Bisnis Strategis dengan Membangun Payment Gateway Mandiri

Dokumen Perencanaan Strategis & Teknis

Untuk: Pengembangan Infrastruktur Finansial 2026

Versi: 1.0.0 (Enterprise Edition)

Document Key

Perencanaan Perusahaan
Langkah Konkret Pembangunan
Rincian Perencanaan Infrastruktur
Manajemen dan Struktur Operasional
Estimasi Biaya
Rangkuman & Kesimpulan Strategis
Lampiran Dokumen Teknis

Alur Transaksi QRIS
Alur Transaksi e-Wallet
Alur Transaksi Virtual Account
Rencana Mitigasi Risiko Operasional
SOP: Monitoring Keamanan Sistem Informasi
Mockup Dashboard Monitoring

Bisnis Strategis dengan Membangun Payment Gateway Mandiri

By: Ong Eng Lapanlapan

Perkembangan tools open-source dan framework API perbankan sejak tahun 2025 telah mengubah peta kekuatan finansial digital. Teknologi ini mempermudah pembuatan platform personal yang sebelumnya hanya bisa diakses oleh korporasi besar.

            Keunggulannya jelas: Anda menghindari biaya transaksi berlapis dan memiliki kebebasan penuh untuk mendesain UX yang selaras dengan identitas brand Anda.
        

Dengan kontrol penuh atas infrastruktur pembayaran, efisiensi operasional meningkat secara signifikan sementara ketergantungan pada pihak ketiga berkurang drastis.

Spesifikasi Layanan

Pada kali ini, Payment Gateway dikhususkan untuk:

Virtual Account BCA, BNI, Mandiri, BRI, dll.
e-Wallet GoPay, OVO, DANA, ShopeePay, LinkAja
QRIS Semua dompet digital & aplikasi bank

Arsitektur Dasar Sebuah Sistem Pembayaran

Modul Inti dan Fungsionalitas Wajib:

Setiap gateway memerlukan tiga pilar: payment processor (penghubung ke bank/dompet digital), security layer (enkripsi dan validasi), serta reconciliation engine (rekonsiliasi otomatis). Tanpa trio ini, risiko kegagalan transaksi atau kebocoran data meningkat signifikan.

Mekanisme Enkripsi Mutakhir 2026

Standar keamanan tahun ini merekomendasikan hybrid encryption model: kombinasi AES-256 untuk data transit dan algoritma lattice-based cryptography untuk penyimpanan sensitif.

Pendekatan ini sudah compliant dengan regulasi OJK terbaru tentang proteksi finansial digital, serta menggunakan sertifikasi PCI DSS level 1 sebagai fondasi kredibilitas.

Membuat payment gateway sendiri di 2026 lebih feasible berkat kemajuan API perbankan dan tools open-source. Kunci suksesnya terletak pada desain arsitektur modular, kepatuhan regulasi, dan investasi di keamanan berlapis. Meski memerlukan effort awal signifikan, kontrol penuh atas data, biaya operasional jangka panjang, dan diferensiasi bisnis menjadi nilai tak terbantahkan.

Di tengah dominasi penyedia third-party, gateway proprietary justru menjadi senjata kompetitif - terutama bagi bisnis dengan volume transaksi tinggi atau model unik. Dengan pendekatan bertahap dan kolaborasi ahli teknologi finansial, solusi mandiri mampu menaikkan margin sekaligus memperkuat kepercayaan pelanggan.

Langkah Konkret Pembangunan Payment Gateway

By: Ong Eng Lapanlapan

1. Regulasi dan Kebutuhan Teknis

Identifikasi aturan Bank Indonesia tentang PSP (Payment Service Provider) dan ketentuan LPAPI (Lembaga Pengelola Alat Pembayaran) adalah langkah krusial. Siapkan dokumen seperti risk assessment plan dan audit trail blueprint.

Secara teknis, tentukan metode pembayaran target (transfer bank, QRIS, e-wallet) dan bank kustodian mitra untuk memastikan alur dana yang legal dan transparan.

Update Regulasi 2025: Aturan Bank Indonesia (BI) terbaru tentang Penyedia Jasa Pembayaran (PJP) diatur dalam PBI No. 10 Tahun 2025 dan PADG No. 32 Tahun 2025. Regulasi ini memperketat perizinan, klasifikasi, permodalan, serta mewajibkan kepatuhan standar TIKMI (Teknologi Informasi dan Keamanan).

2. Regulasi Utama

PBI No. 10 Tahun 2025 Mengatur ulang tata kelola, permodalan, dan manajemen risiko PJP. Menetapkan Paket Aktivitas: Paket 1 (E-money), Paket 2 (Payment Initiation/Acquiring), Paket 3 (Remittance).
PADG No. 32 Tahun 2025 Penjelasan rinci implementasi PBI 10/2025, mencakup standar teknis TIKMI, detail permodalan disetor awal, dan prosedur perizinan.
PBI No. 23/6/PBI/2021 Fondasi klasifikasi izin PJP berdasarkan Kategori I, II, dan III sesuai dengan cakupan layanan yang diberikan.

3. Ketentuan LPAPI

Berfokus pada keamanan dan perlindungan konsumen, LPAPI mewajibkan setiap entitas memiliki:

Risk Assessment Plan: Mitigasi risiko operasional dan fraud.
Audit Trail: Jejak audit yang ketat untuk setiap transaksi QRIS, e-wallet, dan transfer bank.
Kesetaraan Akses: Memastikan efisiensi sistem pembayaran bagi seluruh lapisan pengguna.

4. Pemilihan Stack Teknologi Tepat

Memasuki tahun 2026, efisiensi pemrosesan menjadi penentu utama. Kombinasi Node.js untuk real-time processing dan Golang untuk menangani konkurensi tinggi menjadi standar industri yang populer sejak 2025.

Admin Panel Laravel Spark
Tokenisasi TokenEx (Data kartu aman)
Message Broker RabbitMQ (Antrean transaksi)

5. Proses Integrasi dengan Jaringan Perbankan

Ini adalah tahap yang paling krusial dalam pembangunan gateway. Pendekatan ke bank harus dilakukan melalui channel partnership resmi untuk menjamin legalitas alur dana.

Menjalin Kemitraan dengan Institusi Finansial

Bank umum besar seperti BCA atau Mandiri kini menyediakan sandbox developer bagi mitra untuk melakukan uji coba integrasi API secara aman sebelum masuk ke lingkungan produksi.

                Persyaratan Utama Kemitraan:
                Laporan keuangan yang sehat dan transparan.
Sertifikat cybersecurity resmi dari id-SIRTII/CC.
Komitmen SLA (Service Level Agreement) untuk stabilitas layanan.

            

Tips Strategis: Jika resource perusahaan belum mencukupi untuk integrasi langsung ke banyak bank, gunakan jembatan via penyedia seperti Xendit atau Midtrans untuk mendapatkan akses multi-bank dengan proses yang jauh lebih cepat.

6. Mekanisme Settlement Otomatis

Kelancaran arus kas bergantung pada ketepatan waktu. Sistem harus mampu mengirimkan batch settlement file dengan format ISO 20022 ke bank sebelum jam cut-off yang ditentukan.

Automasi: Gunakan cron job terdistribusi untuk menjamin eksekusi tepat waktu.
Auto-Reconcile: Fitur ini wajib mencocokkan laporan penyelesaian (settlement report) dengan catatan internal secara real-time menggunakan library seperti Apache NiFi.

7. Uji Coba Ketat Sebelum Peluncuran Publik

Tahap go-live memerlukan kehati-hatian tinggi melalui beberapa fase pengujian intensif:

Simulasi Beban Transaksi Tinggi

Gunakan tools seperti Locust atau JMeter untuk tes beban skala besar. Targetkan throughput minimal 500 transaksi/detik dengan latency di bawah 2 detik. Lakukan monitoring ketat melalui Datadog atau New Relic untuk mendeteksi bottleneck.

Uji Penetrasi dan Bug Bounty

Keamanan adalah prioritas utama. Rekrut ethical hacker bersertifikat CEH untuk uji penetrasi menyeluruh dan jalankan program bug bounty dengan insentif yang jelas bagi penemu celah keamanan.

8. Penanganan Dispute dan Mitigasi Risiko

Manajemen Chargeback:

Bangun modul khusus untuk mengelola dispute dengan fitur unggah bukti otomatis (evidence upload) dan sistem notifikasi multi-channel (email, WhatsApp, in-app message). Implementasi Sagas Pattern pada arsitektur microservice sangat disarankan untuk mencegah inkonsistensi data saat terjadi rollback transaksi.

Mitigasi Serangan Siber Real-Time:

Pasang sistem deteksi fraud berbasis AI seperti Fraugster atau Forter yang mampu mempelajari pola anomali secara mandiri. Atur ambang batas (threshold) pemblokiran otomatis berdasarkan geolokasi, device fingerprint, atau nilai transaksi yang tidak wajar.

Rincian Perencanaan Perusahaan Payment Gateway

By: Ong Eng Lapanlapan

1. Pembuatan Perusahaan Perseroan Terbatas

Pendirian PT untuk payment gateway di Indonesia wajib berbentuk badan hukum (PT) dan memperoleh izin sebagai Penyelenggara Jasa Pembayaran (PJP) dari Bank Indonesia. Proses ini mencakup kepatuhan teknis (ISO 27001) dan pemenuhan modal disetor yang besar sebagai syarat wajib.

Tahapan Pendirian PT Payment Gateway:

Persiapan & Akta Siapkan KTP/NPWP pengurus, nama PT (min. 3 kata), dan modal disetor. Dibuat di hadapan notaris dengan fokus bidang teknologi/keuangan.
Pengesahan & Legalitas Pengesahan badan hukum oleh Kemenkumham, pengurusan NPWP badan, dan pendaftaran NIB melalui sistem Online Single Submission (OSS).

Perizinan Bank Indonesia (PJP)

Pre-Consultative Meeting: Pertemuan awal dengan BI melalui e-licensing.
Self-Assessment: Validasi mandiri atas kesesuaian model bisnis.
Pengajuan Izin PJP: Proses resmi melalui portal e-licensing BI.
Sertifikasi Kepatuhan: Pemenuhan standar keamanan data dan teknologi yang ketat.

            Catatan Penting:
            Memerlukan modal besar dan infrastruktur teknologi canggih.
Wajib memiliki rekening bank atas nama perusahaan.
Kepatuhan terhadap regulasi Anti Pencucian Uang (APU-PPT) adalah harga mati.

        

2. Infrastruktur

Membangun payment gateway skala perusahaan berarti membangun infrastruktur kritis dengan target 99,99% availability. Fokus utama terletak pada redundansi, keamanan data tingkat tinggi, dan kepatuhan hukum yang ketat.

2.1. Arsitektur Infrastruktur (Multi & High Availability)

Untuk menghindari single point of failure, arsitektur perusahaan wajib menggunakan sistem klaster:

Load Balancer: Menggunakan F5 atau Nginx Plus untuk distribusi trafik ke microservices.
Microservices Orchestration: Kubernetes (K8s) untuk pengelolaan kontainer dan auto-scaling saat lonjakan transaksi.
Database Sharding: Pembagian database untuk menjaga stabilitas performa pada jutaan baris data.

2.2. Spesifikasi

2.2.1. Spesifikasi Server Produksi (Enterprise Grade)

Standar minimum per node untuk menangani ribuan Transactions Per Second (TPS):

Spesifikasi	Rekomendasi (Per Node)	Jumlah Minimum
API/Application	16 Core CPU, 32 GB RAM, NVMe SSD	3 - 5 Nodes (Auto-scale)
Database (Primary)	32 Core CPU, 64 GB RAM, RAID 10 NVMe	3 Nodes (Master-Slave)
Caching (Redis)	8 Core CPU, 32 GB RAM (High Memory)	2 Nodes (Cluster mode)
Message Broker	8 Core CPU, 16 GB RAM	3 Nodes (Kafka/RabbitMQ)

2.2.2. Spesifikasi Hardware (Server & Networking)

Server Rack: Tipe Blade atau Rackmount (HP ProLiant, Dell PowerEdge, atau Lenovo).
Hardware Security Module (HSM): Perangkat wajib (Thales payShield atau Entrust nShield).
Storage (SAN/NAS): All-Flash Array (SSD) untuk kecepatan I/O tinggi dan durabilitas.
Network Switches: Layer 3 dengan kapasitas 10Gbps+ serta dukungan VLAN.

2.2.3. Desain Data Center (Tier 3)

Memerlukan lokasi terpisah secara geografis: Main DC dan DRC.

Ketersediaan minimal 99,98% dengan jalur listrik ganda.
Kontrol akses biometrik dan CCTV 24/7 dengan retensi 90 hari.
Sistem pemadam api khusus (FM-200 atau Novec 1230).

2.2.4. Segmentasi Jaringan (PCI DSS Zoning)

Pemisahan zona keamanan secara ketat:

DMZ: Web Server & Load Balancer publik.
App Zone: Logika bisnis (terisolasi dari internet).
DB Zone: Zona terdalam untuk database utama.
Management Zone: Jalur admin via VPN internal/Bastion Host.

2.2.5. Perangkat Lunak & Teknologi

Menggunakan kombinasi API Gateway (Nginx/Kong), Backend (Go, Java Spring Boot, Node.js), serta PostgreSQL untuk ACID compliance.

                2.3. Monitoring & Operasional
                Observability: Prometheus & Grafana untuk visualisasi real-time.
Logging: ELK Stack untuk pelacakan transaksi bermasalah.
FDS: Fraud Detection System berbasis AI untuk deteksi anomali instan.

            

2.4. Keamanan Hardcore (Non-Negotiable)

Wajib memiliki HSM fisik untuk kunci enkripsi (PCI-DSS Level 1), koneksi bank melalui Leased Line/VPN site-to-site, tokenisasi data sensitif, dan proteksi DDoS.

2.5. Konektivitas & 2.6. Tantangan

Server harus terhubung langsung ke Acquiring Bank dan Provider E-Wallet via API privat. Tantangan utama meliputi audit fisik PCI DSS yang ketat, skalabilitas hardware on-premise, dan pemeliharaan tim operasional 24/7.

3. Manajemen dan Pengelolaan

Membangun dan mengelola operasional payment gateway di infrastruktur On-Premise membutuhkan tim dengan disiplin yang sangat spesifik. Karena Anda memiliki hardware fisik, tanggung jawab tim mencakup kesehatan kabel, suhu ruangan, hingga kepatuhan audit fisik secara menyeluruh.

Struktur Tim Operasional Ideal

Berikut adalah rincian divisi yang diperlukan untuk menjaga stabilitas skala perusahaan:

1. Divisi Infrastruktur & Jaringan (The Guardians of Hardware)

Infrastructure/System Engineer Mengelola server fisik, virtualisasi (VMware/Proxmox), dan sistem penyimpanan (SAN).
Network Engineer Mengatur konfigurasi Switch, Router, dan jalur komunikasi privat (Leased Line/VPN) ke perbankan.
Data Center Operations (DC Ops) Petugas on-site yang memantau kondisi fisik DC (listrik, suhu, rak server) dan penggantian hardware.

2. Divisi Keamanan Informasi (The Gatekeepers)

Divisi ini bersifat independen untuk menjaga objektivitas dalam industri finansial:

Security Engineer: Mengelola Firewall, WAF, dan sistem deteksi intrusi (IDS/IPS).
Compliance Officer: Spesialis PCI DSS & ISO 27001 yang memastikan kepatuhan regulasi Bank Indonesia.
SOC Analyst: Memantau log keamanan 24/7 untuk deteksi peretasan real-time.

3. Divisi Platform & DevOps (The Enablers)

Jembatan antara kode aplikasi dan infrastruktur fisik:

DevOps/SRE: Fokus pada otomatisasi deployment dan ketersediaan sistem 99,99% via Kubernetes.
Database Administrator (DBA): Mengelola integritas data transaksi, replikasi ke DRC, dan optimasi kueri.

4. Divisi Operasional Pembayaran & Fraud

Settlement & Reconciliation: Mencocokkan laporan bank dengan laporan sistem internal.
Fraud Analyst: Memantau pola transaksi mencurigakan dan mengelola blacklist akun/kartu.

5. Struktur Organisasi Perusahaan Payment Gateway

Struktur organisasi perusahaan payment gateway harus didesain untuk menyeimbangkan dua hal utama: Inovasi Produk agar tetap kompetitif dan Kepatuhan Ketat dalam mengelola uang serta data sensitif.

5.1 Struktur Organisasi Tingkat C-Level (Eksekutif)

Jabatan Eksekutif	Tanggung Jawab Utama
CEO (Chief Executive Officer)	Strategi bisnis, hubungan investor, dan visi jangka panjang perusahaan.
CTO (Chief Technology Officer)	Penanggung jawab seluruh infrastruktur On-Premise, pengembangan produk, dan engineering.
CISO (Chief Information Security Officer)	(Paling Krusial) Bertanggung jawab penuh atas keamanan data, sertifikasi PCI-DSS, dan mitigasi risiko siber.
COO (Chief Operating Officer)	Mengelola operasional harian, termasuk Settlement, Legal, dan Customer Support.
CFO (Chief Financial Officer)	Mengelola keuangan, perpajakan, dan pelaporan dana titipan merchant ke Bank Indonesia.

Rekomendasi Alokasi SDM 24/7 (Shift):

Sistem payment gateway memerlukan pemantauan tanpa henti untuk peran: SOC Analyst, Infrastructure Support, dan Merchant Support.

Tips Penting: Gunakan Internal Auditor untuk melakukan "audit bayangan" setiap 3-6 bulan guna memastikan tidak ada celah keamanan fisik atau sistem yang terabaikan sebelum audit resmi.

5.2 Rincian Departemen & Divisi

5.2.1. Direktorat Teknologi (Di bawah CTO)

Engineering Team: Backend Developers (Core Engine), Frontend/Mobile, dan QA/Tester.
Infrastructure & DevOps: System Admin, Database Administrator (DBA), dan DevOps Engineer.
Network Team: Network Engineer spesialis koneksi H2H ke Bank dan VPN.

5.2.2. Direktorat Keamanan & Kepatuhan (Di bawah CISO)

Information Security: Security Engineer (WAF, IPS/IDS) dan SOC Analyst.
Compliance & Risk: PCI-DSS & ISO Specialist serta AML/CFT Officer.
Fraud Detection Unit: Fraud Analyst untuk memantau pola transaksi mencurigakan.

5.2.3. Direktorat Operasional & Bisnis (Di bawah COO/CFO)

Settlement & Reconciliation Memastikan akurasi dana masuk ke saldo Merchant secara tepat waktu (H+1/H+0).
Merchant Operations Menangani Merchant Onboarding (KYB) dan Technical Support untuk integrasi API.
Legal & Regulatory Affairs Hubungan dengan Bank Indonesia (BI), OJK, dan asosiasi industri (ASPI).

5.3. Visualisasi Hierarki Struktur Organisasi

                  [ BOARD OF DIRECTORS ]
                           |
          +----------------+----------------+
          |                                 |
        [CEO]----------------------------[Internal Audit]
          |
     +----+----+------------+-----------+-----------+
     |         |            |           |           |
   [CTO]     [CISO]       [COO]       [CFO]       [CMO/Sales]
     |         |            |           |           |
 - Eng.      - Security   - Ops      - Finance   - Sales
 - Infra     - Compliance - Support  - Tax       - Marketing
 - Network   - Fraud      - Legal    - Settlem.  - Partner

5.4 Posisi "Wajib Ada" untuk Izin Bank Indonesia (PJP)

Berdasarkan regulasi PJP, posisi berikut wajib diisi oleh personel tersertifikasi:

Direktur Kepatuhan: Penanggung jawab aturan APU-PPT dan sistem pembayaran nasional.
Petugas APU-PPT: Pejabat khusus penanganan Anti Pencucian Uang.
Ahli Sistem Informasi/Keamanan: Pembuktian manajemen risiko sistem On-Premise.

Estimasi Biaya Pembangunan Perusahaan Payment Gateway

Proyeksi Tahun Pertama: Infrastruktur On-Premise & Kepatuhan PJP (Kategori PBI 2025)

Estimasi berikut disusun untuk skala perusahaan payment gateway dengan standar keamanan tinggi dan infrastruktur mandiri di wilayah Jabodetabek. Biaya dibagi menjadi investasi awal (CAPEX) dan biaya operasional tahun pertama (OPEX).

1. Perizinan dan Legalitas (CAPEX)

Komponen	Estimasi Biaya Jabodetabek (IDR)
Pendirian PT & Izin Operasional (NIB, OSS, Notaris)	25.000.000 - 50.000.000
Modal Disetor Minimum (PJP Kategori 1/2)	500.000.000 - 15.000.000.000
Sertifikasi ISO 27001 (Konsultan & Audit)	250.000.000 - 450.000.000
Sertifikasi PCI-DSS Level 1 (Audit & Implementasi)	600.000.000 - 1.200.000.000
Total Estimasi Legalitas (Diluar Modal)	~875.000.000 - 1.700.000.000

2. Infrastruktur On-Premise (CAPEX & OPEX)

Komponen	Estimasi Biaya (IDR)
Server Cluster (Enterprise Grade - 10 Nodes)	1.500.000.000 - 3.500.000.000
Hardware Security Module (HSM - Thales/Entrust)	800.000.000 - 1.500.000.000
Networking (Firewall, Switch, Load Balancer)	600.000.000 - 1.200.000.000
Sewa Colocation DC Tier 3 & DRC (1 Tahun)	480.000.000 - 900.000.000
Total Estimasi Infrastruktur	~3.380.000.000 - 7.100.000.000

3. Pengembangan Sistem & Aplikasi

Komponen	Estimasi Biaya (IDR)
Core Payment Engine & API Management	1.000.000.000 - 2.500.000.000
Merchant Portal & Analytics Dashboard	400.000.000 - 800.000.000
Total Estimasi Pengembangan	~1.400.000.000 - 3.300.000.000

4. SDM (Gaji 1 Tahun - Proyeksi 25 Orang)

Divisi	Rincian Posisi	Total Gaji/Tahun (IDR)
C-Level Executive	CEO, CTO, CISO, CFO	3.120.000.000
Tech & Security Lead	Senior Backend, DevOps, SOC Analyst	2.580.000.000
Ops & Compliance	Legal, Settlement, Merchant Support	1.296.000.000
Total Estimasi SDM (Inklusif THR & Cadangan)		~6.996.000.000 - 7.500.000.000

Rangkuman Total Proyeksi Tahun Pertama

Gabungan biaya Investasi Awal (CAPEX) dan Operasional (OPEX):

Rp 12.651.000.000 - Rp 19.600.000.000

*Angka selaras dengan Skema Penggajian Jakarta 2026. Tidak termasuk Modal Disetor Minimum ke Bank Indonesia.

Skema Penggajian & Arus Kas Terintegrasi

Penyesuaian Berdasarkan Standar Upah & Biaya Hidup Jakarta 2026

1. Skema Gaji Detil per Posisi (Standar Market Jakarta)

Gaji diatur berdasarkan skala tanggung jawab, risiko jabatan, dan sertifikasi wajib (PCI-DSS/APU-PPT).

Posisi	Jumlah	Gaji/Bulan (Gross)	Total/Bulan
Top Management (Strategic)
C-Level (CEO, CTO, CISO, CFO)	4	Rp 45.000.000 - 85.000.000	Rp 260.000.000
Technical & Security (Specialist)
Senior Backend & DevOps	5	Rp 22.000.000 - 35.000.000	Rp 140.000.000
Network & SOC Analyst	5	Rp 12.000.000 - 18.000.000	Rp 75.000.000
Operations & Compliance (Base Line)
Legal & Compliance Officer	3	Rp 12.000.000 - 20.000.000	Rp 48.000.000
Settlement & Merchant Support	8	Rp 6.500.000 - 9.000.000	Rp 60.000.000
TOTAL ESTIMASI PAYROLL BULANAN		Rp 583.000.000

            Analisis Gaji: Gaji pada level operasional (Merchant Support) disesuaikan dengan estimasi UMR Jakarta 2026 plus tunjangan performa untuk menjaga retensi. Sementara posisi CISO dan Senior Dev tetap dipatok pada harga pasar premium karena kelangkaan keahlian tersertifikasi.
        

2. Timeline Pengeluaran Biaya (Cash Outflow) Per Kuartal

Kategori Pengeluaran	Q1 (Bulan 1-3)	Q2 (Bulan 4-6)	Q3 (Bulan 7-9)	Q4 (Bulan 10-12)
Gaji & Ops Kantor	Rp 1,1 M	Rp 1,8 M	Rp 1,8 M	Rp 2,2 M*
Legal & Sertifikasi	Rp 150 Jt	Rp 50 Jt	Rp 450 Jt	Rp 100 Jt
CAPEX (Hardware)	Rp 100 Jt	Rp 3,8 M	Rp 200 Jt	Rp 200 Jt
TOTAL ESTIMASI	Rp 1,35 M	Rp 5,7 M	Rp 2,45 M	Rp 2,5 M

*Termasuk alokasi THR di Kuartal 4.

Rangkuman & Kesimpulan Strategis

Final Overview: Pembangunan Infrastruktur Payment Gateway Mandiri 2026

1. Intisari Perencanaan

Membangun Payment Gateway mandiri di tahun 2026 merupakan langkah strategis untuk mencapai efisiensi biaya transaksi dan kontrol penuh atas pengalaman pengguna (UX). Proyek ini difokuskan pada tiga layanan utama: Virtual Account, e-Wallet, dan QRIS.

            Kesimpulan Regulasi: Kepatuhan terhadap PBI No. 10 Tahun 2025 dan PADG No. 32 Tahun 2025 adalah syarat mutlak, yang mencakup pengaturan ketat pada permodalan, manajemen risiko, dan standar TIKMI.
        

2. Aspek Teknis & Infrastruktur Kritis

Keberhasilan sistem bertumpu pada arsitektur High Availability (99,99%) dengan spesifikasi server Enterprise Grade dan penggunaan Hardware Security Module (HSM) wajib untuk enkripsi data sensitif (PCI-DSS Level 1).

Teknologi: Kombinasi Node.js (real-time) dan Golang (konkurensi tinggi).
Data Center: Implementasi sistem klaster pada Main DC dan DRC (Tier 3) dengan segmentasi jaringan PCI DSS yang ketat.
Keamanan: Penggunaan hybrid encryption model (AES-256 & Lattice-based) untuk proteksi data jangka panjang.

3. Manajemen & Struktur Operasional

Pengelolaan infrastruktur On-Premise membutuhkan tim multidisiplin yang terbagi dalam Direktorat Teknologi, Keamanan & Kepatuhan, serta Operasional.

Pilar Organisasi Wajib:

CISO: Penanggung jawab utama keamanan data dan sertifikasi.
Direktur Kepatuhan: Wajib ada untuk memastikan standar APU-PPT dan aturan Bank Indonesia terpenuhi.
SOC Analyst & Fraud Unit: Pemantauan ancaman dan anomali transaksi secara 24/7.

Kesimpulan Akhir

Meskipun memerlukan investasi awal (CAPEX) yang signifikan untuk legalitas dan hardware—berkisar antara Rp 12,6 Miliar hingga Rp 19,6 Miliar—memiliki gateway proprietary memberikan senjata kompetitif bagi bisnis dengan volume transaksi tinggi melalui margin yang lebih besar dan kemandirian ekosistem finansial.

— End of Document —

LAMPIRAN-LAMPIRAN

Strategic & Technical Supplemental Materials

Alur Transaksi Pembayaran QRIS

Proses End-to-End: Konsumen hingga Rekening Perusahaan

Berdasarkan arsitektur sistem pembayaran mandiri tahun 2026, berikut adalah alur teknis dan operasional setiap kali transaksi QRIS terjadi.

Tahap	Entitas Terkait	Mekanisme & Proses Internal
1. Inisiasi	Konsumen	Konsumen melakukan scanning kode QRIS melalui aplikasi dompet digital atau perbankan.
2. Keamanan	Security Layer	Validasi dan enkripsi data transit (AES-256) serta pemantauan real-time oleh SOC Analyst.
3. Pemrosesan	Payment Engine	Core Engine (Node.js/Golang) mengelola antrean transaksi via Message Broker (RabbitMQ).
4. Notifikasi	Gateway	Pengiriman bukti pembayaran sukses ke konsumen melalui multi-channel (Email/WA/In-app).
5. Rekonsiliasi	Recon Engine	Pencocokan data internal dengan laporan bank secara otomatis menggunakan Apache NiFi.
6. Settlement	Acquiring Bank	Pengiriman batch file ISO 20022 ke bank melalui jalur VPN privat sebelum jam cut-off.
7. Penerimaan	Rekening Bisnis	Dana masuk ke rekening perusahaan/merchant dengan pengawasan tim Settlement Specialist.

Catatan Teknis: Seluruh alur ini dilindungi oleh Sagas Pattern untuk menjaga integritas data jika terjadi kegagalan di tengah proses.

Alur Transaksi Pembayaran e-Wallet

Proses integrasi aplikasi dompet digital hingga penerimaan dana perusahaan

Berdasarkan spesifikasi teknis 2026, alur pembayaran e-Wallet mengutamakan validasi cepat dan sinkronisasi data real-time antara provider (GoPay, OVO, DANA, dsb) dengan sistem internal.

Tahap	Entitas Terkait	Mekanisme & Proses Internal
1. Inisiasi	Konsumen & App	Konsumen memilih e-Wallet dan melakukan konfirmasi pembayaran pada aplikasi penyedia.
2. Keamanan	Security Layer	Validasi transaksi dengan hybrid encryption (AES-256) dan proses tokenization data sensitif.
3. Pemrosesan	Backend Engine	Pemrosesan real-time (Node.js/Golang) dengan manajemen antrean via Message Broker (RabbitMQ).
4. Notifikasi	Support System	Pengiriman bukti bayar otomatis via WhatsApp, email, atau in-app message setelah konfirmasi provider.
5. Rekonsiliasi	Recon Engine	Pencocokan laporan provider e-Wallet dengan catatan internal secara real-time via Apache NiFi.
6. Settlement	Settlement Specialist	Pengiriman dana dari provider ke rekening perusahaan sesuai jadwal cut-off format ISO 20022.
7. Penerimaan	Finance Dept	Dana diterima di rekening perusahaan (H+1/H+0) dan diverifikasi oleh tim keuangan.

            Proteksi Tambahan: Transaksi dipindai secara instan oleh AI-based fraud detection untuk mendeteksi anomali geolokasi atau device fingerprint.
        

Alur Transaksi Virtual Account (VA)

Mekanisme integrasi Host-to-Host (H2H) hingga penyelesaian dana

Alur Virtual Account mengandalkan sistem Inquiry & Callback yang stabil. Keamanan dijamin melalui jalur komunikasi privat (VPN/Leased Line) langsung ke server perbankan.

Tahap	Entitas	Mekanisme & Proses Internal
1. Generasi VA	Core Engine	Sistem menerbitkan nomor VA unik melalui API Perbankan sesuai permintaan konsumen.
2. Inquiry	Acquiring Bank	Bank melakukan validasi tagihan ke server gateway kita saat konsumen akan membayar di ATM/App.
3. Validasi	Security Layer	Enkripsi AES-256 dan verifikasi kunci keamanan antara server gateway dan bank.
4. Callback	Sistem Notifikasi	Menerima notifikasi sukses dari bank dan meneruskan bukti bayar ke konsumen secara otomatis.
5. Rekonsiliasi	Recon Engine	Sinkronisasi data transaksi harian dengan settlement report bank menggunakan Apache NiFi.
6. Settlement	Bank Kustodian	Proses clearing dana menggunakan format ISO 20022 melalui jalur komunikasi privat.
7. Penerimaan	Finance Dept	Dana resmi masuk ke rekening perusahaan (H+1) dan diverifikasi oleh tim Settlement Specialist.

Penting: Untuk integrasi Virtual Account, koneksi wajib menggunakan Dedicated VPN atau Leased Line untuk mematuhi standar PCI DSS Level 1.

Rencana Mitigasi Risiko Operasional

Strategi Pengamanan Proyek terhadap Hambatan Teknis dan Regulasi

Risiko: Kegagalan Audit PCI DSS Level 1

Skenario Risiko	Tindakan Mitigasi (Pencegahan)	Rencana Kontinjensi (Jika Terjadi)
Celah Keamanan Infra On-Premise	Melakukan Pre-Assessment dengan QSA 3 bulan sebelum audit resmi.	Patching darurat dalam masa perbaikan 30 hari yang diberikan auditor.
Keterlambatan Pengadaan HSM	Pemesanan hardware di Kuartal 1 untuk mengantisipasi lead time vendor.	Penggunaan Cloud-based HSM sementara (jika disetujui auditor).
Kegagalan Kontrol Fisik DC	Memastikan Provider DC memiliki sertifikat PCI-DSS untuk infrastruktur gedung.	Relokasi rak server ke area "Cage" khusus dengan akses biometrik ganda.

Risiko: Keterlambatan Izin PJP dari Bank Indonesia (BI)

Skenario Risiko	Tindakan Mitigasi (Pencegahan)	Rencana Kontinjensi (Jika Terjadi)
Dokumen Legalitas Tidak Lengkap	Audit dokumen oleh Konsultan Hukum Spesialis Fintech sebelum submisi.	Melakukan klarifikasi walk-in langsung ke departemen perizinan BI.
Gagal Pemeriksaan Lapangan	Simulasi pemeriksaan lapangan (Mock Audit) internal secara berkala.	Redesain alur kerja operasional dalam 14 hari & pengajuan tinjauan ulang.
Izin Tertunda > 12 Bulan	Menjaga burn rate tetap rendah dan menyiapkan cadangan kas 6 bulan.	Opsi kerjasama White-Label dengan pemegang lisensi PJP lain.

Mitigasi Finansial

Penundaan rekrutmen tim Sales hingga izin prinsip keluar.
Negosiasi termin pembayaran bertahap kepada vendor hardware.
Opsi penurunan kategori izin PJP sesuai kesiapan modal.

Komunikasi Krisis

Laporan transparansi berkala kepada investor mengenai timeline.
Update teknis reguler untuk menjaga komitmen Bank Mitra.
Penyediaan akses Sandbox agar integrasi merchant tetap jalan.

SOP: Monitoring Keamanan Sistem Informasi

Standar Operasional Prosedur Keamanan Infrastruktur Payment Gateway

Kode Dokumen: SOP-SEC-001	Versi: 1.0	Status: Draft
Tanggal Berlaku: 8 Februari 2026	Klasifikasi: RAHASIA INTERN

1. Tujuan

Memastikan seluruh aktivitas pada infrastruktur Payment Gateway (server, database, network) dipantau secara real-time untuk mendeteksi, mencegah, dan merespons ancaman keamanan sesuai standar PCI DSS.

2. Ruang Lingkup

Prosedur ini berlaku untuk seluruh komponen dalam Cardholder Data Environment (CDE), termasuk:

Firewall, Router, dan Switch Layer 3.
Server Aplikasi & Database Produksi serta Hardware Security Module (HSM).
Sistem Operasi dan Akun Hak Akses Khusus (Privileged Accounts).

3. Prosedur Operasional

3.1. Pengumpulan Log (PCI DSS Req 10.1 - 10.3)
Semua komponen wajib mengirimkan log ke SIEM terpusat dengan atribut: ID Pengguna, Jenis Kejadian, Stempel Waktu (NTP Synced), dan IP Address.

3.2. Peninjauan Log Harian (PCI DSS Req 10.6)
Analyst SOC wajib memeriksa log keamanan 24/7. Fokus: brute force, aktivitas root/admin, dan modifikasi file sistem tidak sah.

3.3. Retensi Log (PCI DSS Req 10.7)
Log wajib tersedia online minimal 90 hari dan arsip (cold storage) minimal 1 tahun.

4. Matriks Eskalasi Insiden

Tingkat Bahaya	Kriteria	Waktu Respons	Tindakan Utama
LOW	Percobaan login salah < 5 kali.	1x24 Jam	Log dalam laporan mingguan.
MEDIUM	Perubahan konfigurasi tanpa tiket resmi.	4 Jam	Verifikasi & rollback perubahan.
HIGH	Akses database kartu / Serangan DDoS.	< 15 Menit	Isolasi server & lapor CISO.

5. Bukti Audit (Artefak)

Artefak wajib tersedia untuk kebutuhan audit tahunan:

Daily Log Review Sign-off: Checklist harian bertanda tangan analis.
NTP Sync Report: Bukti sinkronisasi waktu di seluruh node.
Alerting Samples: Contoh notifikasi otomatis saat anomali terdeteksi.

Mockup Dashboard Monitoring

Panel Kendali SOC & Indikator Kepatuhan PCI DSS (Visualisasi Operasional)

Klik tombol di bawah untuk memuat simulasi dashboard keamanan terenkripsi.