RINGKASAN PERATURAN ANGGOTA DEWAN GUBERNUR

Bank Indonesia menerbitkan Peraturan Anggota Dewan Gubernur Nomor 14 Tahun 2025 Tentang Perubahan Kedua atas Peraturan Anggota Dewan Gubernur Nomor 17 Tahun 2023 Tentang Penyelenggaraan Bank Indonesia-Fast Payment untuk mendukung mendukung penguatan keamanan transaksi dalam penyelenggaraan Bank Indonesia-Fast Payment.

Seiring dengan meningkatnya volume dan kompleksitas transaksi melalui BI-FAST dan dalam upaya untuk meningkatkan aspek keamanan dalam penyelenggaraan BI-FAST di Penyelenggara dan di Peserta, Bank Indonesia melakukan penguatan pengamanan transaksi melalui BI-FAST meliputi aspek people, process, dan technology.

Penerapan penguatan keamanan diharapkan dapat memastikan bahwa seluruh peserta BI-FAST menerapkan standar keamanan yang selaras dengan dinamika risiko terkini. Standar keamanan tersebut sejalan dengan aspek keamanan sistem informasi dan ketahanan siber dan standar keamanan sistem informasi bagi penyedia jasa pembayaran yang telah diatur dan ditetapkan dalam berbagai Peraturan Bank Indonesia. Dengan dipenuhinya standar keamanan dimaksud, seluruh Peserta diharapkan mampu melaksanakan mitigasi yang efektif terhadap potensi gangguan dan ancaman terhadap operasional BI-FAST. Berdasarkan hal tersebut di atas, perlu dilakukan perubahan kedua atas Peraturan Anggota Dewan Gubernur Nomor 17 Tahun 2023 tentang Penyelenggaraan Bank Indonesia-Fast Payment.

Substansi Pengaturan:

Substansi pengaturan dalam PADG ini meliputi:

1. Fraud Detection System BI-FAST yang selanjutnya disingkat FDS BI-FAST adalah fitur dalam BI-FAST yang digunakan oleh Penyelenggara sebagai upaya untuk mendeteksi anomali transaksi keuangan dan memitigasi risiko transaksi keuangan mencurigakan dalam transaksi BI-FAST Peserta.
2. Insiden Siber adalah upaya untuk mengeksploitasi kerentanan siber yang terdapat pada sistem informasi BI-FAST Peserta yang dapat mengganggu kelancaran dan/atau keamanan bisnis dan/atau layanan operasional BI-FAST Peserta yang memerlukan respons dan/atau pemulihan.
3. Kewajiban Peserta untuk menjaga kelancaran dan keamanan dalam penggunaan BI-FAST meliputi kegiatan:
1. menjaga kecukupan likuiditas dalam penyelenggaraan BI-FAST;
2. menyusun kebijakan dan prosedur tertulis yang mendukung sistem kontrol internal yang baik dalam pelaksanaan operasional BI-FAST;
3. melakukan pemeriksaan internal terhadap operasional BI-FAST;
4. melakukan audit sistem informasi dan pengujian keamanan;
5. menyusun kebijakan teknologi informasi terkait dengan BI-FAST yang direviu dan diperbarui secara berkala;
6. memiliki pedoman rencana keberlangsungan bisnis (business continuity plan);
7. menggunakan BI-FAST Connector sesuai dengan pedoman operasional BI-FAST, dalam hal Peserta menggunakan BI-FAST Connector;
8. menggunakan spesifikasi BI-FAST API transactional dan/atau BI-FAST API informational yang telah ditetapkan oleh Penyelenggara, dalam hal Peserta menggunakan BI-FAST API;
9. melakukan pengkinian data kepesertaan dalam hal terdapat perubahan data kepesertaan BI-FAST;
10. melakukan pengkinian data Peserta BI-FAST di kanal layanan BI-FAST Peserta;
11. melakukan pemeliharaan data;
12. menjamin infrastruktur utama dan infrastruktur cadangan berfungsi dengan baik untuk melakukan berbagai aktivitas BI-FAST sepanjang jam operasional BI-FAST;
13. mengikuti uji coba sistem yang diselenggarakan oleh Penyelenggara apabila diminta Penyelenggara;
14. melakukan monitoring terhadap adanya anomali dalam penggunaan infrastruktur BI-FAST dan jaringan komunikasi data;
15. menginformasikan kepada Penyelenggara dalam hal melakukan pemeliharaan sistem;
16. memiliki tim incident response dan recovery terkait BI-FAST;
17. memberikan pelatihan terkait operasional, teknologi informasi, dan keamanan BI-FAST secara berkala kepada sumber daya manusia yang bertanggung jawab terhadap kegiatan operasional BI-FAST;
18. melakukan rekonsiliasi transaksi BI-FAST secara berkala; dan
19. menerapkan pengamanan sistem informasi BI-FAST.
4. Ruang lingkup penyusunan kebijakan dan prosedur tertulis paling sedikit terdiri atas:
1. organisasi operasional BI-FAST
2. ketentuan dan prosedur operasional BI-FAST, paling sedikit meliputi pengelolaan operasional BI-FAST dan monitoring yang mencakup teknologi informasi, infrastruktur, pengelolaan likuiditas, dan keamanan;
3. pengawasan operasional BI-FAST;
4. penanganan Keadaan Tidak Normal dan Keadaan Darurat;
5. penanganan Insiden Siber; dan
6. pelindungan nasabah,
baik selama waktu operasional BI-FAST di Peserta maupun di luar waktu operasional BI-FAST di Peserta
5. Audit sistem informasi dan pengujian keamanan dilakukan dengan ketentuan:
1. audit sistem informasi dilakukan oleh auditor internal Peserta yang dilengkapi dengan surat pernyataan pimpinan Peserta yang menyatakan bahwa pelaksanaan audit sistem informasi dilakukan secara independen dan/atau oleh auditor sistem informasi eksternal yang terdaftar di otoritas atau SRO;
2. pengujian keamanan sistem informasi dilakukan oleh auditor keamanan eksternal yang terdaftar di otoritas atau SRO;
3. audit sistem informasi dan pengujian keamanan dilakukan paling sedikit setiap 1 (satu) tahun sekali terhitung sejak menjadi Peserta;
4. dalam hal terdapat rencana implementasi baru dan/atau perubahan dalam sistem teknologi informasi internal Peserta yang terkait dengan BI-FAST, audit sistem informasi dan pengujian keamanan dilakukan sebelum implementasi baru dan/atau perubahan sistem teknologi informasi internal Peserta. Dalam hal terdapat temuan dalam laporan audit sistem informasi dan/atau pengujian keamanan, rencana implementasi baru dan/atau perubahan dalam sistem teknologi informasi internal Peserta yang terkait BI-FAST dapat diimplementasikan jika seluruh temuan telah ditindaklanjuti dan berstatus closed oleh auditor teknologi informasi yang melakukan audit dan/atau pengujian.
6. Hasil audit sistem informasi dan pengujian keamanan BI-FAST disampaikan kepada Penyelenggara dengan ketentuan:
1. audit sistem informasi dan pengujian keamanan BI-FAST disampaikan kepada Penyelenggara paling lambat sesuai dengan periode penyampaian laporan hasil penilaian kepatuhan (LHPK); dan
2. audit sistem informasi dan pengujian keamanan BI-FAST dalam hal terdapat rencana implementasi baru dan/atau perubahan dalam sistem teknologi informasi internal Peserta yang terkait dengan BI-FAST disampaikan paling lambat 10 (sepuluh) hari kerja setelah laporan audit sistem informasi dan/atau pengujian keamanan selesai.
7. Ruang lingkup audit sistem informasi dan pengujian keamanan paling sedikit terdiri atas materi dalam persyaratan teknis minimum proteksi infrastruktur teknologi informasi BI-FAST sebagaimana tercantum dalam Lampiran IA dan ruang lingkup audit sistem informasi dan pengujian keamanan sebagaimana tercantum dalam Lampiran IV.
8. Ruang lingkup kebijakan teknologi informasi paling sedikit mencakup:
1. kebijakan standar dan prosedur keamanan sistem informasi dan ketahanan siber sebagaimana diatur dalam ketentuan Bank Indonesia tentang keamanan sistem informasi dan ketahanan siber; dan
2. tata kelola informasi teknologi sebagaimana panduan cybersecurity framework yang bersifat global.
9. Tim incident response dan recovery berperan dalam penanganan Insiden Siber serta memiliki tugas dan tanggung jawab paling sedikit:
1. memitigasi Insiden Siber; dan
2. mengembalikan layanan BI-FAST sebagaimana kondisi normal.
10. Rekonsiliasi transaksi BI-FAST secara berkala:
1. dilakukan dengan membandingkan data transaksi BI-FAST pada core banking system Peserta dengan laporan BI-FAST Peserta dari Penyelenggara (member statement);
2. dapat dilakukan secara otomatis atau manual; dan
3. dilakukan 1 (satu) kali atau lebih dalam 1 (satu) hari sesuai risk appetite Peserta dalam memitigasi risiko fraud.
11. Penerapan pengamanan sistem informasi paling sedikit meliputi:
1. menerapkan proteksi infrastruktur teknologi informasi paling sedikit memenuhi persyaratan teknis minimum proteksi infrastruktur teknologi informasi BI-FAST sebagaimana tercantum dalam Lampiran IA yang pemenuhannya paling lambat dilakukan pada tanggal 1 Januari 2026;
2. memiliki anomaly detection system di level infrastruktur teknologi informasi;
3. memiliki pengelolaan fraud (fraud management system);
4. memiliki sistem monitoring operasional BI-FAST selama waktu operasional BI-FAST, termasuk ketersediaan sistem peringatan dini (early warning system);
5. menyusun diagram konfigurasi arsitektur infrastruktur BI-FAST terkini yang mencakup diagram interkoneksi sistem dan konfigurasi arsitektur pihak lain dalam hal Peserta melakukan kerjasama dengan pihak lain dalam melakukan transaksi BI-FAST, disampaikan kepada Penyelenggara termasuk dalam hal terdapat perubahan; dan
6. menerapkan manajemen risiko yang memadai untuk infrastruktur BI-FAST dan interkoneksinya dengan infrastruktur pihak lain, khususnya dalam hal Peserta memberikan layanan kerja sama transaksi BI-FAST yang bersifat khusus kepada nasabah.
12. Perubahan waktu operasional berdasarkan kebijakan Penyelenggara sebagaimana dimaksud pada ayat (1) dilakukan berdasarkan pertimbangan:
1. adanya Keadaan Tidak Normal dan/atau Keadaan Darurat yang menyebabkan ketidaktersediaan layanan transaksional BI-FAST kepada seluruh Peserta (unplanned downtime); dan/atau
2. adanya kepentingan Bank Indonesia untuk menjaga kelancaran sistem pembayaran yang menyebabkan ketidaktersediaan layanan transaksional BI-FAST kepada seluruh Peserta yang direncanakan dan diumumkan sebelumnya oleh Penyelenggara dalam rangka a.l. perbaikan, maintenance, upgrade, dan testing (planned downtime).
13. Dalam kondisi tertentu antara lain adanya pemeliharaan sistem Peserta dan kebijakan internal operasional Peserta, Peserta dapat tidak melakukan kegiatan operasional BI-FAST. Yang dimaksud dengan “tidak melakukan kegiatan operasional BI-FAST" adalah kondisi dimana Peserta memutuskan koneksi endpoint BI-FAST sehingga status endpoint Peserta adalah tidak aktif.
14. Dalam hal Peserta menggunakan infrastruktur BI-FAST yang dikelola oleh pihak lain, Peserta harus:
1. melakukan asesmen terhadap pihak lain yang mengelola infrastruktur BI-FAST Peserta; dan
2. bertanggung jawab penuh atas keamanan dan kelancaran penyelenggaraan BI-FAST.
15. Tanggung jawab Peserta yang menggunakan infrastruktur BI-FAST yang dikelola oleh pihak lain atas keamanan dan kelancaran penyelenggaraan BI-FAST:
1. memiliki mekanisme pemantauan kinerja pihak lain yang mengelola infrastruktur BI-FAST Peserta;
2. memastikan penerapan manajemen risiko; dan
3. memastikan ketersediaan akses bagi Penyelenggara untuk melakukan pemeriksaan langsung kepada pihak lain yang mengelola infrastruktur BI-FAST Peserta.
16. Bank Indonesia dapat melakukan pemeriksaan langsung terkait penyelenggaraan BI-FAST kepada pihak lain yang mengelola BI-FAST Peserta.
17. Peserta harus melakukan evaluasi secara berkala atas kinerja pihak lain yang mengelola infrastruktur BI-FAST Peserta.
18. Peserta harus memastikan pihak lain yang mengelola infrastruktur BI-FAST Peserta memenuhi keamanan pengelolaan infrastruktur BI-FAST, paling sedikit:
1. memenuhi persyaratan teknis minimum proteksi infrastruktur teknologi informasi BI-FAST sebagaimana tercantum dalam Lampiran IA;
2. memiliki pembagian tanggung jawab yang jelas antara Peserta dan pihak lain yang mengelola infrastruktur BI-FAST Peserta terhadap proteksi infrastruktur teknologi informasi;
3. melakukan segmentasi infrastruktur BI-FAST Connector yang disediakan oleh pihak lain yang mengelola infrastruktur BI-FAST Peserta sehingga tidak dapat diakses oleh Peserta lainnya;
5. melakukan perubahan konfigurasi infrastruktur BI-FAST Connector yang disediakan oleh pihak lain yang mengelola infrastruktur BI-FAST Peserta hanya berdasarkan persetujuan tertulis Peserta; dan
6. melakukan audit sistem informasi dan pengujian keamanan secara berkala dengan ruang lingkup paling sedikit meliputi materi dalam persyaratan teknis minimum proteksi infrastruktur teknologi informasi BI-FAST sebagaimana tercantum dalam Lampiran IA.
19. Peserta wajib menyampaikan informasi awal dan laporan transaksi BI-FAST yang merupakan transaksi fraud kepada Penyelenggara, meliputi:
1. transaksi yang terkonfirmasi oleh Peserta merupakan transaksi fraud dan bukan merupakan false positive; dan
2. transaksi fraud yang tidak terdeteksi fitur FDS BI-FAST (false negative).
20. Informasi awal transaksi BI-FAST yang terkonfirmasi fraud disampaikan melalui helpdesk BI-FAST, administrative message, atau sarana lain yang ditetapkan Penyelenggara paling lambat 30 (tiga puluh) menit setelah insiden fraud terkonfirmasi oleh Peserta.
21. Laporan transaksi BI-FAST yang terkonfirmasi fraud disampaikan kepada Penyelenggara melalui surat elektronik paling lambat 3 (tiga) hari kalender setelah insiden fraud terkonfirmasi oleh Peserta.
22. Sehubungan dengan pengelolaan fraud (fraud management system) di Peserta, Peserta penerima dapat melakukan antara lain:
1. pembekuan atau penutupan rekening nasabah Peserta penerima yang terindikasi merupakan mule account sesuai peraturan perundang-undangan yang berlaku; dan/atau
2. pengembalian dana kepada Peserta pengirim dengan menggunakan pedoman pengembalian dana sebagaimana diatur di dalam ketentuan yang diterbitkan oleh SRO
23. Peserta pengirim melakukan tindak lanjut atas penolakan penerusan CTR yang dilakukan oleh Penyelenggara, dengan ketentuan sebagai berikut:
1. Tindak lanjut dapat berupa investigasi dan konfirmasi keabsahan transaksi sesuai dengan kebijakan serta prosedur tertulis Peserta.
2. Dalam hal berdasarkan hasil investigasi dan konfirmasi menunjukkan keabsahan dan kebenaran transaksi, Peserta pengirim dapat menyampaikan data transaksi yang ditolak untuk dimasukkan ke dalam data whitelist Penyelenggara sesuai mekanisme yang ditetapkan oleh Penyelenggara agar dalam transaksi berikutnya tidak terjadi penolakan transaksi.
3. Dalam hal berdasarkan hasil investigasi dan konfirmasi menunjukkan indikasi adanya anomali transaksi keuangan dan/atau transaksi keuangan mencurigakan, Peserta dapat melakukan tindak lanjut sesuai dengan ketentuan peraturan perundang-undangan, pedoman operasional BI-FAST, kebijakan dan prosedur tertulis Peserta, serta ketentuan yang dikeluarkan oleh SRO
24. Pengelolaan fraud (fraud management system) di Peserta paling sedikit berupa penerapan teknologi sistem deteksi fraud (fraud detection system) pada level akun dan transaksi untuk transaksi pengiriman dana oleh Peserta pengirim sebagai bentuk first line of defense bagi Peserta pengirim.
25. Penyelenggara melakukan penerapan rules pada fitur FDS BI-FAST dalam rangka menjaga kelancaran dan keamanan penyelenggaraan BI-FAST.
26. Peserta menyampaikan data whitelist dalam rangka pengelolaan fraud (fraud management system) kepada Penyelenggara.
27. Peserta harus segera memberitahukan terjadinya Insiden Siber kepada Penyelenggara, paling lambat 1 (satu) jam sejak terjadinya Insiden Siber.
    
28. Penyelenggara dapat menetapkan kebijakan dan tata cara penanganan Insiden Siber, termasuk melakukan penghentian sementara layanan BI-FAST Peserta yang terkena Insiden Siber dan/atau kepada Peserta lain yang berisiko mengalami Insiden Siber serupa.
29. Peserta dapat memiliki stop button untuk menghentikan layanan BI-FAST Peserta dalam hal terdapat indikasi anomali transaksi, fraud, dan/atau Insiden Siber.
    
30. Terdapat lampiran PADG yang disesuaikan meliputi: