Standar Keamanan dan Sistem Enkripsi dalam Open Finance
16 March 2022
Author by Nida Amalia

Standar Keamanan dan Sistem Enkripsi dalam Open Finance

Standar Keamanan dan Sistem Enkripsi dalam Open Finance

Open Finance diyakini akan menjadi inovasi yang berdampak luas di industri keuangan dan perbankan di dunia. Seperti diketahui, model bisnis Open Finance mengelola data-data keuangan individu untuk dimanfaatkan ke dalam berbagai use case bisnis. Adanya arus pertukaran data menjadikan aspek keamanan dan privasi menjadi krusial. Sehingga penting bagi setiap penyedia layanan untuk memperhatikan hal-hal terkait sistem enkripsi, perlindungan data, dan langkah-langkah preventif lainnya.

Sebagai pengembang layanan Open Finance, Finantier memiliki komitmen dan keseriusan dalam hal keamanan dan privasi data. Terdapat divisi khusus yang bertugas untuk mengimplementasikan strategi dan arsitektur keamanan sistem informasi yang ada dalam setiap proses bisnisnya.

Dalam artikel ini Head of Information Security Finantier Ricky Setiadi memberikan gambaran tentang bagaimana standar keamanan yang diterapkan Finantier dalam menghasilkan sebuah produk finansial yang aman dengan tetap mengedepankan pengalaman pengguna yang mulus. Ricky sendiri berpengalaman lebih dari 6 tahun sebagai information security engineer. Sebelumnya ia memimpin divisi keamanan di sejumlah perusahaan teknologi. Sejumlah sertifikasi di bidang keamanan telah diraih, seperti ISO 27001 Lead Auditor dan Certified Chief Information Security Officer.

Sistem Enkripsi dan Keamanan Open Finance

Menurut Ricky, ketika berbicara tentang sistem keamanan di Open Finance akan mencakup dua sorotan utama, yakni dalam model bisnis dan pengelolaan data. Keduanya memiliki tingkat resiko yang dikategorikan “tinggi”, sehingga banyak standar yang mengatur tata kelolanya, baik di tingkat nasional maupun internasional. Salah satu tujuan utamanya perlindungan data dan informasi konsumen. Tidak dipungkiri, sektor keuangan sudah menjadi target dari berbagai kejahatan siber sejak beberapa dekade yang lalu ketika layanan finansial mulai masuk ke ranah online.

NIST (National Institute of Standards and Technology) sebagai salah satu standar keamanan yang banyak diadopsi berbagai macam industri, mengeluarkan “Special Publication” yang mengatur pengamanan data pribadi, tertuang dalam SP 800–122. Dalam Special Publication tersebut disebutkan bahwa data pribadi merupakan sebuah data yang dapat memberikan informasi yang bisa mengidentifikasi, membedakan atau melakukan pelacakan terhadap satu individu dengan individu lain seperti identitas, nama, atau data pribadi lainnya. Selain itu, dalam publikasi ini pun menyatakan bahwa data yang bisa dihubungkan dengan seseorang akan menjadi data pribadi seperti data rekam medis, catatan keuangan, dll.

kategori Penyelenggara Sistem Elektronik yang dinaungi oleh Otoritas Jasa Keuangan. Salah satu persyaratan yang harus dilakukan yakni harus mampu menjalankan Sistem Manajemen Keamanan Informasi (SMKI) atau sering juga dikenal dengan Information Security Management System (ISMS).

Dalam pelaksanaannya sebuah platform Open Finance harus mampu mengendalikan sejumah risiko yang mungkin muncul. Pengendalian risiko bisa dilakukan dengan beberapa pendekatan, baik yang bersifat acceptance, mitigated, ataupun dengan pendekatan transfer.

Ricky juga menjelaskan, dalam pengendalian risiko harus dikaji secara komprehensif baik oleh tim internal maupun pihak ketiga yang independen. Untuk setiap risiko yang tidak bisa diterima, baik yang mitigated maupun transferred, maka akan dibutuhkan sejumlah kontrol keamanan. Kontrol keamanan yang diimplementasikan tidak bisa menjadikan risiko hilang, namun risiko tersebut jadi bisa dikendalikan secara lebih baik.

“Untuk mengurangi risiko, kontrol harus diterapkan secara komprehensif yang meliputi teknikal, fisikal, maupun administratif. Selain itu kontrol sudah tidak hanya diimplementasikan pada area produksi, namun harus diimplementasikan sedini mungkin pada saat perancangan, pengembangan, pengujian, serta hingga fase perawatan termasuk didalamnya perawatan terhadap layanan yang sudah tidak digunakan,” imbuh Ricky.

Risiko yang Dapat Terjadi Tanpa Sistem yang Kuat

Tanpa adanya sistem pengendalian risiko yang baik, ada sejumlah konsekuensi yang bisa ditimbulkan dari penerapan Open Finance, tentunya dapat merugikan bagi bisnis maupun para nasabahnya. Dari pengamatan Ricky, setidaknya ada tiga kategori risiko utama, sebagai berikut:

1. Kehilangan data

Kehilangan atau terbukanya data pelanggan merupakan salah satu risiko terbesar yang bisa terjadi pada saat sebuah penyedia Open Finance yang tidak menggunakan kaidah keamanan yang tepat. Hal ini dapat berakibat terhadap hilangnya reputasi baik, ditinjau dari kacamata pelanggan maupun mitra bisnis. Selain itu dengan hilangnya atau terbukanya data pelanggan kepada pihak yang tidak berhak akan memberikan dampak sanksi baik secara administratif maupun secara finansial.

2. Data yang tidak akurat

Data tidak akurat ini bisa diakibatkan dari kesalahan proses atau terjadinya perubahan data oleh pihak yang tidak berwenang. Hal ini akan berdampak terhadap terjadinya fraud serta kemungkinan error yang tinggi. Dicontohkan sebuah Open Finance mengeluarkan layanan credit scoring, jika data yang dikelola tidak mengedepankan aspek integrity maka perhitungan terhadap kemampuan seseorang akan menghasilkan score yang tidak sesuai dengan kenyataannya. Kalkulasi scoring yang tidak tepat bisa menambahkan vector fraud lebih besar.

3. Kehilangan akses platform

Kehilangan terhadap akses platform merupakan risiko lainnya ketika sebuah platform Open Finance tidak dikelola dengan baik sesuai dengan standar keamanan informasi. Kehilangan akses ini tidak terbatas kepada kehilangan akses yang diakibatkan kesalahan credential, namun juga kehilangan terhadap ketersediaan dari aset atau layanan yang dikelola oleh pengelola platform.

Standar Keamanan yang Diterapkan Finantier

Sebagai bagian bentuk keseriusannya dalam hal keamanan informasi, dalam kurun waktu satu tahun Finantier beroperasi sudah menyandang ISMS Certification yang tertuang dalam ISO 27001:2013. Dengan sertifikasi ini secara umum sudah diakui bahwa proses yang dijalankan oleh Finantier telah mengikuti kaidah dan standar keamanan.

Proses yang dimaksud tidak hanya sebatas kepada pelaksanaan kontrol teknikal semata, namun juga meliputi kontrol lain seperti:

  • Kebijakan keamanan informasi dan struktur organisasinya
  • Keamanan SDM
  • Manajemen aset dan inventori
  • Kontrol akses
  • Keamanan operasi dan komunikasi
  • Kriptografi
  • Keamanan fisik
  • Akuisisi pengembangan
  • Pemeliharaan sistem

Hal ini turut diperkuat melalui relasi yang dengan pihak ketiga, manajemen insiden, serta aspek kepatuhan.

“Open Finance merupakan sebuah model bisnis yang dinamis, untuk itu proses pengamanan harus bisa mengikuti perkembangan bisnis. Proses sertifikasi keamanan tentunya juga akan memberikan pengaruh besar terhadap perkembangan industri ini, sehingga sertifikasi keamanan lainnya akan digunakan untuk meningkatkan postur keamanan di Finantier,” terang Ricky.

Komitmen Finantier terhadap Keamanan Data dan Privasi

Finantier sebagai pelaku dalam industri Open Finance merasa memiliki pengaruh besar dalam proses pengamanan data, termasuk data-data yang bersifat pribadi. Hal ini tidak hanya dikarenakan bahwa sebagai sebuah pengelola platform memiliki tanggung jawab terhadap pelanggannya.

Finantier juga merasa bertanggung jawab terhadap ekosistem Open Finance yang menjadi bagian dari mata rantai industri keuangan. Bentuk tanggungjawab yang dimiliki terlihat dari berbagai macam aspek teknologi keamanan yang diimplementasikan, salah satunya adalah melalui pemanfaatan enkripsi sebagai salah satu cabang dari kriptografi.

Secara terperinci Ricky menjelaskan bahwa di Finantier enkripsi akan menjalankan kaidah “three state data protection” yang meliputi proteksi Data At Rest Encryption (DARE), Data In Transit Encryption (DITE), dan Data in Use Encryption (DIEU).

Komitmen Finantier untuk hadirkan Open Finance yang aman

1. Data At Rest Encryption

Data At Rest Encryption merupakan sebuah mekanisme proteksi yang digunakan untuk melindungi data-data yang secara pasif disimpan dalam sebuah media digital. Media digital bisa berupa file, database, disk, maupun cloud storage. Saat ini DARE masih mengadopsi kepada algoritma enkripsi yang biasa digunakan seperti AES atau RSA.

2. Data In Transit Encryption

Untuk menunjang kebutuhan bisnis terutama dalam berkolaborasi dengan pihak ketiga, data-data yang dikelola tidak hanya akan disimpan dalam sebuah media penyimpanan digital namun juga sangat berpotensi untuk ditransmisikan. Dalam proses transmisi data ada sejumlah potensi risiko yang mungkin terjadi, untuk itu penggunaan Data In Transit Encryption dilakukan untuk mengurangi risiko terjadinya serangan seperti man in the middle attack (MITM). Transport Layer Security merupakan salah satu metode yang kami gunakan sebagai bagian dari pengamanan data in transit.

3. Data in Use Encryption

Untuk menambahkan pengamanan terhadap data-data yang sedang digunakan, pemanfaatan teknologi enclave merupakan salah satu cara dari perlindungan Data in Use Encryption yang digunakan dalam lingkungan Finantier.

Sedangkan dari sisi jenis enkripsinya untuk mendukung kebutuhan bisnis Finantier menggunakan dua jenis enkripsi dalam melindungi data, informasi, dan layanan yang dimiliki yaitu symmetric dan asymmetric encryption. Penggunaan tokenization merupakan salah satu pendekatan yang di Finantier lakukan selain penggunaan enkripsi untuk melindungi data dan informasi.

Hubungi kami untuk layanan Open Finance

Mulai sekarang

Kontak dengan tim ahli kami!

Coba demo sekarang