Anggie Ariesta
IDXChannel – Penerapan sistem Payment ID oleh Bank Indonesia (BI) dinilai membawa peluang besar dalam mengintegrasikan data keuangan nasabah secara agregat. Namun, juga memunculkan potensi risiko terhadap keamanan data pribadi.
Pengamat Perbankan dan Praktisi Sistem Pembayaran Arianto Muditomo mengatakan, sistem Payment ID yang berbentuk kode unik hasil pemrosesan data nasabah, seperti NIK dan rekam transaksi, dirancang untuk mempermudah pembentukan profil risiko keuangan, memitigasi fraud, serta melindungi penyedia jasa pembayaran (PJP) dari risiko kredit.
Namun, meski data yang diproses tidak langsung mengekspos informasi pribadi, keterkaitannya dengan NIK tetap menimbulkan potensi ancaman terhadap privasi pengguna.
“Risiko yang mengintai antara lain kebocoran data (data breach), penggunaan data di luar tujuan awal (function creep), serta profiling nasabah secara masif. Karena itu, sistem ini wajib tunduk pada UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi dan disertai tata kelola yang ketat,” ujarnya kepada IDXChannel, Senin (21/7/2025).
Arianto menerangkan, tata kelola tersebut harus mencakup pembatasan akses data, penerapan audit log, dan pengawasan ketat terhadap alur pertukaran informasi di seluruh ekosistem pembayaran digital.
Mengenai aspek perlindungan data, Arianto mengakui BI dan PJP telah menerapkan standar keamanan seperti ISO/IEC 27001 dan PCI-DSS untuk melindungi sistem Payment ID.
Namun, kata dia, potensi risiko tetap tinggi karena keterhubungan sistem ini dengan berbagai platform, mulai dari perbankan hingga dompet digital, membuatnya menjadi target bernilai tinggi bagi pelaku kejahatan siber.
“Keamanan tidak cukup hanya dari sisi teknologi. Diperlukan penguatan governance, seperti penerapan arsitektur Zero Trust, audit independen secara berkala, pelaporan insiden siber, dan sistem pertanggungjawaban hukum sesuai UU PDP dan regulasi keamanan siber OJK,” katanya.
Terkait isu potensi penyalahgunaan data oleh pihak ketiga, Arianto mengingatkan, meskipun Payment ID berbasis persetujuan (consent) nasabah, praktik di berbagai negara seperti India dan Singapura menunjukkan bahwa risiko pelanggaran tetap ada. Hal ini terutama terjadi saat pengguna memberikan persetujuan tanpa memahami sepenuhnya ruang lingkup pemanfaatan data.
“Penting untuk memastikan adanya mekanisme pencabutan consent, audit trail yang transparan, serta pengendalian akses berbasis tujuan (purpose-based access control), agar prinsip privacy by design benar-benar diterapkan,” kata dia.
Arianto menegaskan, keberhasilan implementasi Payment ID tidak hanya bergantung pada teknologi, tetapi juga pada akuntabilitas, transparansi, dan keterlibatan publik dalam pengawasan. Hal ini menjadi krusial di tengah upaya digitalisasi sistem keuangan nasional yang kian masif.
Hingga berita ini dibuat, Bank Indonesia (BI) belum memberikan komentar lebih lanjut mengenai isu-isu keamanan dan tata kelola data dalam implementasi Payment ID.
(Dhera Arizona)
