Apakah penetration testing wajib secara hukum di Indonesia?

Tidak ada satu undang-undang yang menyebut 'penetration testing' untuk setiap perusahaan. Namun beberapa kerangka secara praktis mewajibkannya: aturan OJK untuk lembaga sektor keuangan, kewajiban keamanan UU PDP, dan sertifikasi seperti ISO 27001 yang diminta pelanggan. Dalam praktiknya, bisnis yang teregulasi dan mengelola data diharapkan melakukan pengujian.

Apakah UU PDP mewajibkan penetration testing?

UU PDP (UU No. 27 Tahun 2022) mewajibkan pengendali data melindungi data pribadi dengan langkah keamanan yang memadai. Meskipun tidak menyebut penetration testing secara eksplisit, pengujian rutin adalah cara yang diterima luas untuk membuktikan bahwa langkah keamanan tersebut efektif.

Penetration Testing & Kepatuhan di Indonesia: OJK, UU PDP, dan ISO 27001

Q: Apa yang diwajibkan OJK untuk fintech dan bank?

Regulasi OJK tentang manajemen risiko TI dan siber untuk lembaga keuangan dan bank digital mengharapkan asesmen keamanan rutin, termasuk penetration testing sistem kritis. Kewajiban spesifik bergantung pada jenis lembaga dan POJK yang berlaku.

Di Indonesia, penetration testing semakin diharapkan — dan di sektor teregulasi secara praktis diwajibkan — oleh kombinasi UU Perlindungan Data Pribadi (UU PDP), aturan Otoritas Jasa Keuangan (OJK), serta standar internasional seperti ISO 27001 yang diminta pelanggan Indonesia. Tidak ada satu undang-undang yang mewajibkan pentest bagi setiap bisnis, tetapi jika Anda mengelola data pribadi atau beroperasi di sektor keuangan, pengujian rutin adalah cara membuktikan kehati-hatian (due diligence).

Artikel ini adalah panduan umum, bukan nasihat hukum. Konfirmasikan kewajiban spesifik Anda dengan penasihat yang kompeten.

UU PDP — Undang-Undang Perlindungan Data Pribadi

UU PDP (Undang-Undang No. 27 Tahun 2022) mewajibkan organisasi yang memproses data pribadi menerapkan langkah keamanan teknis dan organisasi yang memadai. UU ini tidak menyebut “penetration testing” secara langsung, tetapi regulator dan auditor secara luas memperlakukan pengujian keamanan rutin sebagai bukti bahwa kontrol Anda benar-benar bekerja. Jika terjadi insiden, kemampuan menunjukkan penetration test independen yang baru dilakukan memperkuat posisi due diligence Anda.

OJK — sektor keuangan

Otoritas Jasa Keuangan (OJK) menetapkan ekspektasi manajemen risiko TI dan siber untuk bank, bank digital, fintech lending, dan lembaga keuangan lain. Kerangka ini mengharapkan asesmen keamanan rutin, termasuk penetration testing terhadap sistem kritis dan yang menghadap internet, sering kali secara tahunan dan setelah perubahan besar. Kewajiban persisnya bergantung pada jenis lembaga dan POJK yang berlaku, jadi pastikan regulasi spesifik yang relevan untuk Anda.

ISO 27001 dan persyaratan dari pelanggan

Banyak perusahaan Indonesia mengejar sertifikasi ISO/IEC 27001 — terkadang karena diminta pelanggan atau mitra. Meskipun ISO 27001 tidak mewajibkan penetration testing dengan kata-kata persis itu, kumpulan kontrolnya (dan panduan pendukung ISO 27002 tentang manajemen kerentanan teknis) menjadikan pengujian rutin sebagai cara praktis untuk memuaskan auditor. Hal yang sama berlaku untuk SOC 2 jika Anda melayani klien internasional.

BSSN dan keamanan siber nasional

Badan Siber dan Sandi Negara (BSSN) menerbitkan panduan dan standar keamanan siber nasional. Organisasi yang mengoperasikan infrastruktur informasi vital sebaiknya mengikuti ekspektasi BSSN selain regulator sektoral.

Apa artinya dalam praktik

Jika salah satu kondisi berikut menggambarkan Anda, Anda sebaiknya menjalankan penetration testing secara berkala:

Anda mengelola data pribadi pengguna Indonesia (hampir setiap bisnis digital).
Anda beroperasi di sektor keuangan atau diawasi OJK.
Anda sedang mengejar atau memegang ISO 27001 / SOC 2.
Kuesioner keamanan dari pelanggan meminta pengujian independen yang baru.

Laporan penetration test yang bersih dan terbaru adalah salah satu cara paling efisien untuk menjawab semua itu sekaligus. Lihat cara kami menyusunnya di halaman layanan, atau hubungi kami untuk menyusun engagement yang selaras dengan kebutuhan kepatuhan Anda.