Selain itu, Surat Edaran OJK Nomor 29/SEOJK.03/2022 mengamanatkan apabila otoritas lain (Kominfo/BSSN), mengatur jangka waktu penyampaian notifikasi awal dan/atau laporan insiden siber lebih lama dari jangka waktu sebagaimana diatur dalam POJK PTI, maka harus menyampaikan notifikasi awal dan/atau laporan insiden siber kepada OJK.
Kedua, melakukan pemulihan, sebagaimana mengacu pada UU PDP, PP 71/2019, Permenkominfo 20/2016, maupun juga POJK PTI yang mewajibkan lembaga keuangan untuk memiliki rencana pemulihan bencana. Tujuannya memastikan kelangsungan operasional bank tetap berjalan selama insiden.
“BSI harus memastikan rencana penanggulangan dan pemulihan sesuai dengan rencana kelangsungan usaha (business continuity plan), rencana pemulihan bencana (disaster recovery plan), crisis management plan, dan/atau kebijakan atau rencana bank lainnya yang terkait,” kata Wahyudi.
Apalagi mengacu pada ketentuan Pasal 4 ayat (2) UU Perlindungan Data Pribadi, Wahyudi melanjutkan, data keuangan pribadi merupakan bagian dari data pribadi yang spesifik (sensitif) sehingga memerlukan tingkat perlindungan yang lebih tinggi.
“Termasuk ketika terjadi kegagalan dalam perlindungan data, juga memerlukan langkah-langkah khusus dalam penanganannya,” ujar Wahyudi.
Pilihan Editor: Cerita Calon Pembeli Tiket Konser Coldplay: Sudah Tinggal Pembayaran, Terpental Antre Lagi
Ikuti berita terkini dari Tempo di Google News, klik di sini