1. Manajemen resiko dalam penyelenggaraan kegiatan internet banking
Peraturan yang dikeluarkan oleh Bank Indonesia terkait dengan pengelolaan atau manajemen risiko penyelenggaraan kegiatan internet banking adalah Peraturan Bank Indonesia No. 5/8/PBI/2003 tentang Penerapan Manajemen Risiko Bagi Bank Umum dan Surat Edaran Bank Indonesia No. 6/18/DPNP, tanggal 20 April 2004 tentang Penerapan Manajemen Risiko Pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking)
Pokok-pokok pengaturannya antara lain sbb:
a. Bank yang menyelenggarakan kegiatan internet banking wajib menerapkan manajemen risiko pada aktivitas internet banking secara efektif.
b. Penerapan manajemen risiko tersebut wajib dituangkan dalam suatu kebijakan, prosedur dan pedoman tertulis dengan mengacu pada Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking), yang ditetapkan dalam lampiran dalam Surat Edaran Bank Indonesia tersebut.
c. Pokok-pokok penerapan manajemen risiko bagi bank yang menyelenggarakan kegiatan internet banking adalah:
1) Adanya pengawasan aktif komisaris dan direksi bank, yang meliputi:
a) Komisaris dan direksi harus melakukan pengawasan yang efektif terhadap risiko yang terkait dengan aktivitas internet banking, termasuk penetapan akuntabilitas, kebijakan dan proses pengendalian untuk mengelola risiko tersebut.
b) Direksi harus menyetujui dan melakukan kaji ulang terhadap aspek utama dari prosedur pengendalian pengamanan bank.
2) Pengendalian pengamanan (security control)
a) Bank harus melakukan langkah-langkah yang memadai untuk menguji keaslian (otentikasi) identitas dan otorisasi terhadap nasabah yang melakukan transaksi melalui internet banking.
b) Bank harus menggunakan metode pengujian keaslian transaksi untuk menjamin bahwa transaksi tidak dapat diingkari oleh nasabah (non repudiation) dan menetapkan tanggung jawab dalam transaksi internet banking.
c) Bank harus memastikan adanya pemisahan tugas dalam sistem internet banking, database dan aplikasi lainnya.
d) Bank harus memastikan adanya pengendalian terhadap otorisasi dan hak akses (privileges) yang tepat terhadap sistem internet banking, database dan aplikasi lainnya.
e) Bank harus memastikan tersedianya prosedur yang memadai untuk melindungi integritas data, catatan/arsip dan informasi pada transaksi internet banking.
f) Bank harus memastikan tersedianya mekanisme penelusuran (audit trail) yang jelas untuk seluruh transaksi internet banking.
g) Bank harus mengambil langkah-langkah untuk melindungi kerahasiaan informasi penting pada internet banking. Langkah tersebut harus sesuai dengan sensitivitas informasi yang dikeluarkan dan/atau disimpan dalam database.
3) Manajemen Resiko Hukum dan Risiko Reputasi
a) Bank harus memastikan bahwa website bank menyediakan informasi yang memungkinkan calon nasabah untuk memperoleh informasi yang tepat mengenai identitas dan status hukum bank sebelum melakukan transaksi melalui internet banking.
b) Bank harus mengambil langkah-langkah untuk memastikan bahwa ketentuan kerahasiaan nasabah diterapkan sesuai dengan yang berlaku di negara tempat kedudukan bank menyediakan produk dan jasa internet banking.
c) Bank harus memiliki prosedur perencanaan darurat dan berkesinambungan usaha yang efektif untuk memastikan tersedianya sistem dan jasa internet banking.
d) Bank harus mengembangkan rencana penanganan yang memadai untuk mengelola, mengatasi dan meminimalkan permasalahan yang timbul dari kejadian yang tidak diperkirakan (internal dan eksternal) yang dapat menghambat penyediaan sistem dan jasa internet banking.
e) Dalam hal sistem penyelenggaraan internet banking dilakukan oleh pihak ketiga (outsourcing), bank harus menetapkan dan menerapkan prosedur pengawasan dan due dilligence yang menyeluruh dan berkelanjutan untuk mengelola hubungan bank dengan pihak ketiga tersebut.
Peraturan yang dikeluarkan oleh Bank Indonesia terkait dengan pengelolaan atau manajemen risiko penyelenggaraan kegiatan internet banking adalah Peraturan Bank Indonesia No. 5/8/PBI/2003 tentang Penerapan Manajemen Risiko Bagi Bank Umum dan Surat Edaran Bank Indonesia No. 6/18/DPNP, tanggal 20 April 2004 tentang Penerapan Manajemen Risiko Pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking)
Pokok-pokok pengaturannya antara lain sbb:
a. Bank yang menyelenggarakan kegiatan internet banking wajib menerapkan manajemen risiko pada aktivitas internet banking secara efektif.
b. Penerapan manajemen risiko tersebut wajib dituangkan dalam suatu kebijakan, prosedur dan pedoman tertulis dengan mengacu pada Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking), yang ditetapkan dalam lampiran dalam Surat Edaran Bank Indonesia tersebut.
c. Pokok-pokok penerapan manajemen risiko bagi bank yang menyelenggarakan kegiatan internet banking adalah:
1) Adanya pengawasan aktif komisaris dan direksi bank, yang meliputi:
a) Komisaris dan direksi harus melakukan pengawasan yang efektif terhadap risiko yang terkait dengan aktivitas internet banking, termasuk penetapan akuntabilitas, kebijakan dan proses pengendalian untuk mengelola risiko tersebut.
b) Direksi harus menyetujui dan melakukan kaji ulang terhadap aspek utama dari prosedur pengendalian pengamanan bank.
2) Pengendalian pengamanan (security control)
a) Bank harus melakukan langkah-langkah yang memadai untuk menguji keaslian (otentikasi) identitas dan otorisasi terhadap nasabah yang melakukan transaksi melalui internet banking.
b) Bank harus menggunakan metode pengujian keaslian transaksi untuk menjamin bahwa transaksi tidak dapat diingkari oleh nasabah (non repudiation) dan menetapkan tanggung jawab dalam transaksi internet banking.
c) Bank harus memastikan adanya pemisahan tugas dalam sistem internet banking, database dan aplikasi lainnya.
d) Bank harus memastikan adanya pengendalian terhadap otorisasi dan hak akses (privileges) yang tepat terhadap sistem internet banking, database dan aplikasi lainnya.
e) Bank harus memastikan tersedianya prosedur yang memadai untuk melindungi integritas data, catatan/arsip dan informasi pada transaksi internet banking.
f) Bank harus memastikan tersedianya mekanisme penelusuran (audit trail) yang jelas untuk seluruh transaksi internet banking.
g) Bank harus mengambil langkah-langkah untuk melindungi kerahasiaan informasi penting pada internet banking. Langkah tersebut harus sesuai dengan sensitivitas informasi yang dikeluarkan dan/atau disimpan dalam database.
3) Manajemen Resiko Hukum dan Risiko Reputasi
a) Bank harus memastikan bahwa website bank menyediakan informasi yang memungkinkan calon nasabah untuk memperoleh informasi yang tepat mengenai identitas dan status hukum bank sebelum melakukan transaksi melalui internet banking.
b) Bank harus mengambil langkah-langkah untuk memastikan bahwa ketentuan kerahasiaan nasabah diterapkan sesuai dengan yang berlaku di negara tempat kedudukan bank menyediakan produk dan jasa internet banking.
c) Bank harus memiliki prosedur perencanaan darurat dan berkesinambungan usaha yang efektif untuk memastikan tersedianya sistem dan jasa internet banking.
d) Bank harus mengembangkan rencana penanganan yang memadai untuk mengelola, mengatasi dan meminimalkan permasalahan yang timbul dari kejadian yang tidak diperkirakan (internal dan eksternal) yang dapat menghambat penyediaan sistem dan jasa internet banking.
e) Dalam hal sistem penyelenggaraan internet banking dilakukan oleh pihak ketiga (outsourcing), bank harus menetapkan dan menerapkan prosedur pengawasan dan due dilligence yang menyeluruh dan berkelanjutan untuk mengelola hubungan bank dengan pihak ketiga tersebut.
2. Pokok-pokok pengaturannya antara lain sbb:
a. Prinsip Mengenal Nasabah adalah prinsip yang diterapkan bank untuk mengetahui identitas nasabah, memantau kegiatan transaksi nasabah termasuk pelaporan transaksi yang mencurigakan.
b. Dalam menerapkan Prinsip Mengenal Nasabah, bank wajib:
1) Menetapkan kebijakan penerimaan nasabah.
2) Menetapkan kebijakan dan prosedur dalam mengidentifikasi nasabah.
3) Menetapkan kebijakan dan prosedur pemantauan terhadap rekening dan transaksi nasabah.
4) Menetapkan kebijakan dan prosedur manajemen resiko yang berkaitan dengan penerapan Prinsip Mengenal Nasabah.
c. Terkait dengan kebijakan penerimaan dan identifikasi nasabah, maka:
1) Sebelum melakukan hubungan usaha dengan nasabah, bank wajib meminta informasi mengenai identitas calon nasabah, maksud dan tujuan hubungan usaha yang akan dilakukan calon nasabah dengan bank, informasi lain yang memungkinkan bank untuk dapat mengetahui profil calon nasabah dan identitas pihak lain dalam hal calon nasabah bertindak untuk dan atas nama pihak lain. Identitas calon nasabah tersebut harus dibuktikan dengan dokumen-dokumen pendukung dan bank wajib meneliti kebenaran dokumen-dokumen pendukung tersebut.
2) Bagi bank yang telah menggunakan media elektronis dalam pelayanan jasa perbankan wajib melakukan pertemuan dengan calon nasabah sekurang-kurangnya pada saat pembukaan rekening.
d. Dalam hal calon nasabah bertindak sebagai perantara dan atau kuasa pihak lain (beneficial owner) untuk membuka rekening, bank wajib memperoleh dokumen-dokumen pendukung identitas dan hubungan hukum, penugasan serta kewenangan bertindak sebagai perantara dan atau kuasa pihak lain. Dalam hal bank meragukan atau tidak dapat meyakini identitas beneficial owner, bank wajib menolak untuk melakukan hubungan usaha dengan calon nasabah e-banking. Bank wajib menatausahakan dokumen-dokumen pendukung nasabah dalam jangka waktu sekurang-kurangnya 5 (lima) tahun sejak nasabah menutup rekening pada bank. Bank juga wajib melakukan pengkinian data dalam hal terdapat perubahan terhadap dokumen-dokumen pendukung tersebut.
f. Bank wajib memiliki sistem informasi yang dapat mengidentifikasi, menganalisa, memantau dan menyediakan laporan secara efektif mengenai karakteristik transaksi yang dilakukan oleh nasabah bank.
g. Bank wajib memelihara profil nasabah yang sekurang-kurangnya meliputi informasi mengenai pekerjaan atau bidang usaha, jumlah penghasilan, rekening lain yang dimiliki, aktivasi transaksi normal dan tujuan pembukaan rekening.
h.Bank wajib memiliki kebijakan dan prosedur manajemen risiko yang sekurang-kurangnya mencakup:
1) Pengawasan oleh pengurus bank (management oversight).
2) Pendelegasian wewenang.
3) Pemisahan tugas.
4) Sistem pengawasan intern termasuk audit intern.
5) Program pelatihan karyawan mengenai penerapan Prinsip Mengenal Nasabah.
3. Kegiatan Alat Pembayaran dengan Menggunakan Kartu dan Transparansi Produk Bank
Regulasi lainnya yang dikeluarkan oleh Bank Indonesia terkait dengan upaya meminimalisir internet fraud adalah regulasi mengenai penyelenggaraan kegiatan Alat Pembayaran dengan Menggunakan Kartu (APMK), mengingat APMK merupakan alat atau media yang sering digunakan dalam kejahatan internet fraud. Ketentuan mengenai penyelenggaraan APMK terdapat dalam Peraturan Bank Indonesia No. 6/30/PBI/2004 tentang Penyelenggaraan Kegiatan Alat Pembayaran Dengan Menggunakan Kartu dan Surat Edaran Bank Indonesia No. 7/60/DASP, tanggal 30 Desember 2005 tentang Prinsip Perlindungan Nasabah dan Kehati-hatian, serta Peningkatan Keamanan Dalam Penyelenggaraan Kegiatan Alat Pembayaran Dengan Menggunakan Kartu.
Adapun pokok-pokok pengaturannya antara lain sbb:
a). Alat Pembayaran Dengan Menggunakan Kartu (APMK) adalah alat pembayaran yang berupa kartu kredit, kartu ATM, kartu debet, kartu prabayar dan atau yang dipersamakan dengan hal tersebut.
b). Bagi bank dan lembaga bukan bank yang merupakan penyelenggara APMK harus menyerahkan bukti penerapan manajemen risiko.
c). Penerbit APMK wajib meningkatkan keamanan APMK untuk meminimalkan tingkat kejahatan terkait dengan APMK dan sekaligus untuk meningkatkan kepercayaan masyarakat terhadap APMK.
d). Peningkatan keamanan tersebut dilakukan terhadap seluruh infrastruktur teknologi yang terkait dengan penyelenggaraan APMK, yang meliputi pengamanan pada kartu dan pengamanan pada seluruh sistem yang digunakan untuk memproses transaksi APMK termasuk penggunaan chip pada kartu kredit. Selain itu, Bank Indonesia juga mengeluarkan regulasi mengenai transparansi informasi produk bank dan penggunaan data pribadi nasabah, sebagai upaya untuk mengedukasi nasabah terhadap produk bank dan meningkatkan kewaspadaan nasabah terhadap berbagai risiko termasuk internet fraud. Ketentuan tersebut terdapat dalam Peraturan Bank Indonesia No. 7/6/PBI/2005 Jo SE No. 7/25/DPNP tentang Transparansi Informasi Produk Bank Dan Penggunaan Data Pribadi Nasabah.
Peraturan-peraturan
Ketentuan mengenai rahasia bank diatur dalam UU Perbankan dan kemudian diatur lebih lanjut dalam Peraturan Bank Indonesia No. 2/19/PBI/2000 tentang Persyaratan dan Tata Cara Pemberian Perintah atau Izin Tertulis Membuka Rahasia Bank. Berdasarkan ketentuan tersebut, pada prinsipnya setiap Bank dan afiliasinya wajib merahasiakan keterangan mengenai nasabah penyimpan dan simpanannya (Rahasia Bank). Sedangkan keterangan mengenai nasabah selain sebagai nasabah penyimpan, tidak wajib dirahasiakan.
Terhadap Rahasia Bank dapat disimpangi dengan izin terlebih dahulu dari pimpinan Bank Indonesia untuk kepentingan perpajakan, penyelesaian piutang bank oleh BUPN/PUPLN dan kepentingan peradilan perkara pidana dimana status nasabah penyimpan yang akan dibuka rahasia bank harus tersangka atau terdakwa. Terhadap Rahasia Bank dapat juga disimpangi tanpa izin terlebih dahulu dari pimpinan Bank Indonesia yakni untuk kepentingan perkara perdata antara bank dengan nasabahnya, tukar menukar informasi antar bank, atas permintaan/persetujuan dari nasabah dan untuk kepentingan ahli waris yang sah.
Dalam hal diperlukan pemblokiran dan atau penyitaan simpanan atas nama seorang nasabah penyimpan yang telah dinyatakan sebagai tersangka atau terdakwa oleh pihak aparat penegak hukum, berdasarkan ketentuan Pasal 12 ayat (1) PBI Rahasia Bank, dapat dilakukan sesuai dengan ketentuan peraturan perundang-undangan yang berlaku tanpa memerlukan izin terlebih dahulu dari pimpinan Bank Indonesia.
Namun demikian untuk memperoleh keterangan mengenai nasabah penyimpan dan simpanan nasabah yang diblokir dan atau disita pada bank, menurut Pasal 12 ayat (2) PBI Rahasia Bank, tetap berlaku ketentuan mengenai pembukaan Rahasia Bank dimana memerlukan izin terlebih dahulu dari pimpinan Bank Indonesia.
a. Prinsip Mengenal Nasabah adalah prinsip yang diterapkan bank untuk mengetahui identitas nasabah, memantau kegiatan transaksi nasabah termasuk pelaporan transaksi yang mencurigakan.
b. Dalam menerapkan Prinsip Mengenal Nasabah, bank wajib:
1) Menetapkan kebijakan penerimaan nasabah.
2) Menetapkan kebijakan dan prosedur dalam mengidentifikasi nasabah.
3) Menetapkan kebijakan dan prosedur pemantauan terhadap rekening dan transaksi nasabah.
4) Menetapkan kebijakan dan prosedur manajemen resiko yang berkaitan dengan penerapan Prinsip Mengenal Nasabah.
c. Terkait dengan kebijakan penerimaan dan identifikasi nasabah, maka:
1) Sebelum melakukan hubungan usaha dengan nasabah, bank wajib meminta informasi mengenai identitas calon nasabah, maksud dan tujuan hubungan usaha yang akan dilakukan calon nasabah dengan bank, informasi lain yang memungkinkan bank untuk dapat mengetahui profil calon nasabah dan identitas pihak lain dalam hal calon nasabah bertindak untuk dan atas nama pihak lain. Identitas calon nasabah tersebut harus dibuktikan dengan dokumen-dokumen pendukung dan bank wajib meneliti kebenaran dokumen-dokumen pendukung tersebut.
2) Bagi bank yang telah menggunakan media elektronis dalam pelayanan jasa perbankan wajib melakukan pertemuan dengan calon nasabah sekurang-kurangnya pada saat pembukaan rekening.
d. Dalam hal calon nasabah bertindak sebagai perantara dan atau kuasa pihak lain (beneficial owner) untuk membuka rekening, bank wajib memperoleh dokumen-dokumen pendukung identitas dan hubungan hukum, penugasan serta kewenangan bertindak sebagai perantara dan atau kuasa pihak lain. Dalam hal bank meragukan atau tidak dapat meyakini identitas beneficial owner, bank wajib menolak untuk melakukan hubungan usaha dengan calon nasabah e-banking. Bank wajib menatausahakan dokumen-dokumen pendukung nasabah dalam jangka waktu sekurang-kurangnya 5 (lima) tahun sejak nasabah menutup rekening pada bank. Bank juga wajib melakukan pengkinian data dalam hal terdapat perubahan terhadap dokumen-dokumen pendukung tersebut.
f. Bank wajib memiliki sistem informasi yang dapat mengidentifikasi, menganalisa, memantau dan menyediakan laporan secara efektif mengenai karakteristik transaksi yang dilakukan oleh nasabah bank.
g. Bank wajib memelihara profil nasabah yang sekurang-kurangnya meliputi informasi mengenai pekerjaan atau bidang usaha, jumlah penghasilan, rekening lain yang dimiliki, aktivasi transaksi normal dan tujuan pembukaan rekening.
h.Bank wajib memiliki kebijakan dan prosedur manajemen risiko yang sekurang-kurangnya mencakup:
1) Pengawasan oleh pengurus bank (management oversight).
2) Pendelegasian wewenang.
3) Pemisahan tugas.
4) Sistem pengawasan intern termasuk audit intern.
5) Program pelatihan karyawan mengenai penerapan Prinsip Mengenal Nasabah.
3. Kegiatan Alat Pembayaran dengan Menggunakan Kartu dan Transparansi Produk Bank
Regulasi lainnya yang dikeluarkan oleh Bank Indonesia terkait dengan upaya meminimalisir internet fraud adalah regulasi mengenai penyelenggaraan kegiatan Alat Pembayaran dengan Menggunakan Kartu (APMK), mengingat APMK merupakan alat atau media yang sering digunakan dalam kejahatan internet fraud. Ketentuan mengenai penyelenggaraan APMK terdapat dalam Peraturan Bank Indonesia No. 6/30/PBI/2004 tentang Penyelenggaraan Kegiatan Alat Pembayaran Dengan Menggunakan Kartu dan Surat Edaran Bank Indonesia No. 7/60/DASP, tanggal 30 Desember 2005 tentang Prinsip Perlindungan Nasabah dan Kehati-hatian, serta Peningkatan Keamanan Dalam Penyelenggaraan Kegiatan Alat Pembayaran Dengan Menggunakan Kartu.
Adapun pokok-pokok pengaturannya antara lain sbb:
a). Alat Pembayaran Dengan Menggunakan Kartu (APMK) adalah alat pembayaran yang berupa kartu kredit, kartu ATM, kartu debet, kartu prabayar dan atau yang dipersamakan dengan hal tersebut.
b). Bagi bank dan lembaga bukan bank yang merupakan penyelenggara APMK harus menyerahkan bukti penerapan manajemen risiko.
c). Penerbit APMK wajib meningkatkan keamanan APMK untuk meminimalkan tingkat kejahatan terkait dengan APMK dan sekaligus untuk meningkatkan kepercayaan masyarakat terhadap APMK.
d). Peningkatan keamanan tersebut dilakukan terhadap seluruh infrastruktur teknologi yang terkait dengan penyelenggaraan APMK, yang meliputi pengamanan pada kartu dan pengamanan pada seluruh sistem yang digunakan untuk memproses transaksi APMK termasuk penggunaan chip pada kartu kredit. Selain itu, Bank Indonesia juga mengeluarkan regulasi mengenai transparansi informasi produk bank dan penggunaan data pribadi nasabah, sebagai upaya untuk mengedukasi nasabah terhadap produk bank dan meningkatkan kewaspadaan nasabah terhadap berbagai risiko termasuk internet fraud. Ketentuan tersebut terdapat dalam Peraturan Bank Indonesia No. 7/6/PBI/2005 Jo SE No. 7/25/DPNP tentang Transparansi Informasi Produk Bank Dan Penggunaan Data Pribadi Nasabah.
Peraturan-peraturan
Ketentuan mengenai rahasia bank diatur dalam UU Perbankan dan kemudian diatur lebih lanjut dalam Peraturan Bank Indonesia No. 2/19/PBI/2000 tentang Persyaratan dan Tata Cara Pemberian Perintah atau Izin Tertulis Membuka Rahasia Bank. Berdasarkan ketentuan tersebut, pada prinsipnya setiap Bank dan afiliasinya wajib merahasiakan keterangan mengenai nasabah penyimpan dan simpanannya (Rahasia Bank). Sedangkan keterangan mengenai nasabah selain sebagai nasabah penyimpan, tidak wajib dirahasiakan.
Terhadap Rahasia Bank dapat disimpangi dengan izin terlebih dahulu dari pimpinan Bank Indonesia untuk kepentingan perpajakan, penyelesaian piutang bank oleh BUPN/PUPLN dan kepentingan peradilan perkara pidana dimana status nasabah penyimpan yang akan dibuka rahasia bank harus tersangka atau terdakwa. Terhadap Rahasia Bank dapat juga disimpangi tanpa izin terlebih dahulu dari pimpinan Bank Indonesia yakni untuk kepentingan perkara perdata antara bank dengan nasabahnya, tukar menukar informasi antar bank, atas permintaan/persetujuan dari nasabah dan untuk kepentingan ahli waris yang sah.
Dalam hal diperlukan pemblokiran dan atau penyitaan simpanan atas nama seorang nasabah penyimpan yang telah dinyatakan sebagai tersangka atau terdakwa oleh pihak aparat penegak hukum, berdasarkan ketentuan Pasal 12 ayat (1) PBI Rahasia Bank, dapat dilakukan sesuai dengan ketentuan peraturan perundang-undangan yang berlaku tanpa memerlukan izin terlebih dahulu dari pimpinan Bank Indonesia.
Namun demikian untuk memperoleh keterangan mengenai nasabah penyimpan dan simpanan nasabah yang diblokir dan atau disita pada bank, menurut Pasal 12 ayat (2) PBI Rahasia Bank, tetap berlaku ketentuan mengenai pembukaan Rahasia Bank dimana memerlukan izin terlebih dahulu dari pimpinan Bank Indonesia.
Tidak ada komentar:
Posting Komentar