PP No 82 / 2012, sudah Anda siap ?



PP No. 82 tahun 2012 merupakan turunan dari UU No. 11/2008 yang mengatur tentang rangkaian penyelenggaraan sistem dan transaksi elektronik untuk menjamin Sistem Elektronik beroperasi sebagaimana mestinya. Peraturan Pemerintah ini mengatur kewajiban Penyelenggara Sistem Elektronik pada umumnya dan Penyelenggara Sistem Elektronik untuk pelayanan publik. Penyelenggara Sistem Elektronik untuk pelayanan publik, antara lain diwajibkan untuk menempatkan pusat data dan pusat pemulihan bencana di wilayah Indonesia, wajib memperoleh Sertifikasi Kelaikan Sistem Elektronik dari Menteri, dan wajib terdaftar pada kementerian yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika.

Pada pasal 87 disebutkan "Pada saat peraturan pemerintah ini mulai berlaku, Penyelenggara Sistem Elektronik yang telah beroperasi sebelum berlakunya Peraturan Pemerintah ini, wajib menyesuaikan dengan Peraturan Pemerintah ini dalam jangka waktu paling lama 5 (lima) tahun sejak berlakunya Peraturan Pemerintah ini".

Beberapa pasal dalam PP No. 82 yang terkait dengan operasional LPSE selaku pengelola dan penyelenggaran sistem pengadaan secara elektronik, antara lain :

Pasal 1
1. Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik.

2. Transaksi Elektronik adalah perbuatan hukum yang dilakukan dengan menggunakan Komputer, jaringan Komputer, dan/atau media elektronik lainnya.

4. Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain.

9. Pengguna Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang memanfaatkan barang, jasa, fasilitas, atau informasi yang disediakan oleh Penyelenggara Sistem Elektronik.

14. Penyelenggaraan Transaksi Elektronik adalah rangkaian kegiatan Transaksi Elektronik yang dilakukan oleh Pengirim dan Penerima dengan menggunakan Sistem Elektronik.

Pasal 3
(2) Penyelenggaraan Sistem Elektronik sebagaimana dimaksud pada ayat (1) dapat dilakukan untuk:
a. pelayanan publik; dan
b. nonpelayanan publik.

Pasal 5
(1) Penyelenggara Sistem Elektronik untuk pelayanan publik wajib melakukan pendaftaran.
(3) Kewajiban pendaftaran bagi Penyelenggara Sistem Elektronik untuk pelayanan publik sebagaimana dimaksud pada ayat (1) dilakukan sebelum Sistem Elektronik mulai digunakan publik.

Pasal 6
(2) Penyelenggara Sistem Elektronik wajib memastikan netralitas teknologi dan kebebasan memilih dalam penggunaan Perangkat Keras.

Pasal 9
(1) Penyelenggara Sistem Elektronik wajib menjamin kerahasiaan kode sumber Perangkat Lunak yang digunakan.
(2) Terhadap kode sumber sebagaimana dimaksud pada ayat (1) dapat dilakukan pemeriksaan apabila diperlukan untuk kepentingan penyidikan.

Pasal 10
(1) Tenaga ahli yang digunakan oleh Penyelenggara Sistem Elektronik harus memiliki kompetensi di bidang Sistem Elektronik atau Teknologi Informasi.
Yang dimaksud dengan “tenaga ahli” adalah tenaga yang memiliki pengetahuan dan keterampilan khusus dalam bidang Sistem Elektronik yang dapat dipertanggungjawabkan secara akademis maupun praktis.

(2) Tenaga ahli sebagaimana dimaksud pada ayat (1) wajib memiliki sertifikat keahlian.

Pasal 12
(1) Penyelenggara Sistem Elektronik wajib menjamin:
     a. tersedianya perjanjian tingkat layanan;
Yang dimaksud dengan “perjanjian tingkat layanan (service level agreement)” adalah pernyataan mengenai tingkatan mutu layanan suatu Sistem Elektronik.
     b. tersedianya perjanjian keamanan informasi terhadap jasa layanan Teknologi Informasi yang digunakan; dan
     c. keamanan informasi dan sarana komunikasi internal yang diselenggarakan.
(2) Penyelenggara Sistem Elektronik sebagaimana dimaksud pada ayat (1) wajib menjamin setiap komponen dan keterpaduan seluruh Sistem Elektronik beroperasi sebagaimana mestinya.

Pasal 13
Penyelenggara Sistem Elektronik wajib menerapkan manajemen risiko terhadap kerusakan atau kerugian yang ditimbulkan.
Yang dimaksud dengan “menerapkan manajemen risiko” adalah melakukan analisis risiko dan merumuskan langkah mitigasi dan penanggulangan untuk mengatasi ancaman, gangguan, dan hambatan terhadap Sistem Elektronik yang dikelolanya.

Pasal 14
(1) Penyelenggara Sistem Elektronik wajib memiliki kebijakan tata kelola, prosedur kerja pengoperasian, dan mekanisme audit yang dilakukan berkala terhadap Sistem Elektronik.
Yang dimaksud dengan ’’kebijakan tata kelola” antara lain, termasuk kebijakan mengenai kegiatan membangun struktur organisasi, proses bisnis (business process), manajemen kinerja, dan menyediakan personel pendukung pengoperasian Sistem Elektronik untuk memastikan Sistem Elektronik dapat beroperasi sebagaimana mestinya.

Pasal 15
(1) Penyelenggara Sistem Elektronik wajib:
     a. menjaga rahasia, keutuhan, dan ketersediaan Data Pribadi yang dikelolanya;
     b. menjamin bahwa perolehan, penggunaan, dan pemanfaatan Data Pribadi berdasarkan persetujuan pemilik Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan
     c. menjamin penggunaan atau pengungkapan data dilakukan berdasarkan persetujuan dari pemilik Data Pribadi tersebut dan sesuai dengan tujuan yang disampaikan kepada pemilik Data Pribadi pada saat perolehan data.

(2) Jika terjadi kegagalan dalam perlindungan rahasia Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut.

Pasal 16
(1) Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menerapkan tata kelola yang baik dan akuntabel.
Tata kelola Sistem Elektronik yang baik (IT Governance) mencakup proses perencanaan, pengimplementasian, pengoperasian, pemeliharaan, dan pendokumentasian.
(2) Tata kelola sebagaimana dimaksud pada ayat (1) paling sedikit memenuhi persyaratan:
      a. tersedianya prosedur atau petunjuk dalam Penyelenggaraan Sistem Elektronik yang didokumentasikan dan/atau diumumkan dengan bahasa, informasi, atau simbol yang dimengerti oleh pihak yang terkait dengan Penyelenggaraan Sistem Elektronik tersebut;
     b. adanya mekanisme yang berkelanjutan untuk menjaga kebaruan dan kejelasan prosedur pedoman pelaksanaan;
    c. adanya kelembagaan dan kelengkapan personel pendukung bagi pengoperasian Sistem Elektronik sebagaimana mestinya;
   d. adanya penerapan manajemen kinerja pada Sistem Elektronik yang diselenggarakannya untuk memastikan Sistem Elektronik beroperasi sebagaimana mestinya; dan
   e. adanya rencana menjaga keberlangsungan Penyelenggaraan Sistem Elektronik yang dikelolanya.

Pasal 17
(1) Penyelenggara Sistem Elektronik untuk pelayanan publik wajib memiliki rencana keberlangsungan kegiatan untuk menanggulangi gangguan atau bencana sesuai dengan risiko dari dampak yang ditimbulkannya.
Yang dimaksud dengan “rencana keberlangsungan kegiatan (business continuity plan)” adalah suatu rangkaian proses yang dilakukan untuk memastikan terus berlangsungnya kegiatan dalam kondisi mendapatkan gangguan atau bencana.

(2) Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menempatkan pusat data dan pusat pemulihan bencana di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan, dan penegakan kedaulatan negara terhadap data warga negaranya.
Yang dimaksud dengan “pusat data (data center)” adalah suatu fasilitas yang digunakan untuk menempatkan Sistem Elektronik dan komponen terkaitnya untuk keperluan penempatan, penyimpanan, dan pengolahan data.
Yang dimaksud dengan “pusat pemulihan bencana (disaster recovery center)” adalah suatu fasilitas yang digunakan untuk memulihkan kembali data atau informasi serta fungsi-fungsi penting Sistem Elektronik yang terganggu atau rusak akibat terjadinya bencana yang disebabkan oleh alam atau manusia.

Pasal 18
(1) Penyelenggara Sistem Elektronik wajib menyediakan rekam jejak audit terhadap seluruh kegiatan Penyelenggaraan Sistem Elektronik.
Mekanisme rekam jejak audit (audit trail) meliputi antara lain:
a. memelihara log transaksi sesuai kebijakan retensi data penyelenggara, sesuai ketentuan peraturan perundang-undangan;
b. memberikan notifikasi kepada konsumen apabila suatu transaksi telah berhasil dilakukan;
c. memastikan tersedianya fungsi jejak audit untuk dapat mendeteksi usaha dan/atau terjadinya penyusupan yang harus di-review atau dievaluasi secara berkala; dan
d. dalam hal sistem pemrosesan dan jejak audit merupakan tanggung jawab pihak ketiga, maka proses jejak audit tersebut harus sesuai dengan standar yang ditetapkan oleh Penyelenggara Sistem Elektronik.


(2) Rekam jejak audit sebagaimana dimaksud pada ayat (1) digunakan untuk keperluan pengawasan, penegakan hukum, penyelesaian sengketa, verifikasi, pengujian, dan pemeriksaan lainnya.
Yang dimaksud dengan “pemeriksaan lainnya” antara lain pemeriksaan untuk keperluan mitigasi atau penanganan tanggap darurat (incident response).

Pasal 19
Penyelenggara Sistem Elektronik wajib melakukan pengamanan terhadap komponen Sistem Elektronik.

Pasal 20
(1) Penyelenggara Sistem Elektronik wajib memiliki dan menjalankan prosedur dan sarana untuk pengamanan Sistem Elektronik dalam menghindari gangguan, kegagalan, dan kerugian.
Yang dimaksud dengan ”gangguan” adalah setiap tindakan yang bersifat destruktif atau berdampak serius terhadap Sistem Elektronik sehingga Sistem Elektronik tersebut tidak bekerja sebagaimana mestinya.
Yang dimaksud dengan ”kegagalan” adalah terhentinya sebagian atau seluruh fungsi Sistem Elektronik yang bersifat esensial sehingga Sistem Elektronik tidak berfungsi sebagaimana mestinya.
Yang dimaksud dengan ”kerugian” adalah dampak atas kerusakan Sistem Elektronik yang mempunyai akibat hukum bagi pengguna, penyelenggara, dan pihak ketiga lainnya baik materil maupun immateril.

(2) Penyelenggara Sistem Elektronik wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian.
Yang dimaksud dengan ”sistem pencegahan dan penanggulangan” antara lain antivirus, anti spamming, firewall, intrusion detection, prevention system, dan/atau pengelolaan sistem manajemen keamanan informasi.
(3) Dalam hal terjadi kegagalan atau gangguan sistem yang berdampak serius sebagai akibat perbuatan dari pihak lain terhadap Sistem Elektronik, Penyelenggara Sistem Elektronik wajib mengamankan data dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum atau Instansi Pengawas dan Pengatur Sektor terkait.

Pasal 21
Penyelenggara Sistem Elektronik wajib menampilkan kembali Informasi Elektronik dan/atau Dokumen Elektronik secara utuh sesuai dengan format dan masa retensi yang ditetapkan berdasarkan ketentuan peraturan perundang-undangan.


Pasal 22
(1) Penyelenggara Sistem Elektronik wajib menjaga kerahasiaan, keutuhan, keautentikan, keteraksesan, ketersediaan, dan dapat ditelusurinya suatu Informasi Elektronik dan/atau Dokumen Elektronik sesuai dengan ketentuan peraturan perundang-undangan.
(2) Dalam penyelenggaraan Sistem Elektronik yang ditujukan untuk Informasi Elektronik dan/atau Dokumen Elektronik yang dapat dipindahtangankan, Informasi Elektronik dan/atau Dokumen Elektronik harus unik serta menjelaskan penguasaan dan kepemilikannya.

Yang dimaksud dengan “Informasi Elektronik dan/atau Dokumen Elektronik yang dapat dipindahtangankan” adalah surat berharga atau surat yang berharga dalam bentuk elektronik.

Yang dimaksud dengan “Informasi Elektronik dan/atau Dokumen Elektronik harus unik” adalah Informasi Elektronik dan/atau Dokumen Elektronik dan/atau pencatatan Informasi dan/atau Dokumen Elektronik tersebut merupakan satu-satunya yang merepresentasikan satu nilai tertentu.

Yang dimaksud dengan “Informasi Elektronik dan/atau Dokumen Elektronik harus menjelaskan penguasaan” adalah Informasi Elektronik dan/atau Dokumen Elektronik tersebut harus menjelaskan sifat penguasaan yang direpresentasikan dengan sistem kontrol atau sistem pencatatan atas Informasi Elektronik dan/atau Dokumen Elektronik yang bersangkutan.

Yang dimaksud dengan “Informasi Elektronik dan/atau Dokumen Elektronik harus menjelaskan kepemilikan” adalah Informasi Elektronik dan/atau Dokumen Elektronik tersebut harus menjelaskan sifat kepemilikan yang direpresentasikan oleh adanya sarana kontrol teknologi yang menjamin hanya ada satu salinan yang sah (single authoritative copy) dan tidak berubah.

Pasal 23
Penyelenggara Sistem Elektronik harus menjamin berfungsinya Sistem Elektronik sesuai dengan peruntukannya, dengan tetap memperhatikan interoperabilitas dan kompatibilitas dengan Sistem Elektronik sebelumnya dan/atau Sistem Elektronik yang terkait.

Yang dimaksud dengan “interoperabilitas” adalah kemampuan Sistem Elektronik yang berbeda untuk dapat bekerja secara terpadu.
Yang dimaksud dengan ”kompatibilitas” adalah kesesuaian Sistem Elektronik yang satu dengan Sistem Elektronik yang lainnya.

Pasal 24
(1) Penyelenggara Sistem Elektronik wajib melakukan edukasi kepada Pengguna Sistem Elektronik.
(2) Edukasi sebagaimana dimaksud pada ayat (1) paling sedikit mengenai hak, kewajiban dan tanggung jawab seluruh pihak terkait, serta prosedur pengajuan komplain.

Contoh edukasi yang dapat disampaikan kepada Pengguna Sistem Elektronik adalah:
a. menyampaikan kepada Pengguna Sistem Elektronik akan pentingnya menjaga keamanan Personal Identification Number (PIN)/password misalnya:
1. merahasiakan dan tidak memberitahukan PIN/password kepada siapapun termasuk kepada petugas penyelenggara;
2. melakukan perubahan PIN/password secara berkala;
3. menggunakan PIN/password yang tidak mudah ditebak (penggunaan identitas pribadi seperti tanggal lahir);
4. tidak mencatat PIN/password; dan
5. PIN untuk satu produk hendaknya berbeda dari PIN produk lainnya.
b. menyampaikan kepada Pengguna Sistem Elektronik mengenai berbagai modus kejahatan Transaksi Elektronik; dan
c. menyampaikan kepada Pengguna Sistem Elektronik mengenai prosedur dan tata cara pengajuan klaim.

Pasal 25
Penyelenggara Sistem Elektronik wajib menyampaikan informasi kepada Pengguna Sistem Elektronik paling sedikit mengenai:
a. identitas Penyelenggara Sistem Elektronik;
b. objek yang ditransaksikan;
c. kelaikan atau keamanan Sistem Elektronik;
d. tata cara penggunaan perangkat;
e. syarat kontrak;
f. prosedur mencapai kesepakatan; dan
g. jaminan privasi dan/atau perlindungan Data Pribadi.
Kewajiban menyampaikan informasi kepada Pengguna Sistem Elektronik dimaksudkan untuk melindungi kepentingan Pengguna Sistem Elektronik.

Pasal 26
(1) Penyelenggara Sistem Elektronik wajib menyediakan fitur sesuai dengan karakteristik Sistem Elektronik yang digunakannya.
Penyediaan fitur dimaksudkan untuk melindungi hak atau kepentingan Pengguna Sistem Elektronik.

(2) Fitur sebagaimana dimaksud pada ayat (1) paling sedikit berupa fasilitas untuk:
a. melakukan koreksi;
b. membatalkan perintah;
c. memberikan konfirmasi atau rekonfirmasi;
d. memilih meneruskan atau berhenti melaksanakan aktivitas berikutnya;
e. melihat informasi yang disampaikan berupa tawaran kontrak atau iklan;
f. mengecek status berhasil atau gagalnya transaksi; dan
g. membaca perjanjian sebelum melakukan transaksi.

Pasal 27
Penyelenggara Sistem Elektronik wajib melindungi penggunanya dan masyarakat luas dari kerugian yang ditimbulkan oleh Sistem Elektronik yang diselenggarakannya.

Pasal 28
(1) Setiap orang yang bekerja di lingkungan penyelenggaraan Sistem Elektronik wajib mengamankan dan melindungi sarana dan prasarana Sistem Elektronik atau informasi yang disalurkan melalui Sistem Elektronik.
(2) Penyelenggara Sistem Elektronik wajib menyediakan, mendidik, dan melatih personel yang bertugas dan bertanggung jawab terhadap pengamanan dan perlindungan sarana dan prasarana Sistem Elektronik.

Pasal 29
Untuk keperluan proses peradilan pidana, Penyelenggara Sistem Elektronik wajib memberikan informasi yang terdapat di dalam Sistem Elektronik atau informasi yang dihasilkan oleh Sistem Elektronik atas permintaan yang sah dari penyidik untuk tindak pidana tertentu sesuai dengan kewenangan yang diatur dalam undang-undang.

Sesuai dengan pengetahuan yang saya miliki, Insya Allah akan saya ulas contoh-contoh praktis penerapannya.

Download PP No.82/2012

     b. tersedianya perjanjian keamanan informasi terhadap jasa layanan Teknologi Informasi yang digunakan; dan
     c. keamanan informasi dan sarana komunikasi internal yang diselenggarakan.
(2) Penyelenggara Sistem Elektronik sebagaimana dimaksud pada ayat (1) wajib menjamin setiap komponen dan keterpaduan seluruh Sistem Elektronik beroperasi sebagaimana mestinya.

Pasal 13
Penyelenggara Sistem Elektronik wajib menerapkan manajemen risiko terhadap kerusakan atau kerugian yang ditimbulkan.
Yang dimaksud dengan “menerapkan manajemen risiko” adalah melakukan analisis risiko dan merumuskan langkah mitigasi dan penanggulangan untuk mengatasi ancaman, gangguan, dan hambatan terhadap Sistem Elektronik yang dikelolanya.

Pasal 14
(1) Penyelenggara Sistem Elektronik wajib memiliki kebijakan tata kelola, prosedur kerja pengoperasian, dan mekanisme audit yang dilakukan berkala terhadap Sistem Elektronik.
Yang dimaksud dengan ’’kebijakan tata kelola” antara lain, termasuk kebijakan mengenai kegiatan membangun struktur organisasi, proses bisnis (business process), manajemen kinerja, dan menyediakan personel pendukung pengoperasian Sistem Elektronik untuk memastikan Sistem Elektronik dapat beroperasi sebagaimana mestinya.

Pasal 15
(1) Penyelenggara Sistem Elektronik wajib:
     a. menjaga rahasia, keutuhan, dan ketersediaan Data Pribadi yang dikelolanya;
     b. menjamin bahwa perolehan, penggunaan, dan pemanfaatan Data Pribadi berdasarkan persetujuan pemilik Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan
     c. menjamin penggunaan atau pengungkapan data dilakukan berdasarkan persetujuan dari pemilik Data Pribadi tersebut dan sesuai dengan tujuan yang disampaikan kepada pemilik Data Pribadi pada saat perolehan data.

(2) Jika terjadi kegagalan dalam perlindungan rahasia Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut.

Pasal 16
(1) Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menerapkan tata kelola yang baik dan akuntabel.
Tata kelola Sistem Elektronik yang baik (IT Governance) mencakup proses perencanaan, pengimplementasian, pengoperasian, pemeliharaan, dan pendokumentasian.

(2) Tata kelola sebagaimana dimaksud pada ayat (1) paling sedikit memenuhi persyaratan:
      a. tersedianya prosedur atau petunjuk dalam Penyelenggaraan Sistem Elektronik yang didokumentasikan dan/atau diumumkan dengan bahasa, informasi, atau simbol yang dimengerti oleh pihak yang terkait dengan Penyelenggaraan Sistem Elektronik tersebut;
     b. adanya mekanisme yang berkelanjutan untuk menjaga kebaruan dan kejelasan prosedur pedoman pelaksanaan;
    c. adanya kelembagaan dan kelengkapan personel pendukung bagi pengoperasian Sistem Elektronik sebagaimana mestinya;
   d. adanya penerapan manajemen kinerja pada Sistem Elektronik yang diselenggarakannya untuk memastikan Sistem Elektronik beroperasi sebagaimana mestinya; dan
   e. adanya rencana menjaga keberlangsungan Penyelenggaraan Sistem Elektronik yang dikelolanya.

Pasal 17
(1) Penyelenggara Sistem Elektronik untuk pelayanan publik wajib memiliki rencana keberlangsungan kegiatan untuk menanggulangi gangguan atau bencana sesuai dengan risiko dari dampak yang ditimbulkannya.
Yang dimaksud dengan “rencana keberlangsungan kegiatan (business continuity plan)” adalah suatu rangkaian proses yang dilakukan untuk memastikan terus berlangsungnya kegiatan dalam kondisi mendapatkan gangguan atau bencana.

(2) Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menempatkan pusat data dan pusat pemulihan bencana di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan, dan penegakan kedaulatan negara terhadap data warga negaranya.
Yang dimaksud dengan “pusat data (data center)” adalah suatu fasilitas yang digunakan untuk menempatkan Sistem Elektronik dan komponen terkaitnya untuk keperluan penempatan, penyimpanan, dan pengolahan data.
Yang dimaksud dengan “pusat pemulihan bencana (disaster recovery center)” adalah suatu fasilitas yang digunakan untuk memulihkan kembali data atau informasi serta fungsi-fungsi penting Sistem Elektronik yang terganggu atau rusak akibat terjadinya bencana yang disebabkan oleh alam atau manusia.

Pasal 18
(1) Penyelenggara Sistem Elektronik wajib menyediakan rekam jejak audit terhadap seluruh kegiatan Penyelenggaraan Sistem Elektronik.
Mekanisme rekam jejak audit (audit trail) meliputi antara lain:
a. memelihara log transaksi sesuai kebijakan retensi data penyelenggara, sesuai ketentuan peraturan perundang-undangan;
b. memberikan notifikasi kepada konsumen apabila suatu transaksi telah berhasil dilakukan;
c. memastikan tersedianya fungsi jejak audit untuk dapat mendeteksi usaha dan/atau terjadinya penyusupan yang harus di-review atau dievaluasi secara berkala; dan
d. dalam hal sistem pemrosesan dan jejak audit merupakan tanggung jawab pihak ketiga, maka proses jejak audit tersebut harus sesuai dengan standar yang ditetapkan oleh Penyelenggara Sistem Elektronik.


(2) Rekam jejak audit sebagaimana dimaksud pada ayat (1) digunakan untuk keperluan pengawasan, penegakan hukum, penyelesaian sengketa, verifikasi, pengujian, dan pemeriksaan lainnya.
Yang dimaksud dengan “pemeriksaan lainnya” antara lain pemeriksaan untuk keperluan mitigasi atau penanganan tanggap darurat (incident response).

Pasal 19
Penyelenggara Sistem Elektronik wajib melakukan pengamanan terhadap komponen Sistem Elektronik.

Pasal 20
(1) Penyelenggara Sistem Elektronik wajib memiliki dan menjalankan prosedur dan sarana untuk pengamanan Sistem Elektronik dalam menghindari gangguan, kegagalan, dan kerugian.
Yang dimaksud dengan ”gangguan” adalah setiap tindakan yang bersifat destruktif atau berdampak serius terhadap Sistem Elektronik sehingga Sistem Elektronik tersebut tidak bekerja sebagaimana mestinya.
Yang dimaksud dengan ”kegagalan” adalah terhentinya sebagian atau seluruh fungsi Sistem Elektronik yang bersifat esensial sehingga Sistem Elektronik tidak berfungsi sebagaimana mestinya.
Yang dimaksud dengan ”kerugian” adalah dampak atas kerusakan Sistem Elektronik yang mempunyai akibat hukum bagi pengguna, penyelenggara, dan pihak ketiga lainnya baik materil maupun immateril.

(2) Penyelenggara Sistem Elektronik wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian.
Yang dimaksud dengan ”sistem pencegahan dan penanggulangan” antara lain antivirus, anti spamming, firewall, intrusion detection, prevention system, dan/atau pengelolaan sistem manajemen keamanan informasi.
(3) Dalam hal terjadi kegagalan atau gangguan sistem yang berdampak serius sebagai akibat perbuatan dari pihak lain terhadap Sistem Elektronik, Penyelenggara Sistem Elektronik wajib mengamankan data dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum atau Instansi Pengawas dan Pengatur Sektor terkait.

Pasal 21
Penyelenggara Sistem Elektronik wajib menampilkan kembali Informasi Elektronik dan/atau Dokumen Elektronik secara utuh sesuai dengan format dan masa retensi yang ditetapkan berdasarkan ketentuan peraturan perundang-undangan.


Pasal 22
(1) Penyelenggara Sistem Elektronik wajib menjaga kerahasiaan, keutuhan, keautentikan, keteraksesan, ketersediaan, dan dapat ditelusurinya suatu Informasi Elektronik dan/atau Dokumen Elektronik sesuai dengan ketentuan peraturan perundang-undangan.
(2) Dalam penyelenggaraan Sistem Elektronik yang ditujukan untuk Informasi Elektronik dan/atau Dokumen Elektronik yang dapat dipindahtangankan, Informasi Elektronik dan/atau Dokumen Elektronik harus unik serta menjelaskan penguasaan dan kepemilikannya.

Yang dimaksud dengan “Informasi Elektronik dan/atau Dokumen Elektronik yang dapat dipindahtangankan” adalah surat berharga atau surat yang berharga dalam bentuk elektronik.

Yang dimaksud dengan “Informasi Elektronik dan/atau Dokumen Elektronik harus unik” adalah Informasi Elektronik dan/atau Dokumen Elektronik dan/atau pencatatan Informasi dan/atau Dokumen Elektronik tersebut merupakan satu-satunya yang merepresentasikan satu nilai tertentu.

Yang dimaksud dengan “Informasi Elektronik dan/atau Dokumen Elektronik harus menjelaskan penguasaan” adalah Informasi Elektronik dan/atau Dokumen Elektronik tersebut harus menjelaskan sifat penguasaan yang direpresentasikan dengan sistem kontrol atau sistem pencatatan atas Informasi Elektronik dan/atau Dokumen Elektronik yang bersangkutan.

Yang dimaksud dengan “Informasi Elektronik dan/atau Dokumen Elektronik harus menjelaskan kepemilikan” adalah Informasi Elektronik dan/atau Dokumen Elektronik tersebut harus menjelaskan sifat kepemilikan yang direpresentasikan oleh adanya sarana kontrol teknologi yang menjamin hanya ada satu salinan yang sah (single authoritative copy) dan tidak berubah.

Pasal 23
Penyelenggara Sistem Elektronik harus menjamin berfungsinya Sistem Elektronik sesuai dengan peruntukannya, dengan tetap memperhatikan interoperabilitas dan kompatibilitas dengan Sistem Elektronik sebelumnya dan/atau Sistem Elektronik yang terkait.

Yang dimaksud dengan “interoperabilitas” adalah kemampuan Sistem Elektronik yang berbeda untuk dapat bekerja secara terpadu.
Yang dimaksud dengan ”kompatibilitas” adalah kesesuaian Sistem Elektronik yang satu dengan Sistem Elektronik yang lainnya.

Pasal 24
(1) Penyelenggara Sistem Elektronik wajib melakukan edukasi kepada Pengguna Sistem Elektronik.
(2) Edukasi sebagaimana dimaksud pada ayat (1) paling sedikit mengenai hak, kewajiban dan tanggung jawab seluruh pihak terkait, serta prosedur pengajuan komplain.

Contoh edukasi yang dapat disampaikan kepada Pengguna Sistem Elektronik adalah:
a. menyampaikan kepada Pengguna Sistem Elektronik akan pentingnya menjaga keamanan Personal Identification Number (PIN)/password misalnya:
1. merahasiakan dan tidak memberitahukan PIN/password kepada siapapun termasuk kepada petugas penyelenggara;
2. melakukan perubahan PIN/password secara berkala;
3. menggunakan PIN/password yang tidak mudah ditebak (penggunaan identitas pribadi seperti tanggal lahir);
4. tidak mencatat PIN/password; dan
5. PIN untuk satu produk hendaknya berbeda dari PIN produk lainnya.
b. menyampaikan kepada Pengguna Sistem Elektronik mengenai berbagai modus kejahatan Transaksi Elektronik; dan
c. menyampaikan kepada Pengguna Sistem Elektronik mengenai prosedur dan tata cara pengajuan klaim.

Pasal 25
Penyelenggara Sistem Elektronik wajib menyampaikan informasi kepada Pengguna Sistem Elektronik paling sedikit mengenai:
a. identitas Penyelenggara Sistem Elektronik;
b. objek yang ditransaksikan;
c. kelaikan atau keamanan Sistem Elektronik;
d. tata cara penggunaan perangkat;
e. syarat kontrak;
f. prosedur mencapai kesepakatan; dan
g. jaminan privasi dan/atau perlindungan Data Pribadi.
Kewajiban menyampaikan informasi kepada Pengguna Sistem Elektronik dimaksudkan untuk melindungi kepentingan Pengguna Sistem Elektronik.

Pasal 26
(1) Penyelenggara Sistem Elektronik wajib menyediakan fitur sesuai dengan karakteristik Sistem Elektronik yang digunakannya.
Penyediaan fitur dimaksudkan untuk melindungi hak atau kepentingan Pengguna Sistem Elektronik.

(2) Fitur sebagaimana dimaksud pada ayat (1) paling sedikit berupa fasilitas untuk:
a. melakukan koreksi;
b. membatalkan perintah;
c. memberikan konfirmasi atau rekonfirmasi;
d. memilih meneruskan atau berhenti melaksanakan aktivitas berikutnya;
e. melihat informasi yang disampaikan berupa tawaran kontrak atau iklan;
f. mengecek status berhasil atau gagalnya transaksi; dan
g. membaca perjanjian sebelum melakukan transaksi.

Pasal 27
Penyelenggara Sistem Elektronik wajib melindungi penggunanya dan masyarakat luas dari kerugian yang ditimbulkan oleh Sistem Elektronik yang diselenggarakannya.

Pasal 28
(1) Setiap orang yang bekerja di lingkungan penyelenggaraan Sistem Elektronik wajib mengamankan dan melindungi sarana dan prasarana Sistem Elektronik atau informasi yang disalurkan melalui Sistem Elektronik.
(2) Penyelenggara Sistem Elektronik wajib menyediakan, mendidik, dan melatih personel yang bertugas dan bertanggung jawab terhadap pengamanan dan perlindungan sarana dan prasarana Sistem Elektronik.

Pasal 29
Untuk keperluan proses peradilan pidana, Penyelenggara Sistem Elektronik wajib memberikan informasi yang terdapat di dalam Sistem Elektronik atau informasi yang dihasilkan oleh Sistem Elektronik atas permintaan yang sah dari penyidik untuk tindak pidana tertentu sesuai dengan kewenangan yang diatur dalam undang-undang.