Ini Cara BRIAPI Pastikan Keamanan Data Nasabah Perbankan Digital BRI
Untuk menurunkan risiko terjadinya kebocoran data nasabah, BRI amankan BRIAPI dengan security policy dan sertifikasi keamanan yang telah diakui secara internasional.
Yudhi Dwi Cahyono
10 Februari 2021 • 3 mins reading
Meningkatnya penggunaan teknologi di sebuah perusahaan secara tidak langsung akan meningkatkan risiko terjadinya serangan siber terhadap data-data yang dimiliki oleh perusahaan tersebut. Risiko ini akan meningkat jika perusahaan tersebut tidak menerapkan langkah-langkah preventif dan membiarkan sistemnya rentan tanpa fitur-fitur keamanan yang mumpuni. Berdasarkan data dari Yayasan Lembaga Konsumen Indonesia, sepanjang bulan Januari hingga Juni 2020 terdapat 227 laporan kasus kebocoran data dari berbagai sektor industri di Indonesia. Untuk mengantisipasi terjadinya kebocoran data nasabah perbankan digital BRI, kami menerapkan fitur-fitur keamanan berlapis pada berbagai produk digital BRI, termasuk pada BRIAPI.
BRIAPI merupakan produk open API Bank BRI yang memungkinkan terjadinya integrasi antara layanan finansial BRI dengan pihak ketiga. Untuk mengembangkan BRIAPI, kami memanfaatkan platform full lifecycle API management Apigee keluaran Google. Salah satu alasan kami menggunakan platform ini adalah karena Apigee telah menyediakan berbagai security policy atau modul-modul keamanan yang bisa digunakan oleh pengembang API. Di BRIAPI sendiri, security policy yang kami gunakan adalah:
JSON Threat Protection
Fungsi dari policy ini adalah meminimalisir risiko terjadinya serangan yang ditimbulkan oleh konten yang membawa payload terlalu besar dengan cara menentukan batasan-batasan tertentu pada struktur JSON, seperti pada array dan string. JSON Threat Protection ini penting untuk diterapkan di BRIAPI karena seluruh API dikembangkan menggunakan format JSON.
Regex Protection
Policy ini akan mengekstrak informasi dari konten pesan yang dikirim (Misalkan URI Path, Query Param, Header, Form Param) dan mengevaluasi apakah konten pada pesan tersebut selaras dengan regular expression yang telah ditentukan. Jika ditemukan kejanggalan pada pesan tersebut, maka pesan akan dianggap sebagai ancaman dan ditolak oleh BRIAPI.
Signature Validation Policy
Policy ini berfungsi untuk menjamin pesan yang dikirimkan oleh BRIAPI maupun partner pada proses request dan response tidak bisa dibajak maupun ditiru oleh oknum yang tidak bertanggung jawab. Signature ini penting dilakukan untuk menghindari terjadinya MitM atau Man-in-the-Middle attack. Signature yang kami terapkan di BRIAPI sendiri menggunakan metode enkripsi yang telah lulus uji dan aman.
OAuth 2.0 Policy - Token Check
Untuk meningkatkan keamanan BRIAPI, kami juga menerapkan proses tokenisasi menggunakan OAuth 2.0. Fitur ini berfungsi sebagai proses otorisasi dalam menentukan hak akses aplikasi pihak ketiga.
Setelah mengimplementasikan beberapa security policy di atas, selanjutnya API akan kami deploy di platform Apigee dan API tersebut siap untuk diintegrasikan dengan aplikasi partner.
Proses integrasi API
Partner yang ingin mengintegrasikan aplikasinya dengan layanan BRIAPI harus melalui beberapa tahapan administrasi. Pertama, Unit Kerja BRI akan melakukan Know Your Customer (KYC) terhadap calon partner BRIAPI. Setelah proses KYC ini, partner dapat melakukan proses integrasi dengan produk API di sandbox BRIAPI. Jika proses development di sandbox telah selesai, partner diminta untuk mengirimkan dokumen-dokumen kelengkapan ke Unit Kerja yang bersangkutan. Kemudian, Unit Kerja akan mengajukan dokumen tersebut ke divisi DDB melalui developer portal. Divisi DDB akan melakukan pemeriksaan ulang dokumen dan melihat kesiapan sistem partner. Jika tidak ditemukan permasalahan, barulah partner bisa melanjutkan ke tahap produksi. Seluruh tahapan ini kami lakukan untuk memastikan kualitas aplikasi partner dan menghindari kemungkinan terjadinya kebocoran data dari aplikasi partner.
Selain berbagai upaya teknis dan nonteknis yang kami lakukan, kami juga akan melaksanakan review keamanan sistem secara berkala. Diantaranya, kami akan melakukan penetration test terhadap BRIAPI. Pada proses ini, kami akan meniru pola-pola serangan siber yang biasa terjadi untuk mengidentifikasi kelemahan pada sistem BRIAPI.
Sertifikasi keamanan
Untuk memberikan jaminan keamanan pada produk BRIAPI, produk digital ini juga telah kami lengkapi dengan sertifikasi keamanan ISO-27001 dan PA-DSS. Agar bisa memahami manfaat dari kedua sertifikasi keamanan tersebut secara lebih dalam, berikut penjelasan singkat mengenai kedua sertifikasi yang dimiliki BRIAPI:
ISO-27001
ISO-27001 merupakan standar internasional dalam penerapan Information Security Management System (ISMS) yang diterbitkan oleh International Organization for Standardization (ISO) dan International Electrotechnical Commission (IEC). Kepemilikan sertifikasi ISO-27001 ini membuktikan BRIAPI telah teruji dalam penerapan ISMS dan dapat menjaga keamanan data nasabah dengan baik. BRIAPI sendiri mendapatkan sertifikasi ini dari British Standards Institution (BSI), lembaga sertifikasi internasional yang berbasis di London, Inggris.
PA-DSS
Payment Application Data Security Standard (PA-DSS) adalah sebuah sertifikasi keamanan dari PCI Security Standard Council di Amerika Serikat yang diperuntukkan bagi aplikasi pembayaran yang menyimpan, memproses, maupun mentransmisikan data-data nasabah. Sertifikasi PA-DSS ini bertujuan untuk menurunkan risiko terjadinya fraud pada transaksi yang terjadi pada aplikasi pembayaran. BRIAPI sendiri mengimplementasikan sertifikasi PA-DSS ini pada produk API Direct Debit.
Perlu diketahui, BRIAPI merupakan penyedia layanan open API perbankan pertama di Asia Tenggara yang berhasil memperoleh sertifikasi PA-DSS. Hal ini melengkapi pencapaian BRIAPI yang sebelumnya telah berhasil menjadi penyedia open API pertama di Indonesia yang mendapatkan sertifikasi ISO-27001.
Atas berbagai upaya keamanan yang kami terapkan pada produk-produk BRI, di tahun 2019 BRI berhasil menjadi juara dunia di Cloudera Global Data Impact Award di New York untuk Data Security and Governance. Kedepannya, kami juga akan terus memperbarui fitur-fitur keamanan BRIAPI agar dapat mengantisipasi berbagai model serangan siber yang terus berkembang. Hal ini kami lakukan karena keamanan data nasabah merupakan prioritas utama kami di BRI.