lebih lanjut mengenai penyediaan jasa TI oleh Bank ditetapkan oleh Otoritas Jasa Keuangan.

BAB X

PENGENDALIAN DAN AUDIT INTERN DALAM PENYELENGGARAAN TI BANK

Pasal 53

Koreksi

(1) Bank wajib melaksanakan sistem pengendalian intern secara efektif dalam penyelenggaraan TI. (2) Sistem pengendalian intern secara efektif sebagaimana dimaksud pada ayat (1) paling sedikit mencakup: a. pengawasan oleh manajemen dan penerapan budaya pengendalian; b. identifikasi dan penilaian risiko; c. kegiatan pengendalian dan pemisahan fungsi; d. dukungan sistem informasi, sistem akuntansi, dan sistem komunikasi; dan e. kegiatan pemantauan dan tindakan koreksi penyimpangan, yang dilakukan oleh satuan kerja operasional, satuan kerja audit intern, maupun pihak lain. (3) Sistem informasi, sistem akuntansi, dan sistem komunikasi sebagaimana dimaksud pada ayat (2) huruf d harus didukung oleh teknologi, sumber daya manusia, dan struktur organisasi Bank yang memadai. (4) Kegiatan pemantauan dan tindakan koreksi penyimpangan sebagaimana dimaksud pada ayat (2) huruf e paling sedikit: a. kegiatan pemantauan secara terus menerus; b. pelaksanaan fungsi audit intern yang efektif dan menyeluruh; dan c. perbaikan terhadap penyimpangan yang diidentifikasi.

Pasal 54

(1) Bank melaksanakan fungsi audit intern TI yang efektif dan menyeluruh sebagaimana dimaksud dalam Pasal 53 ayat (4) huruf b sesuai dengan Peraturan Otoritas Jasa Keuangan mengenai penerapan fungsi audit intern bagi bank umum. (2) Untuk memastikan pelaksanaan audit intern TI yang efektif dan menyeluruh sebagaimana dimaksud dalam Pasal 53 ayat (4) huruf b, Bank wajib memastikan ketersediaan jejak audit atas seluruh kegiatan penyelenggaraan TI untuk keperluan pengawasan, penegakan hukum, penyelesaian sengketa, verifikasi, pengujian, dan pemeriksaan lain. (3) Dalam hal Bank menggunakan jasa pihak ekstern dalam pelaksanaan audit intern TI, penggunaan jasa pihak ekstern dilakukan sesuai dengan Peraturan Otoritas Jasa Keuangan mengenai penerapan fungsi audit intern bagi bank umum. (4) Bank wajib melaksanakan audit intern terhadap penyelenggaraan TI sesuai kebutuhan, prioritas, dan hasil analisis risiko atas penyelenggaraan TI, paling sedikit 1 (satu) kali dalam 1 (satu) tahun.

Pasal 55

(1) Bank wajib memiliki pedoman audit intern atas penyelenggaraan TI. (2) Bank wajib melakukan kaji ulang terhadap fungsi audit intern atas penyelenggaraan TI paling sedikit 1 (satu) kali dalam 3 (tiga) tahun dengan menggunakan jasa pihak ekstern yang independen. (3) Bank wajib menyampaikan kepada Otoritas Jasa Keuangan: a. hasil kaji ulang sebagaimana dimaksud pada ayat (2) sebagai bagian dari laporan hasil kaji ulang pihak ekstern yang independen; dan b. hasil audit intern TI sebagai bagian dari laporan pelaksanaan dan pokok-pokok hasil audit intern, sesuai dengan Peraturan Otoritas Jasa Keuangan mengenai penerapan fungsi audit intern bagi bank umum.

Pasal 56

(1) Bank yang melanggar ketentuan sebagaimana dimaksud dalam Pasal 53 ayat (1), Pasal 54 ayat (2), ayat (4), dan/atau Pasal 55, dikenai sanksi administratif berupa teguran tertulis. (2) Dalam hal Bank telah dikenai sanksi administratif sebagaimana dimaksud pada ayat (1) dan belum memenuhi ketentuan sebagaimana dimaksud dalam Pasal 53 ayat (1), Pasal 54 ayat (2), ayat (4), dan/atau Pasal 55, Bank dikenai sanksi administratif berupa: a. larangan untuk menerbitkan produk Bank baru; b. pembekuan kegiatan usaha tertentu; dan/atau c. penurunan penilaian faktor tata kelola dalam penilaian tingkat kesehatan Bank.

Pasal 57

Ketentuan lebih lanjut mengenai pengendalian dan audit intern dalam penyelenggaraan TI Bank ditetapkan oleh Otoritas Jasa Keuangan.

BAB Kedua

Audit Intern dalam Penyelenggaraan TI

Pasal 54

Koreksi

Pasal 55

Pasal 56

Pasal 57

Ketentuan lebih lanjut mengenai pengendalian dan audit intern dalam penyelenggaraan TI Bank ditetapkan oleh Otoritas Jasa Keuangan.

BAB XI

PELAPORAN

Pasal 58

Koreksi

(1) Bank wajib melaporkan rencana pengembangan TI yang akan diimplementasikan 1 (satu) tahun ke depan paling lambat pada akhir bulan November sebelum tahun rencana pengembangan TI. (2) Bank dapat melakukan perubahan rencana pengembangan TI yang telah disampaikan sebagaimana dimaksud pada ayat (1) paling banyak 1 (satu) kali, paling lambat pada akhir bulan Juni tahun berjalan. (3) Bank dapat mengajukan perubahan rencana pengembangan TI selain dalam jangka waktu sebagaimana dimaksud pada ayat (2) sepanjang memenuhi pertimbangan tertentu dan mendapatkan persetujuan dari Otoritas Jasa Keuangan. (4) Otoritas Jasa Keuangan dapat meminta Bank untuk melakukan penyesuaian terhadap perubahan rencana pengembangan TI sebagaimana dimaksud pada ayat (2).

Pasal 59

Bank wajib melaporkan kondisi terkini penyelenggaraan TI paling lama 15 (lima belas) hari kerja setelah akhir tahun pelaporan.

Pasal 60

(1) Dalam hal terjadi insiden TI yang berpotensi dan/atau telah mengakibatkan kerugian yang signifikan dan/atau mengganggu kelancaran operasional Bank, Bank wajib menyampaikan: a. notifikasi awal paling lama 24 (dua puluh empat) jam setelah insiden TI diketahui; dan b. laporan insiden TI paling lama 5 (lima) hari kerja setelah insiden TI diketahui. (2) Notifikasi awal sebagaimana dimaksud pada ayat (1) huruf a disampaikan melalui sarana elektronik secara tertulis kepada Otoritas Jasa Keuangan berdasarkan informasi awal yang tersedia. (3) Laporan insiden TI sebagaimana dimaksud pada ayat (1) huruf b merupakan bagian dari laporan kondisi yang berpotensi menimbulkan kerugian yang signifikan terhadap kondisi keuangan Bank sesuai dengan: a. Peraturan Otoritas Jasa Keuangan mengenai penerapan manajemen risiko bagi bank umum; atau b. Peraturan Otoritas Jasa Keuangan mengenai penerapan manajemen risiko bagi bank umum syariah dan unit usaha syariah. (4) Dalam hal terdapat pengaturan otoritas lain mengenai penyampaian notifikasi awal dan/atau laporan insiden TI dalam jangka waktu yang lebih cepat daripada jangka waktu sebagaimana dimaksud pada ayat (1), Bank wajib menyampaikan notifikasi awal dan/atau laporan insiden TI kepada Otoritas Jasa Keuangan pada saat yang bersamaan sesuai dengan ketentuan peraturan perundang-undangan otoritas lain dimaksud. (5) Bank yang telah menyampaikan notifikasi awal dan/atau laporan insiden TI sebagaimana dimaksud pada ayat (4) dianggap telah memenuhi ketentuan sebagaimana dimaksud pada ayat (1) huruf a dan/atau huruf b.

Pasal 61

(1) Bank wajib menyampaikan laporan realisasi: a. penempatan Sistem Elektronik pada Pusat Data dan/atau Pusat Pemulihan Bencana di luar wilayah INDONESIA; b. pemrosesan transaksi berbasis TI di luar wilayah INDONESIA; dan/atau c. kegiatan sebagai penyedia jasa TI. (2) Laporan realisasi sebagaimana dimaksud pada ayat (1) disampaikan paling lama 3 (tiga) bulan setelah implementasi.

Pasal 62

(1) Bank menyampaikan laporan: a. hasil pengujian keamanan siber berdasarkan skenario sebagaimana dimaksud dalam Pasal 25 ayat (3); b. rencana pengembangan TI sebagaimana dimaksud dalam Pasal 58 ayat (1); c. kondisi terkini penyelenggaraan TI sebagaimana dimaksud dalam Pasal 59; d. insiden TI sebagaimana dimaksud dalam Pasal 60 ayat (1) huruf b atau ayat (4); dan/atau e. realisasi sebagaimana dimaksud dalam Pasal 61, secara daring melalui sistem pelaporan Otoritas Jasa Keuangan. (2) Bank yang melakukan pelanggaran terkait penyampaian laporan sebagaimana dimaksud pada ayat (1) dikenai sanksi administratif. (3) Tata cara penyampaian laporan secara daring sebagaimana dimaksud pada ayat (1) dan pengenaan sanksi administratif sebagaimana dimaksud pada ayat (2) dilaksanakan sesuai dengan Peraturan Otoritas Jasa Keuangan mengenai pelaporan bank melalui sistem pelaporan Otoritas Jasa Keuangan.

Pasal 63

(1) Bank yang terlambat menyampaikan notifikasi awal insiden TI sebagaimana dimaksud dalam Pasal 60 ayat (1) huruf a atau ayat (4) dikenai sanksi administratif berupa teguran tertulis. (2) Dalam hal Bank telah dikenai sanksi administratif sebagaimana dimaksud pada ayat (1) dan belum memenuhi ketentuan sebagaimana dimaksud dalam Pasal 60 ayat (1) huruf a atau ayat (4), Bank dikenai sanksi administratif berupa: a. larangan untuk menerbitkan produk Bank baru; b. pembekuan kegiatan usaha tertentu; dan/atau c. penurunan penilaian faktor tata kelola dalam penilaian tingkat kesehatan Bank.

Pasal 64

Bank yang menyampaikan laporan secara tidak lengkap dikenai sanksi administratif atas kesalahan informasi sesuai dengan Peraturan Otoritas Jasa Keuangan mengenai pelaporan bank melalui sistem pelaporan Otoritas Jasa Keuangan.

Pasal 65

Ketentuan lebih lanjut mengenai format pelaporan dan tata cara penyampaian laporan ditetapkan oleh Otoritas Jasa Keuangan.

BAB XIV

KETENTUAN PENUTUP

Pasal 70

Koreksi

Bank melaksanakan ketentuan terkait: a. penilaian sendiri atas tingkat maturitas keamanan siber sebagaimana dimaksud dalam Pasal 22; b. pengujian keamanan siber berdasarkan analisis kerentanan sebagaimana dimaksud dalam Pasal 24; c. pengujian keamanan siber berdasarkan skenario sebagaimana dimaksud dalam Pasal 25; dan d. penilaian sendiri atas tingkat maturitas digital Bank sebagaimana dimaksud dalam Pasal 66, untuk pertama kali setelah ditetapkan oleh Otoritas Jasa Keuangan.

Pasal 71

Koreksi

Pada saat Peraturan Otoritas Jasa Keuangan ini mulai berlaku, ketentuan pelaksanaan dari Peraturan Otoritas Jasa Keuangan Nomor 38/POJK.03/2016 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (Lembaran Negara Republik INDONESIA Tahun 2016 Nomor 267, Tambahan Lembaran Negara Republik INDONESIA Nomor 5963) sebagaimana telah diubah dengan Peraturan Otoritas Jasa Keuangan Nomor 13/POJK.03/2020 tentang Perubahan atas Peraturan Otoritas Jasa Keuangan Nomor 38/POJK.03/2016 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (Lembaran Negara Republik INDONESIA Tahun 2020 Nomor 88, Tambahan Lembaran Negara Republik INDONESIA Nomor 6486), dinyatakan masih tetap berlaku sepanjang tidak bertentangan dengan ketentuan dalam Peraturan Otoritas Jasa Keuangan ini.

Pasal 72

Pada saat Peraturan Otoritas Jasa Keuangan ini mulai berlaku, Peraturan Otoritas Jasa Keuangan Nomor 38/POJK.03/2016 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (Lembaran Negara Republik INDONESIA Tahun 2016 Nomor 267, Tambahan Lembaran Negara Nomor 5963) sebagaimana telah diubah dengan Peraturan Otoritas Jasa Keuangan Nomor 13/POJK.03/2020 tentang Perubahan atas Peraturan Otoritas Jasa Keuangan Nomor 38/POJK.03/2016 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (Lembaran Negara Republik INDONESIA Tahun 2020 Nomor 88, Tambahan Lembaran Negara Republik INDONESIA Nomor 6486), dicabut dan dinyatakan tidak berlaku.

Pasal 73

Peraturan Otoritas Jasa Keuangan ini mulai berlaku setelah 3 (tiga) bulan terhitung sejak tanggal diundangkan. Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Otoritas Jasa Keuangan ini dengan penempatannya dalam Lembaran Negara Republik INDONESIA. Ditetapkan di Jakarta pada tanggal 6 Juli 2022 KETUA DEWAN KOMISIONER OTORITAS JASA KEUANGAN REPUBLIK INDONESIA, ttd WIMBOH SANTOSO Diundangkan di Jakarta pada tanggal 7 Juli 2022 MENTERI HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA, ttd YASONNA H. LAOLY TAMBAHAN LEMBARAN NEGARA R.I No.5/OJK KEUANGAN OJK. TI. Bank Umum. Penyelenggaraan. Pencabutan. (Penjelasan atas Lembaran Negara Republik INDONESIA Tahun 2022 Nomor 5/OJK)

(1) Dalam hal terdapat kondisi berupa: a. hasil penilaian ulang materialitas sebagaimana dimaksud dalam Pasal 31 menunjukkan bahwa kinerja pihak penyedia jasa TI berpotensi tidak berjalan dengan efektif; b. memburuknya kinerja penyelenggaraan TI oleh pihak penyedia jasa TI yang berpotensi menimbulkan dan/atau mengakibatkan dampak yang signifikan pada kegiatan usaha dan/atau operasional Bank; c. pihak penyedia jasa TI menjadi insolven, dalam proses menuju likuidasi, atau dipailitkan oleh pengadilan; d. terdapat pelanggaran oleh pihak penyedia jasa TI terhadap ketentuan peraturan perundang- undangan mengenai rahasia Bank dan/atau data pribadi nasabah; e. terdapat kondisi yang menyebabkan Bank tidak dapat menyediakan data yang diperlukan untuk pengawasan oleh Otoritas Jasa Keuangan; dan/atau f. terdapat kondisi lain yang menyebabkan terganggunya atau terhentinya penyediaan jasa TI dari pihak penyedia jasa TI kepada Bank, Bank wajib melakukan tindakan tertentu. (2) Tindakan tertentu sebagaimana dimaksud pada ayat (1), paling sedikit: a. melaporkan kepada Otoritas Jasa Keuangan paling lama 3 (tiga) hari kerja setelah kondisi sebagaimana dimaksud pada ayat (1) diketahui oleh Bank; b. MEMUTUSKAN tindak lanjut yang akan diambil untuk mengatasi permasalahan termasuk penghentian penggunaan pihak penyedia jasa TI dalam hal diperlukan; dan c. melaporkan kepada Otoritas Jasa Keuangan paling lama 3 (tiga) hari kerja setelah Bank menghentikan penggunaan pihak penyedia jasa TI sebelum berakhirnya jangka waktu perjanjian, dalam hal Bank MEMUTUSKAN untuk menghentikan penggunaan pihak penyedia jasa TI. (3) Dalam hal penggunaan pihak penyedia jasa TI atau rencana penggunaan pihak penyedia jasa TI menyebabkan atau diindikasikan akan menyebabkan kesulitan pengawasan yang dilakukan oleh Otoritas Jasa Keuangan, Otoritas Jasa Keuangan dapat: a. memerintahkan Bank untuk menghentikan penggunaan pihak penyedia jasa TI sebelum berakhirnya jangka waktu perjanjian; atau b. melarang rencana penggunaan pihak penyedia jasa TI oleh Bank. (4) Dalam hal Bank akan menghentikan penggunaan pihak penyedia jasa TI, Bank wajib: a. menyusun rencana penghentian penggunaan pihak penyedia jasa TI; b. melakukan penilaian atas kelangsungan layanan dan data terkait dengan kegiatan yang diserahkan kepada pihak penyedia jasa TI serta pengujian atau simulasi terhadap kelangsungan kegiatan usaha dan/atau operasional Bank; dan c. memastikan penghentian penggunaan pihak penyedia jasa TI tidak menimbulkan gangguan pada kegiatan usaha dan/atau operasional Bank.

(1) Bank dapat mengajukan permohonan izin sebagaimana dimaksud dalam Pasal 35 ayat (2) sepanjang Bank: a. memenuhi ketentuan sebagaimana dimaksud dalam Pasal 29 dan Pasal 30; b. menyampaikan hasil analisis risiko negara; c. memastikan penempatan Sistem Elektronik pada Pusat Data dan/atau Pusat Pemulihan Bencana di luar wilayah INDONESIA tidak mengurangi efektivitas pengawasan Otoritas Jasa Keuangan yang dibuktikan dengan surat pernyataan; d. memastikan bahwa informasi mengenai rahasia Bank hanya diungkapkan sepanjang memenuhi ketentuan peraturan perundang-undangan di INDONESIA yang dibuktikan dengan perjanjian kerja sama antara Bank dan pihak penyedia jasa TI; e. memastikan bahwa perjanjian tertulis dengan pihak penyedia jasa TI memuat klausula pilihan hukum; f. menyampaikan surat pernyataan tidak keberatan dari otoritas pengawas pihak penyedia jasa TI di luar wilayah INDONESIA bahwa Otoritas Jasa Keuangan dapat melakukan pemeriksaan terhadap pihak penyedia jasa TI; g. menyampaikan surat pernyataan bahwa Bank menyampaikan secara berkala hasil penilaian yang dilakukan kantor bank di luar wilayah INDONESIA atas penerapan manajemen risiko pada pihak penyedia jasa TI; h. memastikan manfaat dari rencana penempatan Sistem Elektronik pada Pusat Data dan/atau Pusat Pemulihan Bencana di luar wilayah INDONESIA bagi Bank lebih besar daripada beban yang ditanggung oleh Bank; i. menyampaikan rencana Bank untuk meningkatkan kemampuan sumber daya manusia Bank baik yang berkaitan dengan penyelenggaraan TI maupun transaksi bisnis atau produk yang ditawarkan; dan j. menyampaikan rencana tindak penempatan Sistem Elektronik pada Pusat Data dan/atau Pusat Pemulihan Bencana di wilayah INDONESIA bagi Bank yang akan menempatkan Sistem Elektronik pada Pusat Data dan/atau Pusat Pemulihan Bencana di luar wilayah INDONESIA sebagaimana dimaksud dalam Pasal 35 ayat (4). (2) Otoritas Jasa Keuangan memberikan izin atau menolak permohonan izin penempatan Sistem Elektronik pada Pusat Data dan/atau Pusat Pemulihan Bencana di luar wilayah INDONESIA sebagaimana dimaksud dalam Pasal 35 ayat (2) paling lama 3 (tiga) bulan setelah seluruh persyaratan dipenuhi oleh Bank dan dokumen permohonan diterima secara lengkap oleh Otoritas Jasa Keuangan. (3) Bank wajib memastikan bahwa data yang digunakan dalam Sistem Elektronik yang ditempatkan pada Pusat Data dan/atau Pusat Pemulihan Bencana di luar wilayah INDONESIA tidak digunakan untuk tujuan selain sebagaimana dimaksud dalam Pasal 35 ayat (3) atau Pasal 35 ayat (4). (4) Dalam hal berdasarkan penilaian Otoritas Jasa Keuangan penempatan Sistem Elektronik pada Pusat Data dan/atau Pusat Pemulihan Bencana di luar wilayah INDONESIA: a. tidak sesuai dengan permohonan izin penempatan Sistem Elektronik pada Pusat Data dan/atau Pusat Pemulihan Bencana di luar wilayah INDONESIA yang disampaikan kepada Otoritas Jasa Keuangan; b. berpotensi mengurangi efektivitas pengawasan Otoritas Jasa Keuangan; c. berpotensi berdampak negatif terhadap kinerja Bank; dan/atau d. tidak sesuai dengan ketentuan peraturan perundang-undangan, Otoritas Jasa Keuangan dapat meminta Bank untuk menempatkan Sistem Elektronik pada Pusat Data dan/atau Pusat Pemulihan Bencana di wilayah INDONESIA.