Cyberthreat.id - Bank Indonesia menegaskan terus mengembangkan aturan untuk mengamankan sistem pembayaran online. Di antaranya, dengan mewajibkan penerbit uang elektronik untuk menerapkan pengamanan berlapis atau autentikasi dua faktor (two factor autentication/2FA) untuk transaksi di atas Rp 2 juta.

Hal itu disampaikan Kepala Group Perlindungan Konsumen Bank Indonesia (BI), Elsya M.S. Chani, dalam webinar bertajuk “Waspada Kejahatan Pembajakan Kode Rahasia/OTP Fraud, Jangan Bagikan Kode OTP” yang digelar Direktorat Jenderal Penyelenggaraan Pos dan Informatika pada Kementerian Komunikasi dan Informatika, Kamis (24 September 2020).

“Misalnya untuk transaksi uang elektronik yang register di mana jumlah saldonya itu bisa antara Rp2 juta sampai Rp10 juta, maka wajib setidaknya dilengkapi dengan pengaman, setidaknya 2FA,” kata dia.

Namun, ia tidak menjelaskan lebih lanjut 2FA seperti apa yang diatur oleh BI terhadap penyelenggara sistem pembayaran yang diawasinya.

Catatan Cyberthreat.id, 2FA adalah pengamanan berlapis dengan berbagai pilihan. Selain password utama, biasanya pengamanan tahap keduanya berupa pengiriman kode OTP (password sekali pakai) lewat SMS ke ponsel, atau menggunakan aplikasi semacam Google Authenticator, Authy, atau Microsoft Authenticator (Baca: Lima Aplikasi 2FA Terbaik untuk Amankan Akun Online Anda)

Sebagai catatan, di Eropa, pengiriman OTP lewat SMS sudah dilarang lantaran rentan diintip oleh pihak ketiga. Sementara di Indonesia, sebagian besar layanan online, termasuk perbankan, masih mengirimkan kode OTP  lewat SMS. (Lihat: Tak Aman, Bank-Bank Jerman Tinggalkan OTP Berbasis SMS)  dan (Ketika OTP Berbasis SMS Tak Lagi Sakti Lindungi Uang Kita)

Terkait hal ini, Elsya tidak membahas lebih detail mengapa Indonesia masih membolehkan pengiriman OTP lewat SMS.

Menurutnya, sistem pengamanan 2FA itu sudah merupakan kewajiban yang harus diterapkan sistem pembayaran yang diawasinya, seperti Brizzi, Shopee Pay, e-money, Ovo, Gopay, dan sejenisnya.

Elsya menambahkan, semua penyelenggara uang elektronik ini ketika mengajukan izin ke BI, mereka diwajibkan menerapkan standar keamanan sistem informasi tertentu. Namun, Elsya lagi-lagi tidak menjelaskan seperti apa standar dimaksud.

“Untuk semua penyelenggara uang elektronik ini ketika mengajukan izin mereka wajib menerapkan standar keamanan sistem informasi tertentu, mengacu kepada suatu standar tertentu yang ditetapkan BI,” ujarnya.

Ia pun mengatakan bahwa pedoman akan disesuaikan dengan perkembangan zaman karena pihaknya memahami bahwa kejahatan juga semakin berkembang.

“Ini [standar keamanan sistem informasi tertentu] nanti ada pedomannya yang akan disesuaikan dengan perkembangan zaman sebetulnya. Kita juga paham bahwa kejahatan ini berkembang terus sehingga pengamanan itu harus terus menerus diperkuat,” ujarnya. []

Editor: Yuswardi A. Suud

---

Koreksi: 

Judul berita ini telah mengalami perubahan dari sebelumnya "Bank Indonesia: Transaksi Lebih dari Rp2 Juta Harus Pakai Autentikasi Dua Faktor".  Bank Indonesia mengirimkan koreksi dengan keterangan sebagai berikut:

"Pimpinan kami waktu diacara webinar tersebut mengatakan: Pengaturan BI sudah berusaha melindungi konsumen dengan melihat berbagai aspek sebelum meberikan izin penyelenggara, termasuk aspek modal, keamanan sistem informasi dll. Di samping itu, sebagai contoh, untuk e-money registered yang bisa punya saldo lebih dari Rp 2 juta, ada kewajiban penyelenggara untuk menerapkan 2FA. Ke depan aspek pengamanan ini tentu terus di review untuk penguatan. Di samping itu, ketentuan perlindungan konsumen BI juga mewajibkan penyelenggara untuk menyediakan fungsi penanganan pengaduan."

Demikian disampaikan Kepala Divisi Relasi Media dan Opinion Maker Departemen Komunikasi BI, Irfan Farulian, Jumat (25 September 2020).

Atas pemberitahuan tersebut, Redaksi Cyberthreat.id ucapkan terima kasih.[]