Perusahaan Tekfin Harus Jamin Keamanan Data Pribadi Pengguna
›
Perusahaan Tekfin Harus Jamin ...
Iklan
Perusahaan Tekfin Harus Jamin Keamanan Data Pribadi Pengguna
Kepatuhan pengelola aplikasi teknologi finansial dalam mengamankan data pengguna menjadi kunci untuk mendapatkan kepercayaan pelanggan yang pada akhirnya menumbuhkan sektor industri tersebut.
Oleh
satrio pangarso wisanggeni
·4 menit baca
JAKARTA, KOMPAS — Kepatuhan dalam proteksi keamanan data pribadi pengguna perlu dipahami sebagai hal yang tidak dapat ditawar oleh perusahaan teknologi finansial, atau biasa disebut fintech. Kepercayaan dari masyarakat atas upaya yang dilakukan oleh perusahaan dinilai menjadi kunci pertumbuhan sektor industri ini.
Direktur Proteksi Ekonomi Digital Badan Siber dan Sandi Negara (BSSN) Anton Setiyawan, Selasa (24/11/2020), mengatakan, beragamnya sifat data yang dikelola perusahaan teknologi finansial (tekfin) membuat sektor ini secara khusus memiliki kerentanan terhadap serangan siber.
Sebagai institusi teknologi yang bergerak di bidang keuangan, perusahaan tekfin sehari-hari bersentuhan dengan data pribadi pengguna yang sungguh besar jumlahnya. Selain itu, karena sifatnya yang sensitif, segi manajemennya pun menjadi rumit karena teknologi harus dapat mengenali siapa yang berhak dalam melakukan transaksi.
Oleh karena itu, Pemerintah Indonesia mendorong setiap entitas tekfin untuk memenuhi standar keamanan informasi yang sudah tersedia, yakni, SNI ISO 27001.
Dalam memenuhi ini, kata Anton, perusahaan tekfin dapat menggunakan Indeks Keamanan Informasi (KAMI). Di situ ada lebih dari 180 kontrol yang harus dipenuhi para pengelola layanan tekfin; mulai dari masalah tata kelola pengelolaan keamanan informasi, keberadaan sistem manajemen aset informasi, hingga tingkat risiko keamanan layanan komputasi awan, dan pelindungan data pribadi.
”Kami mendorong setiap entitas fintech untuk memenuhi standar indeks KAMI ini. Ini untuk memastikan bahwa, dengan mengikuti aturan, bisa memitigasi risiko bagi keamanan bisnis dan pelanggan,” kata Anton dalam diskusi yang digelar dalam rangka Pekan Fintech Nasional 2020 secara virtual.
Kami mendorong setiap entitas fintech untuk memenuhi standar indeks KAMI ini. Ini untuk memastikan bahwa, dengan mengikuti aturan, bisa memitigasi risiko bagi keamanan bisnis dan pelanggan.
Vice President Information Security Gojek Hana Abriyansyah juga meyakini hal tersebut. Menurut dia, memenuhi standar keamanan informasi SNI ISO 27001 adalah upaya untuk mendapatkan kepercayaan dari pelanggan. Dengan memenuhi standar itu, artinya, suatu lembaga akan diaudit secara rutin oleh auditor.
Dengan tersertifikasi SNI ISO 27001 pun menunjukkan bahwa ada komitmen yang tinggi dari perusahaan dalam menjaga keamanan informasi.
”Dari situ, harapannya customer tetap percaya dalam menggunakan produk yang kita kembangkan. Oleh karena itu, pemain di industri fintech yang masih kecil pun, menurut saya, akan lebih baik jika bisa mendapatkan sertifikasi juga,” kata Hana.
Secara khusus, Hana menggarisbawahi betapa pentingnya keberadaan sebuah regulasi yang mengatur pelindungan data pribadi secara komprehensif, seperti RUU Pelindungan Data Pribadi yang saat ini sedang dibahas di DPR.
”Dengan RUU PDP ini, kita bisa meningkatkan trust masyarakat. Pada saat yang sama, otomatis adopsi produk dan teknologi juga meningkat sehingga industri ini juga akan berkembang. RUU PDP ini sangat penting dan mudah-mudahan segera disahkan,” tutur Hana.
Pakar hukum siber dan pelindungan data pribadi Universitas Katolik Atma Jaya Jakarta, Sih Yuliana Wahyuningtyas, mengatakan, cara utama yang dapat dilakukan perusahaan tekfin dalam mendapatkan kepercayaan masyarakat adalah hanya mengambil data yang telah mendapatkan persetujuan dari pengguna (consent).
Perusahaan harus bisa secara eksplisit menjelaskan data-data apa saja yang akan diambil, untuk apa data tersebut, bagaimana proses pengolahan data tersebut, dan bagaimana cara masyarat atau subyek data dapat memusnahkan data yang sudah diambil oleh perusahaan tersebut.
Selain itu, perusahaan pun perlu memberikan notifikasi jika insiden pembobolan data terjadi. Namun, tidak sekadar pemberitahuan, tetapi juga memberitahukan langkah apa yang akan diambil untuk mencegah kebocoran lebih lanjut. Menurut dia, ini adalah bagian dari edukasi kepada masyarakat mengapa pelindungan data pribadi menjadi penting.
”Compliance ini tantangan atau peluang? Saat ini persaingan usaha sudah beralih. Bukan lagi siapa yang mengendalikan data pribadi, melainkan sudah beranjak. Siapa yang bisa melindungi data pribadi ini adalah yang menang dalam persaingan usaha,” tutur Yuliana.
Wakil Juru Bicara Kementerian Komunikasi dan Informatika Dewi Meisari Haryanti menilai, selama ini keterangan kebijakan privasi data pribadi yang ditampilkan oleh sejumlah platform digital cenderung dibuat tidak begitu terlihat, misalnya ditaruh di bagian bawah halaman dan membuat calon pengguna tidak membacanya.
”Pengguna harus men-scroll ke bawah sekali, padahal biasanya ada tombol yang tinggal dicontreng untuk lanjut ke halaman selanjutnya. Nah, ini saya rasa membuat proses edukasi ke calon pengguna menjadi kurang optimal,” kata Dewi.
Mengenai progres RUU PDP, saat ini pihaknya telah selesai menyiapkan respons daftar isian masalah (DIM). Respons tersebut akan dibawa dalam rapat. Harapannya, sebelum 2020 berakhir, RUU PDP dapat disahkan.
”Harapan kita, versi terbaru dapat disetujui pada rapat paripurna di DPR. Setelah ada undang-undang ini, kita jadi punya norma untuk me-manage aplikasi kita, untuk mengedukasi pengguna kita dan bisa keroyokan edukasinya,” kata Dewi.