“Apakah data kami aman jika pindah ke cloud?” — ini pertanyaan yang hampir selalu muncul ketika tim legal, CISO, atau CFO ikut duduk di rapat evaluasi ERP migration to the cloud. Dan jawabannya bukan “ya, cloud aman” atau “tidak, cloud berbahaya”. Jawabannya tergantung pada tiga hal yang sering diabaikan: pemahaman regulasi Indonesia yang berlaku, sertifikasi vendor yang harus diverifikasi, dan klausul kontrak yang wajib dinegosiasikan sebelum tanda tangan. Artikel ini membahas ketiga hal tersebut — khusus untuk perusahaan Indonesia yang sedang menimbang migrasi ERP.
Secara singkat: Dalam migrasi ERP ke cloud, keamanan data mencakup tiga lapisan: (1) keamanan teknis — enkripsi, manajemen identitas dan akses (IAM), serta audit trail; (2) kepatuhan regulasi Indonesia — terutama UU PDP No. 27/2022 yang berlaku penuh sejak Oktober 2024; dan (3) tata kelola kontraktual — Data Processing Agreement (DPA) dan klausul data residency dalam perjanjian dengan vendor cloud.
Melalui artikel ini, kita akan membahas regulasi Indonesia yang langsung relevan, checklist standar keamanan yang harus dimiliki vendor, di mana data SAP S/4HANA Cloud sebenarnya disimpan, dan bagian yang jarang ditulis kompetitor: mengapa banyak sistem ERP on-premise justru lebih rentan dibanding cloud.
Mengapa Keamanan Data Menjadi Kekhawatiran Utama dalam Migrasi ERP ke Cloud
Sistem ERP memuat data keuangan, karyawan, pelanggan, kontrak pemasok, dan seluruh rantai pasok. Bila dibobol, dampaknya melampaui operasional: ada kewajiban hukum, potensi denda, dan kerusakan reputasi.
Menurut data BSSN, lebih dari 3 miliar anomali dan serangan siber terjadi sepanjang Januari–Juli 2025 di Indonesia. Dari total ancaman yang teridentifikasi, 56% berasal dari sumber eksternal (BSSN, bssn.go.id). Sistem ERP yang terekspos internet melalui portal vendor atau akses remote karyawan menjadi target yang menarik.
Perbedaan fundamental antara on-premise dan cloud ada di model tanggung jawab keamanannya. Pada on-premise, seluruh lapisan fisik data center, jaringan, OS, hingga aplikasi menjadi tanggung jawab penuh tim internal. Pada cloud, tanggung jawab dibagi: vendor mengelola infrastruktur, pelanggan mengelola konfigurasi, akses pengguna, dan tata kelola data. Model ini disebut shared responsibility model. Masalah muncul ketika batasnya tidak dipahami dari awal.
Regulasi Indonesia yang Berlaku untuk Data ERP di Cloud
Dua regulasi utama yang harus dipahami sebelum menandatangani kontrak cloud ERP di Indonesia:
| Regulasi | Pokok Kewajiban | Implikasi untuk ERP Cloud |
|---|---|---|
| UU PDP No. 27/2022 (efektif Oktober 2024) | Pengendali dan Prosesor Data wajib melindungi data pribadi; DPA wajib tertulis; transfer internasional boleh jika ada safeguard setara | Kontrak RISE/cloud ERP harus memuat DPA; tanggung jawab tetap di perusahaan pengguna meski data dikelola vendor |
| BSSN Peraturan No. 8/2020 | Penyelenggara sistem elektronik wajib menerapkan SMKI (Sistem Manajemen Keamanan Informasi) | Vendor cloud harus menunjukkan sertifikasi setara (ISO 27001); BSSN merekomendasikan standar ini bagi organisasi yang mengoperasikan sistem elektronik kritis |
| PP PSTE No. 71/2019 | Data “strategis” yang berhubungan dengan penyelenggara sistem elektronik publik/pemerintah harus disimpan di server dalam negeri | Berlaku terutama untuk PSE publik/pemerintah; perusahaan swasta mengikuti UU PDP untuk transfer data pribadi lintas batas |
Satu hal yang sering disalahpahami: UU PDP tidak mewajibkan penyimpanan data di server Indonesia. Yang diwajibkan adalah safeguard setara jika data dipindah ke luar negeri, dan DPA tertulis antara Pengendali Data (perusahaan Anda) dengan Prosesor Data (vendor cloud). Sanksi pelanggarannya nyata: hingga 2% dari pendapatan tahunan global secara administratif, dan maksimal 6 tahun penjara untuk penyalahgunaan data sensitif (UU No. 27/2022, Bab XIV–XV).
Perlu dicatat bahwa UU PDP mengatur data pribadi, termasuk data karyawan dan pelanggan individu dalam ERP, bukan seluruh transaksi bisnis B2B. Namun sistem ERP hampir selalu memuat keduanya sekaligus.
Standar Keamanan yang Harus Dimiliki Vendor Cloud ERP Anda
Sertifikasi bukan jaminan, tapi absennya sertifikasi adalah tanda merah. Delapan poin yang harus diverifikasi sebelum tanda tangan:
- ISO 27001 — standar internasional ISMS; minta sertifikat audit terbaru dari auditor terakreditasi.
- SOC 2 Type II — menguji efektivitas kontrol keamanan selama periode nyata (6–12 bulan), bukan hanya keberadaan kontrol di satu titik waktu.
- Enkripsi at-rest dan in-transit — data yang tersimpan dan bergerak keduanya harus terenkripsi (standar minimal: AES-256, TLS 1.2+).
- Lokasi data center dan data residency — tanyakan spesifik region; minta klausul tertulis apakah data bisa berpindah tanpa notifikasi.
- Data Processing Agreement (DPA) — dokumen wajib sesuai UU PDP; review bersama tim legal/DPO.
- Audit trail dan logging — sistem mencatat siapa mengakses apa dan kapan; penting untuk investigasi dan pembuktian kepatuhan.
- SLA disaster recovery — minta RTO dan RPO tertulis, serta ketentuan kompensasi jika dilanggar.
- Prosedur notifikasi insiden — berapa jam setelah insiden vendor wajib memberitahu; UU PDP Pasal 46 mengatur kewajiban ini.
Untuk SAP S/4HANA Cloud, verifikasi sertifikasi langsung di SAP Cloud Trust Center (trust.sap.com) untuk melihat daftar sertifikasi aktif yang berlaku saat ini.
Mitra implementasi SAP yang berpengalaman membantu klien menyusun DPA dan menegosiasikan klausul residency dalam kontrak RISE — jangan asumsikan ini sudah tercakup otomatis dalam paket standar. Dari sisi arsitektur, prinsip SAP Clean Core juga relevan: memindahkan kustomisasi ke SAP BTP alih-alih memodifikasi inti sistem berarti attack surface yang lebih kecil dan keamanan yang lebih mudah diaudit.
Di Mana Data SAP S/4HANA Cloud Disimpan dan Apakah Ini Mematuhi Hukum Indonesia?
Ini pertanyaan yang jarang mendapat jawaban jelas sebelum kontrak ditandatangani.
SAP HANA Enterprise Cloud beroperasi dari data center di Singapura dan Australia untuk kawasan Asia Tenggara. Tidak ada data center SAP-owned di Indonesia per informasi yang tersedia. Namun RISE with SAP untuk sejumlah konfigurasi menggunakan hyperscaler (AWS, Azure, GCP). AWS Jakarta, misalnya, beroperasi sejak 2021. Apakah data Anda berada di region Indonesia bergantung pada konfigurasi yang dinegosiasikan dalam kontrak, bukan asumsi default.
Dalam praktiknya ini berarti: tanyakan secara eksplisit di region mana data Anda disimpan, dan minta klausul data residency tertulis. Berdasarkan UU PDP, penyimpanan di Singapura atau Australia bukan otomatis melanggar hukum, asal safeguard setara dan DPA terpenuhi.
Satu hal yang sering terlewat: bila perusahaan menggunakan ekstensi melalui SAP BTP (Business Technology Platform), data yang melintas ke BTP masuk dalam cakupan DPA yang sama. Demikian pula, data warehouse solutions seperti SAP Datasphere yang terhubung ke S/4HANA Cloud terdampak kebijakan data residency yang sama dan perlu dicakup sejak penilaian kepatuhan awal.
Risiko Keamanan yang Lebih Besar: On-Premise atau Cloud?
Bagian ini jarang ditulis kompetitor, padahal justru penting.
Narasi populer bahwa cloud lebih berbahaya dari on-premise tidak didukung data. Banyak perusahaan Indonesia menjalankan ERP on-premise tanpa tim keamanan memadai, dengan patch tertunda berbulan-bulan, dan tanpa enkripsi. Vendor hyperscaler yang menopang SAP HANA Enterprise Cloud mengalokasikan anggaran keamanan yang tidak bisa disamai tim internal kebanyakan perusahaan.
Laporan Gartner memproyeksikan mayoritas kegagalan keamanan cloud berasal dari kesalahan pelanggan, bukan infrastruktur vendor. Menurut IBM Cost of Data Breach Report 2024, misconfiguration termasuk vektor serangan terbesar di cloud. Risikonya bukan dari vendor, melainkan dari konfigurasi yang tidak tepat dan manajemen akses yang longgar.
Perbandingan jujurnya seperti ini:
| Aspek | ERP On-Premise | Cloud ERP (mis. RISE with SAP) |
|---|---|---|
| Tanggung jawab infrastruktur | Penuh di perusahaan | Vendor (infrastruktur); perusahaan (konfigurasi, akses) |
| Patch management | Manual; sering tertunda | Dikelola vendor secara reguler |
| Enkripsi | Perlu dikonfigurasi sendiri | Standar at-rest dan in-transit |
| Risiko utama | Patch terlambat; serangan insider | Misconfiguration; manajemen akses lemah |
| Audit & kepatuhan | Internal; butuh tim khusus | Laporan audit vendor tersedia; DPA tertulis |
Bukan berarti cloud zero-risk. Enkripsi infrastruktur terbaik sekalipun tidak melindungi dari akun pengguna yang dikompromikan. SAP Cloud Identity Services, komponen manajemen identitas dan akses untuk cloud ERP, menyediakan single sign-on, multi-factor authentication (MFA), dan role-based access control (RBAC). Pastikan ini dikonfigurasi dengan benar, bukan sekadar diaktifkan.
FAQ (Pertanyaan yang Sering Diajukan)
Apa itu UU PDP dan berlaku sejak kapan?
UU Pelindungan Data Pribadi (UU No. 27/2022) disahkan 17 Oktober 2022 dan berlaku penuh, termasuk sanksinya, sejak Oktober 2024. Setiap organisasi yang mengelola data pribadi warga negara Indonesia, termasuk dalam sistem ERP (data karyawan, pelanggan), wajib mematuhi. Sanksi pelanggaran mencapai 2% dari pendapatan tahunan global secara administratif.
Apakah data ERP saya aman jika pindah ke cloud?
Bergantung pada tiga hal: (1) sertifikasi vendor, pastikan ada ISO 27001 dan SOC 2 Type II; (2) konfigurasi yang tepat oleh tim Anda, karena misconfiguration adalah penyebab terbesar kebocoran data cloud, bukan serangan infrastruktur; dan (3) DPA tertulis yang menetapkan tanggung jawab. Cloud yang terkelola baik bisa lebih aman dari on-premise yang tidak rutin di-patch.
Di mana data SAP S/4HANA Cloud disimpan untuk pelanggan Indonesia?
Data center SAP untuk Asia Tenggara berlokasi di Singapura dan Australia. Bila RISE with SAP dijalankan di atas hyperscaler (AWS, Azure), opsi region Indonesia mungkin tersedia, namun harus dinegosiasikan eksplisit dalam kontrak, bukan asumsi default. UU PDP memperbolehkan penyimpanan di luar negeri asal ada safeguard setara dan DPA lengkap.
Apa itu shared responsibility model dan artinya untuk keamanan ERP?
Pembagian tanggung jawab antara vendor cloud dan pelanggan. Dalam RISE with SAP, SAP mengelola keamanan infrastruktur fisik, OS, dan jaringan. Pelanggan bertanggung jawab atas konfigurasi aplikasi, manajemen akses pengguna, dan kepatuhan UU PDP. Memahami batas ini sejak awal mencegah celah yang tidak disadari.
Standar keamanan apa yang wajib dimiliki vendor cloud ERP?
Delapan hal yang harus diverifikasi: (1) ISO 27001, (2) SOC 2 Type II, (3) enkripsi at-rest dan in-transit, (4) pilihan lokasi data center, (5) DPA sesuai UU PDP, (6) audit trail, (7) SLA disaster recovery dengan RTO/RPO tertulis, dan (8) prosedur notifikasi insiden. Untuk SAP, verifikasi di SAP Cloud Trust Center (trust.sap.com).
Apa yang harus ada dalam kontrak cloud ERP terkait keamanan?
Lima elemen wajib: (1) DPA, tujuan pemrosesan, durasi, jenis data; (2) klausul data residency; (3) SLA keamanan dan availability; (4) hak audit pihak ketiga; (5) prosedur notifikasi insiden sesuai UU PDP Pasal 46. Jangan asumsikan semua ini sudah tercakup otomatis dalam paket standar.
Apakah ERP on-premise lebih aman dari cloud ERP?
Tidak secara otomatis. Banyak implementasi on-premise berjalan tanpa enkripsi dan dengan patch tertunda. Risiko terbesar di cloud justru dari pelanggan sendiri: misconfiguration dan akses pengguna yang terlalu longgar, bukan infrastruktur vendor. Cloud yang dikelola dengan baik sering lebih aman karena vendor memiliki anggaran keamanan yang melampaui kapasitas tim internal kebanyakan perusahaan.
Pertanyaan “apakah data kami aman di cloud” tidak memiliki jawaban tunggal, tapi memiliki jawaban yang bisa diverifikasi. Dengan memahami regulasi yang berlaku, memeriksa sertifikasi vendor sebelum tanda tangan, dan memastikan DPA serta klausul data residency tertulis jelas dalam kontrak, kekhawatiran keamanan berubah dari alasan menunda menjadi daftar yang bisa diperiksa satu per satu. Sebagai SAP Platinum Partner melalui United VARs, Soltius mendampingi perusahaan menavigasi kepatuhan regulasi sekaligus aspek teknis implementasi, mulai dari penilaian kesiapan migrasi hingga negosiasi kontrak dan dukungan pasca go-live.
Untuk mendiskusikan kesiapan keamanan data dan regulasi dalam rencana migrasi ERP di perusahaan Anda, kunjungi soltius.co.id.
About the Author
