7 Aspek Utama Proses Pengamanan Data di Platform Fintech
Proses pengamanan data merupakan bagian dari praktik Sistem Manajemen Keamanan Informasi (ISMS — Information Security Management System) yang perlu diaplikasikan oleh para pengembang layanan digital. Terlebih untuk layanan teknologi finansial (fintech), regulasi yang ada mensyaratkan adanya strategi preventif dan represif untuk mitigasi hal-hal terkait dengan privasi dan keamanan data pengguna.
Saat ini, ISO 27001:2013 menjadi standar global yang banyak menjadi rujukan perusahaan dalam memastikan standar keamanan sistem di suatu layanan. Terkait proses pengamanan data, dalam standardisasi tersebut ada beberapa aspek fundamental yang dijadikan sebagai tolok ukur pengujian dan kontrol terkait keamanan serta privasi data dalam dalam sebuah sistem informasi — termasuk di dalamnya bagi layanan fintech.
Berikut ini 7 aspek utama yang wajib diperhatikan eksekutif dan pengembang sebuah platform fintech agar memenuhi kriteria praktik terbaik ISMS:
- Aspek Tata Kelola Organisasi
Ini terkait bagaimana sebuah perusahaan fintech melakukan identifikasi terhadap kebutuhan setiap stakeholder yang terlibat di dalam model bisnisnya, baik di internal maupun eksternal. Salah satu tujuannya, untuk mengidentifikasi isu potensial dan langkah mitigasi yang bisa dilakukan untuk menghindari dampak (negatif) signifikan terhadap kelangsungan bisnis.
Sebagai industri yang memiliki ikatan kuat dengan regulasi, aspek ini juga turut memastikan bahwa proses-proses di dalam layanan/produk sudah sesuai dengan aturan dari otoritas setempat. Dengan kata lain, proses perizinan atau lisensi juga penting untuk dipenuhi sebagai prasyarat sebelum platform tersebut dijajakan langsung kepada konsumen.
- Aspek Kepemimpinan
Jajaran manajemen di perusahaan harus memiliki dukungan dalam menjalankan ISMS. Termasuk di dalamnya dengan memastikan komitmen mereka dalam menyediakan sumber daya untuk merealisasikan keamanan data. Secara ‘high level’, C-level juga dituntut untuk mampu mengkomunikasikan misinya dalam menghadirkan produk yang aman dan berkualitas — sehingga bisa memberikan arahan yang jelas untuk timnya.
- Aspek Perencanaan
ISMS pada umumnya menggunakan pendekatan berbasis risiko. Implementasi sistem informasi berbasis risiko akan bertumpu terhadap tiga unsur, yaitu orang dan proses yang terlibat, serta teknologi yang digunakan sebagai bagian dari teknikal kontrol untuk mendukung kebutuhan bisnis. Perencanaan yang dibuat harus selalu dikaji secara mendetail, termasuk melalui serangkaian identifikasi dan analisis komprehensif, mengenai bagaimana sistem informasi memperhatikan tiga unsur tersebut.
- Aspek Dukungan
Bagian ini berupa penjelasan dukungan dalam menjalankan program pengamanan data dan sistem informasi. Termasuk di dalamnya penyiapan dokumen-dokumen sebagai evidence dan kontrol dari setiap proses pengamanan data dan informasi. Penggunaan dokumen yang baik dan benar akan sangat memudahkan dalam pelaksanaan (eksekusi teknis).
- Aspek Bisnis dan Operasional
Aspek operasional juga menjadi ruang lingkup yang perlu diuji dan diperhatikan dalam pengelolaan keamanan data dan sistem informasi. Jika dikaitkan dengan sertifikasi, ini berkaitan langsung dengan kriteria: Apakah dalam pelaksanaannya ada proses yang tidak sesuai, tidak memenuhi kriteria, atau ada proses yang harus diperbaiki sebagai bagian dari perbaikan terus-menerus?
Sebagai catatan, pengamanan sebuah sistem tidak hanya apa yang ada di dalam basis data server saja. Standar operasional prosedur yang mengatur subjek dan batasan-batasan di luar sistem komputer juga perlu diterapkan. Contohnya, perusahaan perlu memikirkan roles terkait akses ke sebuah sistem informasi.
- Aspek Performa Evaluasi
Proses ini dimaksudkan untuk membuat semua aspek yang ada dapat terukur dengan jelas. Proses pengukuran ini harus dilakukan sesuai dengan target dalam fase perencanaan dan pengawasan terhadap implementasi kontrol yang direkomendasikan dari analisis risiko.
- Aspek Peningkatan
Dari hasil pengukuran pada aspek sebelumnya, kemudian akan dikaji berdasarkan berdasarkan apakah selama proses implementasi terdapat gap atau non-conformities (temuan) yang harus diperbaiki. Hal tersebut sebagai bahan untuk peningkatan sistem secara terus-menerus. Risiko keamanan data sendiri perlu terus berkembang seiring dengan pesatnya kemajuan teknologi digital.
Aturan pengamanan data di Fintech
Beleid mengenai perlindungan data pribadi di fintech sebenarnya juga mengacu pada undang-undang yang selama ini dijalankan terkait perlindungan data pribadi, misalnya:
- Undang-Undang Nomor 11 Tahun 2008
- Undang-Undang Nomor 19 Tahun 2016
- Peraturan Pemerintah Nomor 71 Tahun 2019
Sementara itu aturan yang spesifik terkait Pengamanan Data Pribadi (UU PDP) saat ini masih terus dikebut penyelesaiannya oleh pemerintah dan legislatif di Indonesia.
Di lain sisi, menurut laporan Annual Members Survey 2021 yang dirilis Asosiasi Fintech Indonesia (AFTECH), aspek keamanan ini juga menjadi perhatian penting para founder fintech di Indonesia karena ada tuntutan dari konsumen. Data survei menyatakan bahwa privasi dan keamanan data (89%); keandalan (66%); transparansi (59%) adalah tiga prinsip pokok yang dinilai menjadi prioritas utama pelanggan fintech di Indonesia.
Dengan adanya aturan yang ketat dan urgensi proses pengamanan data, sudah selayaknya inovator di bidang fintech memikirkan dengan jeli arsitektur dan desain aplikasinya. Hal itu termasuk saat memilih mitra penyedia infrastruktur, pastikan mereka memiliki compliance tinggi terhadap komitmen pengamanan data.
Finantier adalah penyedia layanan Open Finance, menghadirkan berbagai pilihan infrastruktur untuk industri finansial yang sedang bertransformasi ke arah digital dan juga platform fintech dengan berbagai use case. Terkait proses pengamanan data, saat ini Finantier sudah mengantongi sertifikasi ISO 27001:2013, memastikan berbagai aspek di atas sudah teruji dengan baik. Proses pengamanan data dan informasi dibungkus dengan sedemikian rupa, dengan tetap mengedepankan pada user experience (UX) yang sederhana di sisi pengguna.
Standar keamanan ini dipandang sangat penting bagi Finantier, mengingat dalam prosesnya infrastruktur yang dihadirkan terhubung dengan berbagai sumber eksternal — misalnya untuk layanan Verification dengan basis data di Ditjen Dukcapil.
Harapannya dengan adanya opsi mitra penyedia platform yang telah mematuhi aspek-aspek keamanan data, akan memberikan peluang dan keleluasaan lebih bagi para pelaku fintech untuk fokus mengeksplorasi potensi bisnis yang ada. Tugas pemain seperti Finantier ialah membantu di sisi pengemabangan, dengan menyederhanakan beberapa proses-proses pendukung di dalamnya.
