Terganggunya sistem elektronik (SE) bank digital dari Bank Syariah Indonesia (BSI) cukup menyita perhatian publik. Bahkan wakil presiden KH. Ma’ruf Amin juga mengarahkan agar perbankan meningkatkan sistem keamanan digitalnya. Berita dari berbagai sumber menunjukkan fakta antara lain bahwa data nasabah dan karyawan dicuri sebanyak 15 juta dengan kapasitas data 1,5 TB (Data Nasabah Diduga Bocor, BSI (BRIS) Bisa Kena Sanksi UU PDP? (bisnis.com)), adanya permintaan (pemerasan?) penebusan data yang dicuri dengan sejumlah US$20 juta atau sekira Rp. 295 miliar (Kasus BSI Bukti Kemanan Siber di Indonesia Lemah, dari Skala Satu sampai 10 Skornya 3 (kompas.tv), hingga tidak dapat diaksesnya layanan perbankan digital dan konvensional BSI oleh nasabah dan masyarakat (Menengok Kasus BSI dan Masalah Peretasan di Perbankan (kontan.co.id). Kenyataan ini semakin menguatkan peranan dan fungsi Sertifikat Keandalan dalam Perbankan Digital.

Terlepas dari pro kontra kewajiban penggunaan sertifkat keandalan akibat ketidakpastian hukum yang terjadi akibat disharmoni sifat norma Pasal 10 ayat (1) UU ITE dan Ps. 42 ayat (2) serta Ps. 73 ayat (1) PP PSTE dengan Ps. 39 ayat (2) UU PDP dan Ps. 21 ayat (1) huruf e PP PMSE, sebagaimana telah saya kemukakan pada artikel sebelumnya (Kewajiban Sertifikat Keandalan dalam UU PDP: Bukti Pelindungan Data Pribadi dalam Sistem Elektronik « Muhamad Amirulloh’s Blog (unpad.ac.id)), harus semakin disadari bahwa pendekatan gabungan antara hukum dan teknologi semakin dibutuhkan, khususnya untuk melindungi konsumen dan masyarakat.

Teknologi perbankan digital yang digunakan untuk melindungi konsumen dan masyarakat diwujudkan dalam bentuk Sertifikat Keandalan. Perlu dipahami bentuk-bentuk Sertifikat Keandalan yang ada, sehingga implementasinya dapat secara tepat memenuhi kebutuhan pelindungan yang spesifik.

Berdasarkan Pasal 76 ayat (1) PP PSTE, ada 3 jenis Sertifikat Keandalan, yaitu registrasi, keamanan sistem elektronik, dan kebijakan privasi. Sertifikat Keandalan Registrasi hanya menunjukkan validitas identitas penyelenggara SE, sehingga masyarakat dapat mengetahui subyek hukum yang sebenarnya yang menyelenggarakan SE. Hal tersebut bermanfaat untuk mencegah tersesatnya atau kelirunya masyarakat dalam mengakses SE yang hendak ditujunya. Penjelasan Pasal 76 ayat (1) huruf a PP PSTE tersebut menyatakan bahwa, validasi yang dilakukan oleh Lembaga Sertilikasi Keandalan (LSK) hanya terhadap identitas Pelaku Usaha yang paling sedikit memuat nama subjek hukum, status subjek hukum, alamat atau kedudukan, nomor telepon, alamat email, izin usaha, dan Nomor Pokok Wajib Pajak (NPWP) apabila belum terdaftar dalam sistem Perizinan Berusaha Terintegrasi Elektronik (Online Single Submission). LSK yang menerbitkan Sertifikat Keandalan ini memberikan kepastian penelusuran bahwa identitas Pelaku Usaha adalah benar.

Sertifikat Keandalan keamanan SE, menurut Penjelasan Pasal 76 ayat (1) huruf b PP PSTE memberikan jaminan kepastian bahwa proses penyampaian atau pertukaran data melalui website Pelaku Usaha dilindungi keamanannya dengan menggunakan teknologi pengamanan proses pertukaran data seperti protokol SSL/secure socket layer. Sertifikat Keandalan ini menjamin bahwa terdapat sistem pengamanan dalam proses pertukaran data yang telah teruji. Pengamanan terhadap kerawanan (Vulnerability seal) merupakan Sertifikat Keandalan yang jaminan keandalannya adalah memberikan kepastian bahwa terdapat sistem manajemen keamanan informasi yang diterapkan oleh Pelaku Usaha dengan mengacu pada standar pengamanan Sistem Elektronik tertentu berdasarkan ketentuan peraturan perundang-undangan. Dalam hal ini, Peraturan Badan Siber dan Sandi Negara (BSSN) Nomor 8 Tahun 2020 tentang Sistem Pengamanan Dalam Penyelenggaraan Sistem Elektronik harus dirujuk untuk mengimplementasikan keamanan SE. Pasal 4 PBSSN 8/2020 ini menyatakan ruang lingkupnya mencakup SE lingkup publik maupun privat. Berdasarkan risikonya, Ps. 6 PBSSN 8/2020 menyatakan bahwa SE dikategorikan menjadi 3 jenis yaitu: Strategis, Tinggi, dan Rendah. Ps. 9 PBSSN menentukan bahwa SE Strategis wajib menerapkan 3 jenis standar keamanan, sedangkan SE Tinggi wajib menerapkan 2 jenis standar keamanan, dan SE Rendah wajib menerapkan 1 jenis standar keamanan.

Sertifikat Keandalan Kebijakan Privasi, menurut Penjelasan Pasal 76 ayat (1) huruf c PP PSTE merupakan Sertifikat Keandalan yang jaminan keandalannya adalah memberikan kepastian bahwa Data Pribadi konsumen dilindungi kerahasiaannya sebagaimana mestinya.

Dalam praktik, dapat dicermati bahwa ada bank swasta nasional terkemuka yang menggunakan Sertifikat Keandalan dari perusahaan cyber security (LSK) asing, denga jenis Sertifkat Keandalan yang dapat dimasukkan dalam jenis Registrasi dan Keamanan SE, tetapi belum menerapkan yang jenis Kebijakan Privasi. Sementara pada satu pelaku e-commerce telah menerapkan Sertifikat Keandalan Keamanan SE dan Privasi, yang juga dari LSK asing.

Sesuai dengan tujuan pembentukan UU ITE pada Pasal 4 huruf e, keberadaan Sertifikat Keandalan pada SE diyakini akan mampu menjamin keamanan, keadilan, dan kepastian hukum bagi pengguna dan penyelenggara Teknologi Informasi.

Perhatian khusus yang harus dilakukan dalam kaitan lembaga keuangan adalah LSK yang seperti apakah yang tepat untuk melindungi perbankan digital nasional? Apakah dibiarkan pada kendali LSK asing, ataukah perlu ditumbuhkan semangat nasionalisme bagi lahir dan berperannya LSK Nasional?

Walloohu a’lam….