PrivyID, StartUp Indonesia Pertama Raih ISO 27001
Di Indonesia, hanya perusahaan besar seperti bank, operator telekomunikasi (XL Axiata), lembaga pemerintah (OnlinePajak dari ditjen pajak), dan perusahaan asing (Google for Business dari Google) yang berhasil mendapatkan sertifikasi ISO 27001.
Nah, PT Privy Identitas Digital (PrivyID), kendati baru berdiri pada 2016 namun sudah lolos meraih ISO 27001. Tidak mengherankan kalau perusahaan pertama di Indonesia yang menyediakan jasa tanda tangan digital ini menjadi startup pertama di Indonesia yang lolos audit ISO 27001. Hal ini menjadi istimewa karena saat kebanyakan startup lain masih fokus pada ekspansi bisnis dan pemasaran, PrivyID justru fokus membenahi sistem keamanan datanya. Keseriusan startup tanda tangan digital ini dalam menjaga keamanan serta kerahasiaan data penggunanya terbukti dengan diberikannya sertifikat ISO/IEC 27001:2013 pada akhir Januari 2018 lalu.
Sertifikat ISO 27001:2013 adalah sebuah standar keamanan informasi yang diluncurkan pada September 2013 oleh International Organization for Standardization (ISO) dan International Elecrotechnical Commission (IEC). Kedua lembaga ini menetapkan sebuah standar sistem manajemen keamanan informasi atau yang biasa disebut dengan ISMS (Information Security Management System).
Perusahaan-perusahaan yang mendapatkan sertifikat ISO/IEC 27001:2013 berarti sudah teruji dan terbukti sukses memberlakukan standar ISMS dalam menjaga keamanan data perusahaannya. Tentu saja, hanya perusahaan yang lolos pengujian ketat oleh tim independen yang bisa memperoleh sertifikat ISO/IEC 27001:2013.
Ada tiga aspek yang wajib dimiliki oleh suatu perusahaan sebelum bisa mendapat sertifikat ISO/IEC 27001. Pertama, perusahaan mampu mengawasi secara sistematis risiko keamanan informasi. Kedua, mampu merancang dan mengimplementasikan kontrol keamanan. Ketiga, perusahaan memiliki proses manajemen yang menjamin kontrol keamanan informasi berjalan secara berkelanjutan seiring dengan kebutuhan dan perkembangan perusahaan
“Secara total, ada 14 annex yang terbagi menjadi 140 poin kontrol yang ditetapkan oleh ISO dan IEC. PrivyID harus bisa memahami seluruh poin yang ditetapkan, kemudian mengejar poin kontrol mana yang disyaratkan tapi belum kami jalankan,” ujar Marshall Pribadi, CEO & Founder dari PrivyID.
Menurut Marshall, setelah PrivyID berhasil meraih sertifikasi ISO/IEC 27001, perusahaan yang berbisnis dengan Privy tidak perlu khawatir dengan keamanan data mereka. “Sekarang standar keamanan Privy sudah diakui oleh lembaga internasional setara dengan standar keamanan ditjen pajak, bahkan perusahaan sekelas Google,” tambah Marshall.
Proses pengujiannya sendiri berlangsung selama 20 minggu dan terbagi menjadi 4 tahapan, termasuk menjalankan internal audit dan external audit yang dilakukan oleh TUV Rheinland Indonesia, auditor swasta bertaraf internasional yang bergerak di bidang jasa teknikal inspeksi, pengujian, dan sertifikasi.
Ajisatria Suleiman, Direktur Eksekutif Asosiasi Fintech Indonesia, membenarkan bahwa proses audit ISO 27001 tidak mudah. “Sejak beberapa bulan terakhir memang ada upaya dari Otoritas Jasa Keuangan agar perusahaan fintech yang bergerak di bidang lending segera mendapatkan ISO 27001, namun praktiknya sulit karena butuh banyak perombakan di proses bisnis dan struktur perusahaan,” ujar Aji. PrivyID bisa menjadi contoh bagaimana startup Indonesia sebenarnya mampu memenuhi standar kemanan tingkat internasional.
Saat ini, layanan tanda tangan digital PrivyID sudah digunakan oleh lebih dari 20 perusahaan besar seperti Telkom Indonesia, Bank Mandiri, BNI, dan sejumlah perusahaan pembiayaan seperti Kreditplus, Bussan Auto Finance dan Koinworks.
PrivyID juga sudah dipercaya mendapat pendanaan dari Mandiri Capital Indonesia dan Mitra Digital Innovation, anak usaha Telkom di bidang modal ventura.
Dede Suryadi