RANCANGAN PERATURAN PEMERINTAH REPUBLIK INDONESIA NOMOR … TAHUN …. TENTANG PENYELENGGARAAN INFORMASI DAN TRANSAKSI ELEKTRONIK DENGAN RAHMAT TUHAN YANG MAHA ESA PRESIDEN REPUBLIK INDONESIA, Menimbang : bahwa untuk melaksanakan ketentuan Pasal 10 ayat (2), Pasal 11 ayat (2), Pasal 13 ayat (6), Pasal 16 ayat (2), Pasal 17 ayat (3), Pasal 22 ayat (2), dan Pasal 24 ayat (4) Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik, perlu menetapkan Peraturan Pemerintah tentang Penyelenggaraan Informasi dan Transaksi Elektronik; Mengingat : 1. Pasal 5 ayat (2) Undang-Undang Dasar Negara Republik Indonesia Tahun 1945; 2. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 58, Tambahan Lembaran Negara Republik Indonesia Nomor 4843); MEMUTUSKAN: Menetapkan : PERATURAN PEMERINTAH TENTANG PENYELENGGARAAN INFORMASI DAN TRANSAKSI ELEKTRONIK. BAB I KETENTUAN UMUM Pasal 1 Dalam Peraturan Pemerintah ini yang dimaksud dengan: 1. Informasi Elektronik adalah satu atau sekumpulan data elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto, electronic data interchange (EDI), surat elektronik (electronic mail), telegram, teleks, telecopy atau sejenisnya, huruf, tanda, angka, Kode Akses, simbol, atau perforasi yang telah diolah yang memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya. 2. Dokumen Elektronik adalah setiap Informasi Elektronik yang dibuat, diteruskan, dikirimkan, diterima, atau disimpan dalam bentuk analog, digital, elektromagnetik, optikal, atau sejenisnya, yang dapat dilihat, ditampilkan, dan/atau didengar melalui Komputer atau Sistem Elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto atau sejenisnya, huruf, tanda, angka, Kode Akses, simbol atau perforasi yang memiliki makna atau arti atau dapat dipahami oleh orang yang mampu memahaminya. 3. Teknologi Informasi adalah suatu teknik untuk mengumpulkan, menyiapkan, menyimpan, memproses, mengumumkan, menganalisis, dan/atau menyebarkan informasi. 4. Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik. 5. Penyelenggaraan Sistem Elektronik adalah pemanfaatan Sistem Elektronik oleh penyelenggara negara, Orang, Badan Usaha, dan/atau masyarakat. 6. Jaringan Sistem Elektronik adalah terhubungnya dua Sistem Elektronik atau lebih, yang bersifat tertutup ataupun terbuka. 7. Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik baik sendiri maupun bersama-sama untuk keperluan dirinya dan/atau keperluan pihak lain. 8. Pengguna Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang memanfaatkan barang, jasa, fasilitas, atau informasi yang disediakan oleh penyelenggara Sistem Elektronik. 9. Media Elektronik adalah fasilitas, sarana, atau perangkat yang digunakan untuk mengumpulkan, menyimpan, memproses, dan/atau menyebarkan Informasi Elektronik yang digunakan untuk sementara ataupun permanen. 10. Perangkat Lunak adalah satu atau sekumpulan program komputer, prosedur, dan/atau dokumentasi yang terkait dalam pengoperasian Sistem Elektronik. 11. Kode Sumber adalah suatu rangkaian perintah, pernyataan, dan/atau deklarasi yang ditulis dalam bahasa pemrograman Komputer yang dapat dibaca Orang. 12. Data Pribadi adalah data dan/atau informasi seseorang yang dilindungi terkait dengan pribadi seseorang sesuai dengan perjanjian, kesepakatan, dan ketentuan peraturan perundang-undangan. 13. Sertifikasi Kelaikan Sistem Elektronik adalah suatu rangkaian proses pemeriksaan dan pengujian yang dilakukan oleh institusi yang berwenang dan berkompeten untuk memastikan bahwa suatu Sistem Elektronik berfungsi sebagaimana mestinya. 14. Transaksi Elektronik adalah perbuatan hukum yang dilakukan dengan menggunakan Komputer, jaringan Komputer, dan/atau media elektronik lainnya. 15. Penyelenggaraan Transaksi Elektronik adalah rangkaian kegiatan Transaksi Elektronik yang dilakukan oleh pengirim dan penerima dengan menggunakan Sistem Elektronik. 16. Pelaku Usaha adalah setiap orang perseorangan atau badan usaha, baik berbentuk badan hukummaupun bukan badan hukum, yang didirikan dan berkedudukan atau melakukan kegiatan dalam wilayah hukum negara Republik Indonesia, baik sendiri maupun bersama-sama, melalui perjanjian penyelenggaraan kegiatan usaha dalam berbagai bidang ekonomi. 17. Spam adalah pengiriman Informasi Elektronik melalui Sistem Elektronik yang menyangkut data pribadi atau Informasi Elektronik tanpa adanya persetujuan penerima yang mengakibatkan ketidaknyamanan dan/atau kerugian bagi penerima Informasi Elektronik tersebut. 2 18. Agen Elektronik adalah perangkat dari suatu Sistem Elektronik yang dibuat untuk melakukan suatu tindakan terhadap suatu Informasi Elektronik tertentu secara otomatis yang diselenggarakan oleh Orang. 19. Lembaga Sertifikasi Keandalan adalah lembaga independen yang dibentuk oleh profesional yang diakui, disahkan, dan diawasi oleh Pemerintah dengan kewenangan mengaudit dan mengeluarkan Sertifikat Keandalan dalam Transaksi Elektronik. 20. Sertifikat Keandalan (trustmark) adalah dokumen yang menyatakan pelaku usaha yang menyelenggarakan transaksi secara elektronik telah lulus audit atau uji kesesuaian dari Lembaga Sertifikasi Keandalan. 21. Tanda Tangan Elektronik adalah tanda tangan yang terdiri atas Informasi Elektronik yang dilekatkan, terasosiasi atau terkait dengan Informasi Elektronik lainnya yang digunakan sebagai alat verifikasi dan autentikasi. 22. Penanda Tangan adalah subjek hukum yang terasosiasikan atau terkait dengan Tanda Tangan Elektronik. 23. Komputer adalah alat untuk memproses data elektronik, magnetik, optik, atau sistem yang melaksanakan fungsi logika, aritmatika, dan penyimpanan. 24. Akses adalah kegiatan melakukan interaksi dengan Sistem Elektronik yang berdiri sendiri atau dalam jaringan. 25. Kode Akses adalah angka, huruf, simbol, karakter lainnya atau kombinasi di antaranya, yang merupakan kunci untuk dapat mengakses Komputer dan/atau Sistem Elektronik lainnya. 26. Kontrak Elektronik adalah perjanjian para pihak yang dibuat melalui Sistem Elektronik. 27. Pengirim adalah subjek hukum yang mengirimkan Informasi Elektronik dan/atau Dokumen Elektronik. 28. Penerima adalah subjek hukum yang menerima Informasi Elektronik dan/atau Dokumen Elektronik dari Pengirim. 29. Penyelenggara atau Pendukung Layanan Tanda Tangan Elektronik adalah badan hukum yang berfungsi sebagai pihak terpercaya yang memfasilitasi pembuatan Tanda Tangan Elektronik. 30. Alat Pembuat Tanda Tangan Elektronik adalah Sistem Elektronik yang diperlukan untuk membuat Tanda Tangan Elektronik. 31. Data Pembuatan Tanda Tangan Elektronik adalah kode pribadi, kode biometrik, kode kriptografi, dan/atau kode yang dihasilkan dari pengubahan tanda tangan manual menjadi Tanda Tangan Elektronik, termasuk kode lain yang dihasilkan dari perkembangan Teknologi Informasi. 32. Penyelenggara Sertifikasi Elektronik adalah badan hukum yang berfungsi sebagai pihak yang layak dipercaya, yang memberikan dan mengaudit Sertifikat Elektronik. 33. Sertifikat Elektronik adalah sertifikat yang bersifat elektronik yang memuat Tanda Tangan Elektronik dan identitas yang menunjukkan status subjek hukum para pihak dalam Transaksi Elektronik yang dikeluarkan oleh Penyelenggara Sertifikasi Elektronik. 3 34. Nama Domain adalah alamat internet penyelenggara negara, Orang, Badan Usaha, dan/atau masyarakat, yang dapat digunakan dalam berkomunikasi melalui internet, yang berupa kode atau susunan karakter yang bersifat unik untuk menunjukkan lokasi tertentu dalam internet. 35. Pengelola Nama Domain (Registri) adalah institusi yang bertanggung jawab dalam pengelolaan, pengoperasian, dan pemeliharaan Nama Domain tingkat tinggi Indonesia (country code top level domain .id). 36. Institusi Pendaftar Nama Domain (Registrar) adalah badan hukum Indonesia yang menyediakan jasa pendaftaran Nama Domain dalam berbagai kategori sesuai dengan peraturan perundang-undangan. 37. Pengguna Nama Domain (Registran) adalah Institusi Penyelenggara Negara, Orang, Badan Usaha, dan/atau masyarakat yang telah memenuhi syarat dan berhak untuk menggunakan Nama Domain yang didaftarkan melalui Registrar. 38. Institusi Penyelenggara Negara adalah institusi legislatif, eksekutif, dan yudikatif di tingkat pusat dan daerah dan institusi lain yang ditetapkan dengan peraturan perundang-undangan. 39. Orang adalah orang perseorangan, baik warga negara Indonesia, warga negara asing, maupun badan hukum. 40. Badan Usaha adalah perusahaan perseorangan atau perusahaan persekutuan, baik yang berbadan hukum maupun yang tidak berbadan hukum. 41. Pemerintah adalah Menteri atau pejabat lainnya yang ditunjuk oleh Presiden. 42. Menteri adalah menteri yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika. BAB II LEMBAGA SERTIFIKASI KEANDALAN Bagian Kesatu Umum Pasal 2 (1) Sertifikasi Keandalan mencakup pemeriksaan terhadap informasi yang lengkap dan benar dari pelaku usaha untuk mendapatkan Sertifikat Keandalan. (2) Informasi yang lengkap dan benar sebagaimana dimaksud pada ayat (1) meliputi informasi: a. yang memuat identitas subjek hukum; b. yang memuat status dan kompetensi subjek hukum; c. yang menjelaskan hal tertentu yang menjadi syarat sahnya perjanjian serta menjelaskan barang dan/atau jasa yang ditawarkan. 4 Bagian Kedua Sertifikasi Keandalan Pasal 3 (1) Sertifikat Keandalan bertujuan untuk melindungi konsumen dalam Transaksi Elektronik. (2) Sertifikat Keandalan sebagaimana dimaksud pada ayat (1) berupa jaminan pelaku usaha telah memenuhi kriteria yang ditentukan oleh Lembaga Sertifikasi Keandalan. (3) Pelaku usaha yang telah memenuhi kriteria sebagaimana dimaksud pada ayat (2) berhak menggunakan sertifikat keandalan pada situs internet (website) dan/atau Sistem Elektronik lainnya. Pasal 4 (1) Sertifikat Keandalan yang diterbitkan oleh Lembaga Sertifikasi Keandalan dapat diklasifikasi menjadi: a. Tingkat 1 - Pengamanan terhadap identitas (identitiy seal); b. Tingkat 2 - Pengamanan terhadap pertukaran data (security seal); c. Tingkat 3 - Pengamanan terhadap kerawanan (vulnerability seal); d. Tingkat 4 - Pemeringkatan konsumen (consumer rating seal); dan e. Tingkat 5 - Pengamanan terhadap kerahasiaan pribadi (privacy seal). (2) Ketentuan mengenai klasifikasi Sertifikat Keandalan sebagaimana dimaksud pada ayat (1) dalam peraturan Menteri. Bagian Ketiga Lembaga Sertifikasi Keandalan Pasal 5 (1) Lembaga Sertifikasi Keandalan terdiri atas: a. Lembaga Sertifikasi Keandalan Indonesia; dan b. Lembaga Sertifikasi Keandalan asing. (2) Lembaga Sertifikasi Keandalan Indonesia sebagaimana dimaksud pada ayat (1) huruf a harus berbentuk Badan Usaha dan berdomisili di Indonesia. (3) Lembaga Sertifikasi Keandalan Indonesia harus diakreditasi oleh Badan Pengawas Penyelenggara Sertifikasi Elektronik. (4) Lembaga Sertifikasi Keandalan terakreditasi dalam 2 (dua) kategori: a. Lembaga Sertifikasi Keandalan terdaftar; b. Lembaga Sertifikasi Keandalan tersertifikasi. (5) Lembaga Sertifikasi Keandalan asing sebagaimana dimaksud pada ayat (1) huruf b yang beroperasi di wilayah negara Republik Indonesia harus terdaftar di Indonesia. (6) Ketentuan lebih lanjut mengenai tata cara pembentukan atau pendirian Lembaga Sertifikasi Keandalan Indonesia dan tata cara akreditasi Lembaga Sertifikasi Keandalan diatur dalam peraturan Menteri. 5 Pasal 6 Lembaga Sertifikasi Keandalan diawasi oleh Badan Pengawas Penyelenggara Sertifikasi Elektronik. Pasal 7 (1) Lembaga Sertifikasi Keandalan dibentuk oleh profesi yang diakui dan disahkan oleh Pemerintah. (2) Profesi sebagaimana dimaksud pada ayat (1), selanjutnya disebut profesi penunjang dalam lingkup Teknologi Informasi, meliputi: a. konsultan TI; b. auditor TI; c. konsultan hukum bidang TI; d. akuntan; e. konsultan manajemen bidang TI; f. penilai; g. notaris; dan h. profesi penunjang lain dalam lingkup Teknologi Informasi yang ditetapkan dengan Keputusan Menteri. (3) Lembaga Sertifikasi Keandalan dibentuk paling sedikit oleh konsultan TI, auditor TI, dan konsultan hukum. (4) Profesi penunjang dalam lingkup Teknologi Informasi sebagaimana dimaksud pada ayat (2) wajib terdaftar di instansi pemerintah yang menyelenggarakan urusan di bidang komunikasi dan informatika. (5) Ketentuan mengenai persyaratan dan tata cara pendaftaran profesi penunjang dalam lingkup Teknologi Informasi diatur dengan Peraturan Menteri. Pasal 8 Pendaftaran profesi penunjang dalam lingkup Teknologi Informasi di instansi pemerintah yang menyelenggarakan urusan di bidang komunikasi dan informatika menjadi batal jika izin profesi dicabut oleh instansi yang berwenang. BAB III TANDA TANGAN ELEKTRONIK Bagian Kesatu Umum Pasal 9 Tanda Tangan Elektronik memiliki kekuatan hukum dan akibat hukum yang sah jika memenuhi persyaratan: a. data pembuatan Tanda Tangan Elektronik terkait hanya kepada Penanda Tangan; b. data pembuatan Tanda Tangan Elektronik pada saat proses penandatanganan elektronik hanya berada dalam kuasa Penanda Tangan; c. segala perubahan terhadap Tanda Tangan Elektronik yang terjadi setelah waktu penandatanganan dapat diketahui; d. segala perubahan terhadap Informasi Elektronik yang terkait dengan Tanda Tangan Elektronik tersebut setelah waktu penandatanganan dapat diketahui; 6 e. f. terdapat cara tertentu yang dipakai untuk mengidentifikasi siapa Penanda Tangannya; dan terdapat cara tertentu untuk menunjukkan bahwa Penanda Tangan telah memberikan persetujuan terhadap Informasi Elektronik yang terkait. Bagian Kedua Jenis Tanda Tangan Elektronik Pasal 10 (1) Tanda Tangan Elektronik meliputi: a. Tanda Tangan Elektronik tersertifikasi; dan b. Tanda Tangan Elektronik tidak tersertifikasi. (2) Tanda Tangan Elektronik tersertifikasi sebagaimana dimaksud pada ayat (1) huruf a dibuat dengan menggunakan jasa Penyelenggara Sertifikasi Elektronik dan dibuktikan dengan Sertifikat Elektronik. (3) Tanda Tangan Elektronik tidak tersertifikasi sebagaimana dimaksud pada ayat (1) huruf b dibuat tanpa menggunakan jasa Penyelenggara Sertifikasi Elektronik. (4) Tanda Tangan Elektronik yang digunakan dalam Transaksi Elektronik dapat dihasilkan melalui berbagai prosedur penandatanganan. Pasal 11 (1) Tanda Tangan Elektronik berfungsi sebagai alat autentikasi dan verifikasi atas: a. identitas Penanda Tangan; dan/atau b. jaminan keutuhan dan keaslian sebuah Informasi Elektronik. (2) Tanda Tangan Elektronik dalam Transaksi Elektronik berfungsi sebagai persetujuan Penanda Tangan atas Informasi Elektronik dan/atau Dokumen Elektronik yang ditandatangani dengan Tanda Tangan Elektronik tersebut dengan segala akibat hukum yang ditimbulkannya. Bagian Ketiga Data Pembuatan Tanda Tangan Elektronik Pasal 12 (1) Data Pembuatan Tanda Tangan Elektronik harus secara unik merujuk hanya kepada Penanda Tangan dan dapat digunakan untuk mengidentifikasi Penanda Tangan. (2) Selain ketentuan sebagaimana dimaksud pada ayat (1), Data Pembuatan Tanda Tangan Elektronik yang dibuat oleh Penyelenggara atau Pendukung Layanan Tanda Tangan Elektronik harus memenuhi ketentuan sebagai berikut. a. Seluruh proses pembuatan Data Pembuatan Tanda Tangan Elektronik dijamin keamanan dan kerahasiaannya oleh Penyelenggara atau Pendukung Layanan Tanda Tangan Elektronik. b. Jika menggunakan kode kriptografi, Data Pembuatan Tanda Tangan Elektronik harus tidak dapat dengan mudah diketahui dari data verifikasi Tanda Tangan Elektronik melalui penghitungan tertentu, dalam kurun waktu tertentu, dan dengan alat yang wajar. c. Data Pembuatan Tanda Tangan Elektronik tersimpan dalam suatu Media Elektronik yang berada dalam penguasaan Penanda Tangan. 7 d. Data yang terkait dengan Penanda Tangan wajib tersimpan di tempat penyimpanan data atau sarana penyimpanan data yang menggunakan sistem terpercaya milik Penyelenggara atau Pendukung Layanan Tanda Tangan Elektronik yang dapat mendeteksi adanya perubahan serta memenuhi persyaratan: 1. hanya orang yang diberi wewenang yang dapat memasukkan data baru, mengubah, menukar, atau mengganti data yang ada; 2. informasi identitas Penanda Tangan dapat diperiksa keautentikannya; 3. perubahan teknis apa pun yang melanggar persyaratan keamanan dapat dideteksi atau diketahui oleh penyelenggara. Bagian Keempat Proses Penandatanganan Pasal 13 (1) Pada proses penandatanganan harus ada mekanisme yang digunakan untuk memastikan Data Pembuatan Tanda Tangan Elektronik: a. masih berlaku, tidak dibatalkan, atau tidak ditarik; b. tidak dilaporkan hilang; c. tidak dilaporkan berpindah tangan kepada orang yang tidak berhak; dan d. berada dalam kuasa Penanda Tangan. (2) Sebelum dilakukan penandatanganan, Informasi Elektronik ditandatangani harus diketahui dan dipahami oleh Penanda Tangan. yang akan (3) Persetujuan Penanda Tangan terhadap Informasi Elektronik yang akan ditandatangani dengan Tanda Tangan Elektronik harus menggunakan mekanisme afirmasi dan/atau mekanisme lain yang memperlihatkan maksud dan tujuan Penanda Tangan untuk terikat dalam suatu Transaksi Elektronik. (4) Metode dan/atau teknik yang digunakan untuk membuat Tanda Tangan Elektronik paling sedikit harus memuat: a. Data Pembuatan Tanda Tangan Elektronik; b. waktu pembuatan Tanda Tangan Elektronik; dan c. Informasi Elektronik yang akan ditandatangani. (5) Perubahan Tanda Tangan Elektronik dan/atau Informasi Elektronik yang ditandatangani setelah waktu penandatanganan, harus dapat diketahui, dideteksi, atau ditemukenali dengan metode atau cara tertentu. Bagian Kelima Identifikasi, Autentikasi, dan Verifikasi Tanda Tangan Elektronik Pasal 14 (1) Sebelum Tanda Tangan Elektronik digunakan, Penyelenggara Tanda Tangan Elektronik wajib memastikan identifikasi awal Penanda Tangan dengan cara sebagai berikut. a. Penanda Tangan menyampaikan identitas kepada Penyelenggara Tanda Tangan Elektronik. b. Penanda Tangan melakukan registrasi kepada Penyelenggara atau Pendukung Layanan Tanda Tangan Elektronik sebelum menggunakan Tanda Tangan Elektronik dalam suatu Transaksi Elektronik. 8 c. Dalam hal diperlukan, Penyelenggara Tanda Tangan Elektronik dapat melimpahkan secara rahasia data identitas Penanda Tangan kepada Penyelenggara Pendukung Layanan Tanda Tangan Elektronik lain dengan persetujuan Penanda Tangan. (2) Mekanisme yang digunakan oleh Penyelenggara Tanda Tangan Elektronik untuk pembuktian identitas Penanda Tangan secara elektronik wajib menerapkan kombinasi paling kurang dua faktor autentikasi. (3) Proses verifikasi dari suatu Informasi Elektronik yang ditandatangani dapat dilakukan dengan memeriksa data Tanda Tangan untuk menelusuri setiap perubahan data yang ditandatangani. Bagian Keenam Kewajiban Pasal 15 (1) Penyelenggara Pendukung Layanan Tanda Tangan Elektronik wajib bertanggung jawab atas penggunaan Data atau Alat Pembuat Tanda Tangan Elektronik. (2) Penyelenggara Pendukung Layanan Tanda Tangan Elektronik wajib menggunakan Alat Pembuatan Tanda Tangan Elektronik yang menerapkan teknik kriptografi dalam proses pengiriman dan penyimpanan Tanda Tangan Elektronik. (3) Penanda Tangan harus bertanggung jawab menjaga kerahasiaan Data Pembuatan Tanda Tangan Elektronik. BAB IV PENYELENGGARAAN SERTIFIKASI ELEKTRONIK Bagian Kesatu Umum Pasal 16 (1) Untuk meningkatkan keamanan dalam melakukan Transaksi Elektronik, Penyelenggara atau pengguna Sistem Elektronik harus menggunakan Sertifikat Elektronik yang diterbitkan oleh Penyelenggara Sertifikasi Elektronik. (2) Penyelenggara negara yang menyelenggarakan Sistem Elektronik untuk pelayanan publik harus menggunakan Sertifikat Elektronik. (3) Penyelenggara negara yang menyelenggarakan Sistem Elektronik yang mengelola data elektronik strategis wajib menggunakan Sertifikat Elektronik. (4) Sertifikat Elektronik sebagaimana dimaksud pada ayat (2) dan ayat (3) diterbitkan oleh Penyelenggara Sertifikasi Elektronik yang terakreditasi pada Badan Pengawas Penyelenggara Sertifikasi Elektronik sebagai Penyelenggara Sertifikasi Elektronik Pemerintah. (5) Ketentuan lebih lanjut mengenai tata cara pendaftaran, pemeriksaan, dan/atau penerbitan Sertifikat Elektronik oleh Penyelenggara Sertifikasi Elektronik diatur dalam Peraturan Menteri. 9 Pasal 17 (1) Sertifikat Elektronik dinyatakan sah jika diterbitkan oleh Penyelenggara Sertifikasi Elektronik. (2) Penyelenggara Sertifikasi Elektronik sebagaimana dimaksud pada ayat (1) diakui, disahkan, dan diawasi oleh Badan Pengawas Penyelenggara Sertifikasi Elektronik. Pasal 18 Ketentuan lebih lanjut mengenai penggunaan Sertifikasi Elektronik oleh penyelenggara negara diatur dalam peraturan Menteri. Bagian Kedua Penyelenggara Sertifikasi Elektronik Pasal 19 (1) Penyelenggara Sertifikasi Elektronik terakreditasi terdiri atas: a. Penyelenggara Sertifikasi Elektronik terdaftar; b. Penyelenggara Sertifikasi Elektronik tersertifikasi; c. Penyelenggara Sertifikasi Elektronik berinduk ; d. Penyelenggara Sertifikasi Elektronik Pemerintah. (2) Penyelenggara Sertifikasi Elektronik terdaftar sebagaimana dimaksud pada ayat (1) huruf a merupakan Penyelenggara Sertifikasi Elektronik yang telah memenuhi persyaratan proses pendaftaran pada Badan Pengawas Penyelenggara Sertifikasi Elektronik. (3) Penyelenggara Sertifikasi Elektronik tersertifikasi sebagaimana dimaksud pada ayat (1) huruf b wajib terdaftar dan mendapatkan sertifikasi dari Lembaga Sertifikasi Penyelenggara Sertifikasi Elektronik yang terakreditasi. (4) Penyelenggara Sertifikasi Elektronik berinduk sebagaimana dimaksud pada ayat (1) huruf c wajib tersertifikasi dan mendapatkan wewenang atau delegasi dari Badan Pengawas Penyelenggara Sertifikasi Elektronik untuk menggunakan Tanda Tangan Elektronik. (5) Penyelenggara Sertifikasi Elektronik Pemerintah sebagaimana dimaksud pada ayat (1) huruf d merupakan Penyelenggara Sertifikasi Elektronik berinduk yang diselenggarakan oleh Pemerintah. Pasal 20 Ketentuan lebih lanjut mengenai tata cara pembentukan Penyelenggara Sertifikasi Elektronik dan tata cara akreditasi Penyelenggara Sertifikasi Elektronik diatur dalam peraturan Menteri. Pasal 21 Penyelenggara Sertifikasi Elektronik wajib melakukan : a. pendaftaran dan pemeriksaan fisik calon pemilik dan/atau pemegang Sertifikat Elektronik; b. pembuatan dan/atau penerbitan Sertifikat Elektronik; 10 c. d. e. f. g. perpanjangan masa berlaku Sertifikat Elektronik; pemblokiran dan pencabutan Sertifikat Elektronik; validasi Sertifikat Elektronik; pembuatan daftar Sertifikat Elektronik yang aktif dan yang dibekukan; dan kegiatan lain yang diatur dalam peraturan Menteri. Bagian Ketiga Badan Pengawas Penyelenggara Sertifikasi Elektronik Pasal 22 (1) Badan Pengawas Penyelenggara Sertifikasi Elektronik bertugas mengelola pendaftaran dan pengawasan Penyelenggara Sertifikasi Elektronik dan Lembaga Sertifikasi Keandalan. (2) Badan Pengawas Penyelenggara Sertifikasi Elektronik sebagaimana dimaksud pada ayat (1) berfungsi: a. melakukan pendaftaran, akreditasi dan pengawasan Penyelenggara Sertifikasi Elektronik dan Lembaga Sertifikasi Keandalan; b. menerbitkan Sertifikat Keandalan bagi Penyelenggara Sertifikasi Elektronik yang terdaftar; c. sebagai induk (root) Penyelenggara Sertifikasi Elektronik berinduk. (3) Anggaran penyelenggaraan Badan Pengawas Penyelenggara Sertifikasi Elektronik dibebankan pada anggaran pendapatan dan belanja negara. (4) Setiap pendapatan atas pelayanan Badan Pengawas Penyelenggara Sertifikasi Elektronik menjadi penerimaan negara bukan pajak. (5) Ketentuan lebih lanjut mengenai pembentukan dan penyelenggaraan Badan Pengawas Penyelenggara Sertifikasi Elektronik diatur dalam peraturan Menteri. BAB V PENYELENGGARAAN SISTEM ELEKTRONIK Bagian Kesatu Komponen Sistem Elektronik Pasal 23 (1) Sistem Elektronik terdiri dari komponen-komponen yang meliputi perangkat keras, perangkat lunak, jaringan komunikasi, data, prosedur, dan sumber daya manusia. (2) Penyelenggara Sistem Elektronik wajib menjamin setiap komponen dan keterpaduan seluruh Sistem Elektronik beroperasi sebagaimana mestinya. Bagian Kedua Persyaratan Penyelenggaraan Sistem Elektronik untuk Pelayanan Publik Pasal 24 (1) Sebelum diluncurkan kepada publik, Sistem Elektronik yang digunakan untuk pelayanan publik wajib mendapatkan sertifikasi kelaikan Sistem Elektronik. 11 (2) Setiap Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menjalankan perencanaan keberlangsungan kegiatan untuk menanggulangi gangguan atau bencana sesuai dengan risiko dari dampak yang ditimbulkannya. (3) Setiap Penyelenggara Sistem Elektronik untuk pelayanan publik yang mengoperasikan pusat data wajib menempatkan pusat data dan pusat pemulihan bencana yang dioperasikannya di wilayah Indonesia. (4) Setiap Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menjaga rahasia, keutuhan, dan ketersediaan data pribadi yang dikelolanya. (5) Setiap Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menjamin bahwa perolehan, penggunaan, dan pemanfaatan data pribadi berdasarkan persetujuan orang yang bersangkutan, kecuali ditentukan lain oleh peraturan perundang-undangan. (6) Setiap Penyelenggara Sistem Elektronik wajib menjamin penggunaan atau pengungkapan data dilakukan berdasarkan persetujuan dari pemilik data pribadi tersebut dan sesuai dengan tujuan yang disampaikan kepada pemilik data pribadi pada saat perolehan data. (7) Jika terjadi kegagalan dalam perlindungan rahasia data pribadi yang dikelolanya, setiap Penyelenggara Sistem Elektronik yang bersangkutan wajib memberitahukan secara tertulis kepada setiap pemilik data pribadi tersebut. (8) Ketentuan lebih lanjut mengenai pedoman perlindungan data pribadi untuk Sistem Elektronik diatur dalam peraturan Menteri. Bagian Ketiga Persyaratan Perangkat Lunak Pasal 25 (1) Untuk perlindungan kepentingan umum, Penyelenggara Sistem Elektronik untuk pelayanan publik wajib mendaftarkan setiap perangkat lunak yang digunakan kepada instansi yang membidangi informatika. (2) Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menjamin keamanan dan keandalan beroperasinya setiap perangkat lunak sebagaimana mestinya. (3) Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menjamin penggunaan perangkat lunak tidak bertentangan dengan ketentuan peraturan perundangundangan. (4) Dalam hal kepentingan hukum menghendaki, pemeriksaan kode sumber dapat dilakukan terhadap perangkat lunak sebagaimana dimaksud pada ayat (1). (5) Hak cipta, kode sumber, dan dokumentasi atas perangkat lunak wajib diserahkan kepada instansi pemerintah yang bersangkutan dalam hal Penyedia Perangkat Lunak mengembangkan Perangkat Lunak yang khusus dibuat untuk suatu instansi pemerintah. (6) Kode sumber harus terjamin dapat diperoleh atau diakses pada lembaga pihak ketiga terpercaya penyimpan kode sumber (escrow account) dalam hal penyerahan kode sumber sebagaimana dimaksud pada ayat (5) tidak mungkin dilaksanakan. 12 (7) Ketentuan lebih lanjut mengenai persyaratan perangkat lunak sebagaimana dimaksud pada ayat (1), ayat (2), ayat (3), ayat (4), ayat (5), dan ayat (6) diatur dalam peraturan Menteri. Bagian Keempat Persyaratan Perangkat Keras Pasal 26 (1) Untuk melindungi kepentingan umum, Penyelenggara Sistem Elektronik wajib : a. memenuhi aspek interkonektivitas dan kompatibilitas perangkat keras yang digunakan dengan sistem yang digunakannya; b. mendapatkan sertifikasi kelaikan Sistem Elektronik untuk perangkat keras dari instansi yang berwenang; c. mempunyai layanan dukungan teknis, pemeliharaan, dan layanan purnajual dari penjual (vendor) perangkat keras; d. mendapatkan referensi pendukung dari pengguna lainnya bahwa perangkat keras tersebut berfungsi sesuai dengan spesifikasinya; e. mendapatkan jaminan ketersediaan suku cadangnya paling sedikit 3 (tiga) tahun; f. mendapatkan jaminan kejelasan kondisi kebaruan perangkat keras yang digunakan; g. mendapatkan jaminan perangkat keras bebas dari cacat produk; h. memastikan netralitas teknologi dan kebebasan memilih dalam menggunakan produk perangkat keras yang akan digunakan. (2) Ketentuan standar teknis mengenai perangkat keras diatur lebih lanjut dalam peraturan Menteri. Bagian Kelima Tenaga Ahli Pasal 27 (1) Tenaga ahli yang digunakan oleh Penyelenggara Sistem Elektronik harus memiliki keahlian di bidang Sistem Elektronik atau Teknologi Informasi, yang didukung oleh sertifikat keahlian. (2) Untuk penyelenggaraan Sistem Elektronik yang bersifat strategis, tenaga ahli yang digunakan harus warga negara Indonesia. (3) Ketentuan lebih lanjut sebagaimana dimaksud pada ayat (1) dan ayat (2) diatur dalam peraturan Menteri. Bagian Keenam Jasa Teknologi Informasi Pasal 28 Penyelenggara Sistem Elektronik wajib menjamin: a. adanya perjanjian tingkat layanan (service level agreement) dan perjanjian keamanan informasi terhadap jasa layanan Teknologi Informasi yang digunakan; dan 13 b. keamanan informasi dan sarana komunikasi internal yang diselenggarakan. Bagian Ketujuh Manajemen Risiko Pasal 29 Penyelenggara Sistem Elektronik wajib menerapkan manajemen risiko terhadap kerusakan atau kerugian yang ditimbulkan. Bagian Kedelapan Tata Kelola Sistem Elektronik Pasal 30 (1) Penyelenggara Sistem Elektronik harus memiliki kebijakan tata kelola dan prosedur kerja pengoperasian Sistem Elektronik untuk memastikan Sistem Elektronik dapat beroperasi sebagaimana mestinya. (2) Ketentuan mengenai kebijakan tata kelola sebagaimana dimaksud pada ayat (1) ditentukan lebih lanjut dalam peraturan menteri Pasal 31 (1) Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menerapkan tata kelola yang baik dan akuntabel sesuai dengan ketentuan peraturan perundangundangan. (2) Tata kelola sebagaimana dimaksud pada ayat (1) wajib memenuhi persyaratan minimum sebagai berikut : a. tersedianya prosedur atau petunjuk dalam Penyelenggaraan Sistem Elektronik yang didokumentasikan dan/atau diumumkan dengan bahasa, informasi, atau simbol yang dimengerti oleh pihak yang terkait dengan penyelenggaraan Sistem Elektronik tersebut; b. adanya mekanisme yang berkelanjutan untuk menjaga kebaruan dan kejelasan prosedur pedoman pelaksanaan; c. adanya kelembagaan dan kelengkapan personel pendukung bagi pengoperasian Sistem Elektronik sebagaimana mestinya; d. adanya penerapan manajemen kinerja pada Sistem Elektronik yang diselenggarakannya untuk memastikan Sistem Elektronik beroperasi sebagaimana mestinya; e. adanya rencana menjaga keberlangsungan penyelenggaraan sistem elektronik (business continuity plan) yang dikelolanya. (3) Ketentuan mengenai pedoman tata kelola sistem Informasi Elektronik untuk layanan publik diatur lebih lanjut dalam peraturan Menteri. 14 Bagian Kesembilan Pengawasan Pasal 32 (1) Pemerintah melakukan pengawasan dalam memfasilitasi pemanfaatan Teknologi Informasi, melindungi kepentingan umum, dan mencegah penyalahgunaan Penyelenggaraan Sistem Elektronik. (2) Pengawasan oleh Pemerintah mencakup pemantauan, pengendalian, pemeriksaan, penelusuran, dan pengamanan. (3) Dalam melakukan pengawasan sebagaimana dimaksud pada ayat (2), Pemerintah melakukan sendiri atau mendelegasikan kepada pihak ketiga yang kompeten sesuai dengan ketentuan peraturan perundang-undangan. (4) Pengawasan terhadap Penyelenggaraan Sistem Elektronik sebagaimana dimaksud pada ayat (2) dilakukan berdasarkan peraturan Menteri. (5) Ketentuan mengenai penyelenggaraan Sistem Elektronik dalam bidang tertentu harus dibuat oleh instansi yang bertanggung jawab dalam pengawasan bidang tersebut melalui koordinasi Menteri. Bagian Kesepuluh Pendaftaran Pasal 33 (1) Untuk melindungi kepentingan umum, Penyelenggara Sistem Elektronik wajib terdaftar di kementerian yang mengurusi bidang komunikasi dan informatika. (2) Ketentuan lebih lanjut mengenai tata cara pendaftaran sebagaimana dimaksud pada ayat (1) diatur dalam peraturan Menteri. Bagian Kesebelas Jejak Audit Pasal 34 (1) Setiap Penyelenggara Sistem Elektronik wajib menyediakan rekam jejak audit (audit trail) terhadap seluruh kegiatan Penyelenggaraan Sistem Elektronik. (2) Jejak audit sebagaimana dimaksud pada ayat (1) digunakan untuk keperluan yang berkaitan dengan pengawasan, penegakan hukum, penyelesaian sengketa, verifikasi, pengujian, dan pemeriksaan lainnya. Bagian Keduabelas Sertifikasi Kelaikan Sistem Elektronik Pasal 35 (1) Penyelenggara Sistem Elektronik untuk pelayanan publik wajib mendapatkan sertifikasi. 15 (2) Sertifikasi Sistem Elektronik dilakukan setelah Penyelenggara Sistem Elektronik melakukan pendaftaran sesuai dengan tata cara pendaftaran sebagaimana dimaksud dalam Pasal 33 ayat (2). (3) Sertifikat diberikan apabila Sistem Elektronik telah diaudit dan lulus uji laik sesuai dengan standar yang ditentukan dalam peraturan Menteri. (4) Ketentuan lebih lanjut mengenai sertifikasi diatur dalam peraturan Menteri. Bagian Ketigabelas Pengamanan Penyelenggaraan Sistem Elektronik Pasal 36 Penyelenggara Sistem Elektronik wajib melakukan pengamanan terhadap komponenkomponen penyelenggaraan Sistem Elektronik yang meliputi perangkat keras, perangkat lunak, jaringan komunikasi, data, prosedur, dan sumber daya manusia. Pasal 37 (1) Setiap Penyelenggara Sistem Elektronik wajib memiliki dan menjalankan prosedur dan sarana untuk pengamanan agar Sistem Elektronik terhindar dari gangguan, kegagalan, dan kerugian. (2) Penyelenggara Sistem Elektronik wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan/atau penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian. (3) Ketentuan tentang tingkat dan kategori sistem pengamanan akan diatur lebih lanjut dalam Peraturan Menteri. Pasal 38 Sepanjang tidak diatur secara khusus dalam peraturan perundang-undangan pada sektor terkait, ketentuan mengenai penampilan kembali Informasi Elektronik dan/atau Dokumen Elektronik berikut format dan masa retensi ditetapkan dalam peraturan Menteri. Pasal 39 (1) Penyelenggara Sistem Elektronik wajib menjaga kerahasiaan, keutuhan, keotentikan, keteraksesan, ketersediaan, dan dapat ditelusurinya suatu Informasi dan/atau dokumen Elektronik dalam Penyelenggaraan Sistem Elektronik sesuai dengan peraturan perundang-undangan. (2) Dalam Penyelenggaraan Sistem Elektronik yang ditujukan untuk Informasi Elektronik dan/atau Dokumen Elektronik yang dapat dipindahtangankan (electronic transferable record), Informasi Elektronik dan/atau Dokumen Elektronik tersebut harus unik serta menjelaskan penguasaan dan kepemilikan. 16 Pasal 40 Penyelenggara Sistem Elektronik harus menjamin berfungsinya Sistem Elektronik sesuai dengan peruntukannya, dengan tetap memperhatikan interoperabilitas dan kompatibilitas dengan Sistem Elektronik sebelumnya dan/atau Sistem Elektronik yang terkait. Pasal 41 (1) Penyelenggara Sistem Elektronik wajib melakukan edukasi kepada konsumen. (2) Penyelenggara Sistem Elektronik wajib memuat atau menyampaikan informasi untuk melindungi hak pengguna sekurang-kurangnya meliputi informasi tentang: a. identitas penyelenggara Agen Elektronik; b. objek yang ditransaksikan; c. kelayakan atau keamanan sistem; d. tata cara penggunaan perangkat; e. syarat kontrak dan prosedur bagaimana mencapai kesepakatan; dan f. jaminan privasi dan/atau proteksi data pribadi. (3) Penyelenggara Sistem Elektronik wajib memuat atau menyediakan fitur dalam rangka melindungi hak pengguna sesuai dengan karakteristik Sistem Elektronik yang digunakannya. (4) Fitur-fitur sebagaimana dimaksud pada ayat (3) berupa fasilitas untuk: a. melakukan koreksi; b. membatalkan perintah; c. memberikan konfirmasi atau rekonfirmasi; d. memilih, meneruskan, atau berhenti melaksanakan aktivitas berikutnya; e. melihat apakah informasi yang disampaikan merupakan tawaran untuk melakukan kontrak atau iklan setelah transaksi dilakukan; f. mengecek status berhasil atau gagalnya transaksi; g. membaca perjanjian sebelum melakukan transaksi. (5) Penyelenggara Sistem Elektronik harus melindungi pelanggannya dan masyarakat luas dari kerugian yang ditimbulkan oleh Sistem Elektronik yang dikelola dan/atau dioperasikannya. Pasal 42 Setiap orang yang bekerja di lingkungan penyelenggaraan Sistem Elektronik wajib mengamankan dan melindungi sarana dan prasarana Sistem Elektronik ataupun informasi yang disalurkan melalui Sistem Elektronik. Pasal 43 Penyelenggara Sistem Elektronik wajib menyediakan, mendidik, dan melatih personel yang bertugas dan bertanggung jawab terhadap pengamanan dan perlindungan sarana dan prasarana Sistem Elektronik. Pasal 44 (1) Untuk keperluan proses peradilan pidana, Penyelenggara Sistem Elektronik wajib memberikan informasi yang terdapat di dalam Sistem Elektronik atau informasi yang dihasilkan oleh Sistem Elektronik atas permintaan yang sah dari penyidik untuk tindak pidana tertentu sesuai dengan ketentuan peraturan perundang-undangan. 17 (2) Dalam hal terjadi kegagalan dan gangguan sistem sebagai akibat perbuatan dari pihak lain terhadap Sistem Elektronik, Penyelenggara Sistem Elektronik wajib mengamankan data dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum. BAB VI PENYELENGGARAAN TRANSAKSI ELEKTRONIK Bagian Kesatu Cakupan Penyelenggaraan Transaksi Elektronik Pasal 45 (1) Penyelenggaraan Transaksi Elektronik dapat dilakukan dalam lingkup publik ataupun privat. (2) Penyelenggaraan Transaksi Elektronik dalam lingkup publik meliputi: a. pertukaran atau penyampaian Informasi Elektronik dan/atau Dokumen Elektronik yang berkaitan dengan kepentingan umum dengan kesepakatan para pihak; b. Penyelenggaraan Transaksi Elektronik oleh penyelenggara negara atau oleh pihak lain yang menyelenggarakan layanan publik sepanjang tidak dikecualikan oleh Undang-Undang tentang Informasi dan Transaksi Elektronik; c. Penyelenggaraan Transaksi Elektronik dalam lingkup publik lainnya sebagaimana diatur dalam ketentuan peraturan perundang-undangan. (3) Penyelenggaraan Transaksi Elektronik dalam lingkup privat meliputi Transaksi Elektronik: a. antar-Pelaku Usaha; b. antara Pelaku Usaha dan konsumen; c. antar-pribadi; d. antar-penyelenggara negara; e. antara penyelenggara negara dan Pelaku Usaha; f. dalam bentuk pelimpahan tugas dan kewenangan; g. lain yang sah menurut Undang-Undang tentang Informasi dan Transaksi Elektronik; Pasal 46 (1) Transaksi Elektronik yang dilakukan para pihak memberikan akibat hukum kepada para pihak. (2) Penyelenggaraan Transaksi Elektronik yang dilakukan para pihak wajib dilakukan dengan memperhatikan : a. itikad baik; b. prinsip kehati-hatian; c. transparansi; d. akuntabilitas; e. kewajaran. 18 Bagian Kedua Persyaratan Transaksi Elektronik Pasal 47 (1) Transaksi Elektronik harus dilakukan berdasarkan kesepakatan yang dituangkan ke dalam Kontrak Elektronik. (2) Transaksi Elektronik dianggap sah sebagai Kontrak Elektronik apabila : a. terdapat kesepakatan para pihak; b. dilakukan oleh subjek hukum yang cakap atau yang berwenang mewakili sesuai ketentuan ketentuan peraturan perundang-undangan; c. terdapat hal tertentu; d. objek transaksi tidak boleh bertentangan dengan undang-undang. Pasal 48 (1) Kontrak Elektronik dapat disusun dalam format perjanjian elektronik dan format lainnya sebagai bentuk kesepakatan yang dilakukan oleh para pihak. (2) Kontrak Elektronik yang ditujukan kepada penduduk Indonesia harus dilengkapi dengan kontrak yang dibuat dalam bahasa Indonesia. (3) Kontrak Elektronik yang dibuat dengan klausula baku tidak boleh bertentangan dengan ketentuan tentang klausula baku sebagaimana diatur dalam peraturan perundang-undangan. (4) Kontrak Elektronik wajib memuat, antara lain: a. data/informasi para pihak; b. objek dan spesifikasi; c. persyaratan Transaksi Elektronik; d. harga dan biaya; e. prosedur dalam hal terdapat pembatalan dilakukan oleh para pihak; f. ketentuan yang memberikan hak kepada pihak yang dirugikan untuk dapat mengembalikan barang dan/atau meminta penggantian barang jika terdapat cacat tersembunyi; dan g. pilihan hukum penyelesaian Transaksi Elektronik. Pasal 49 (1) Kecuali ditentukan lain, Transaksi Elektronik terjadi pada saat tercapainya kesepakatan para pihak. (2) Kesepakatan terjadi pada saat penawaran transaksi yang dikirim oleh Pengirim telah diterima dan disetujui oleh Penerima. (3) Kesepakatan sebagaimana dimaksud pada ayat (2) dapat dilakukan dengan cara: a. tindakan penerimaan yang menyatakan persetujuan; atau b. tindakan penerimaan dan/atau pemakaian objek yang dikirim. Pasal 50 (1) Penyelenggara Transaksi Elektronik wajib: a. memberikan data dan informasi yang benar; dan b. menyediakan layanan dan menyelesaikan pengaduan. 19 (2) Penyelenggara Transaksi Elektronik wajib memberikan pilihan hukum terhadap pelaksanaan Transaksi Elektronik. Pasal 51 (1) Penyelenggara Transaksi Elektronik dalam lingkup publik harus menggunakan Sertifikat Keandalan (trust mark) dan/atau Sertifikat Elektronik. (2) Dalam hal menggunakan Sertifikat Keandalan, Penyelenggaraan Transaksi Elektronik dalam lingkup publik harus disertifikasi oleh Lembaga Sertifikasi Keandalan Indonesia yang sudah tersertifikasi. (3) Dalam hal menggunakan Sertifikat Elektronik, Penyelenggaraan Transaksi Elektronik dalam lingkup publik harus menggunakan sekurang-kurangnya jasa Penyelenggara Sertifikasi Elektronik Indonesia yang sudah tersertifikasi. Pasal 52 (1) Penyelenggara Transaksi Elektronik dalam lingkup privat dapat menggunakan Sertifikat Keandalan dan/atau Sertifikat Elektronik. (2) Dalam hal menggunakan Sertifikat Keandalan, Penyelenggaraan Transaksi Elektronik dalam lingkup privat dapat disertifikasi oleh Lembaga Sertifikasi Keandalan Indonesia yang sudah terdaftar. (3) Dalam hal menggunakan Sertifikat Elektronik, Penyelenggaraan Transaksi Elektronik dalam lingkup privat dapat menggunakan jasa Penyelenggara Sertifikasi Elektronik Indonesia yang sudah terdaftar. Pasal 53 (1) Pelaku Usaha yang menawarkan produk melalui Sistem Elektronik harus menyediakan informasi yang lengkap dan benar berkaitan dengan syarat kontrak, produsen, dan produk yang ditawarkan. (2) Pelaku Usaha wajib memberikan kejelasan informasi tentang penawaran kontrak atau iklan (advertensi). (3) Pelaku Usaha wajib memberikan batas waktu kepada konsumen untuk mengembalikan apabila barang yang dikirim tidak sesuai dengan yang diperjanjikan atau terdapat cacat tersembunyi. (4) Pelaku Usaha wajib memastikan bahwa barang telah dikirim. (5) Pelaku Usaha tidak dapat membebani konsumen tentang kewajiban membayar berkaitan dengan barang yang dikirim tanpa dasar kontrak Pasal 54 (1) Penyelenggaraan Transaksi Elektronik di wilayah negara Republik Indonesia harus: a. memperhatikan aspek keamanan, keandalan, dan efisiensi; b. memanfaatkan gerbang nasional, jika dalam penyelenggaraannya melibatkan lebih dari satu Penyelenggara Sistem Elektronik; c. melakukan penyimpanan data transaksi di dalam negeri; 20 d. memanfaatkan jaringan Sistem Elektronik dalam negeri; (2) Dalam hal ketentuan sebagaimana dimaksud pada ayat (1) huruf b dan huruf d tidak dapat dilaksanakan, dan masih menggunakan sarana lain atau menggunakan fasilitas dari luar negeri, maka pelaksanaanya harus mendapatkan persetujuan dari instansi yang terkait. (3) Dalam pemenuhan sebagaimana dimaksud pada ayat (1), Penyelenggara Transaksi Elektronik harus memperhatikan peraturan perundang-undangan dari instansi terkait. Pasal 55 (1) Pengirim Informasi Elektronik harus memastikan Informasi Elektronik yang dikirim adalah benar dan tidak bersifat Spam. (2) Ketentuan lebih lanjut mengenai spam sebagaimana dimaksud pada ayat (1) diatur dalam peraturan Menteri. Pasal 56 Ketentuan mengenai Transaksi Elektronik yang bersifat khusus (sektoral) akan diatur oleh instansi yang berwenang BAB VII PENYELENGGARA AGEN ELEKTRONIK Bagian Kesatu Umum Pasal 57 (1) Penyelenggara Agen Elektronik harus memperhatikan prinsip: a. kehati-hatian (prudential); b. pengamanan dan terintegrasinya sistem teknologi informasi; c. pengendalian pengamanan atas aktivitas Transaksi Elektronik; d. efektivitas dan efisiensi biaya; e. perlindungan konsumen sesuai peraturan perundang-undangan. (2) Penyelenggara Agen Elektronik harus memiliki dan menjalankan prosedur standar pengoperasian. (3) Prosedur standar pengoperasian sebagaimana dimaksud pada ayat (2) harus memenuhi prinsip pengendalian pengamanan data pengguna dan Transaksi Elektronik yaitu: 21 a. b. c. d. e. f. kerahasiaan (confidentiality); integritas (integrity); ketersediaan (availability); keaslian (authentication); otorisasi (authorization); dan nirsangkal (non repudiation). (4) Untuk melindungi kepentingan umum, Penyelenggara Agen Elektronik wajib terdaftar di kementerian yang mengurusi bidang komunikasi dan informatika. (5) Ketentuan lebih lanjut tentang tata cara pendaftaran sebagaimana dimaksud pada ayat (4) diatur dalam peraturan Menteri. Bagian Kedua Bentuk Agen Elektronik Pasal 58 Agen Elektronik dapat berbentuk: a. visual; b. audio; c. data capture lainnya Bagian Ketiga Agen Elektronik yang Digunakan Oleh Lebih dari Satu Penyelenggara Sistem Elektronik Pasal 59 (1) Agen Elektronik dapat diselenggarakan untuk lebih dari satu kepentingan Penyelenggara Sistem Elektronik, yang didasarkan pada perjanjian antara para pihak. (2) Perjanjian sebagaimana dimaksud pada ayat (1) sekurang-kurangnya wajib memuat: a. hak dan kewajiban; b. tanggung jawab; c. mekanisme pengaduan dan penyelesaian sengketa; d. jangka waktu; e. biaya; f. cakupan layanan; g. pilihan hukum. (3) Dalam hal Agen Elektronik diselenggarakan untuk lebih dari satu kepentingan Penyelenggara Sistem Elektronik, Penyelenggara Agen Elektronik harus memberikan perlakuan yang sama terhadap Penyelenggara Sistem Elektronik yang menggunakan Agen Elektronik tersebut. (4) Dalam hal Agen Elektronik diselenggarakan untuk kepentingan 1 (satu) atau lebih Penyelenggara Sistem Elektronik, Agen Elektronik tersebut bertindak atas nama Penyelenggara Sistem Elektronik yang menggunakannya. 22 Bagian Keempat Fitur-Fitur Agen Elektronik Pasal 60 (1) Penyelenggara Agen Elektronik wajib memuat atau menyampaikan informasi untuk melindungi hak pengguna, sekurang-kurangnya meliputi: a. informasi tentang identitas penyelenggara Agen Elektronik; b. informasi tentang objek yang ditransaksikan; c. informasi tentang kelayakan atau keamanan sistem; d. informasi tentang tata cara penggunaan perangkat; (2) Penyelenggara Agen Elektronik wajib memuat atau menyediakan fitur dalam rangka melindungi hak pengguna sesuai dengan karakteristik Sistem Elektronik yang digunakannya. (3) Fitur-fitur sebagaimana dimaksud dalam ayat (2) dapat berupa: a. fasilitas untuk melakukan koreksi; b. fasilitas untuk membatalkan perintah; c. fasilitas untuk memberikan konfirmasi atau rekonfirmasi; d. fasilitas untuk memilih, meneruskan atau berhenti melaksanakan aktivitas berikutnya; e. fasilitas untuk melihat apakah informasi yang disampaikan adalah merupakan tawaran untuk berkontrak ataukah hanya sekedar iklan (advertensi); fasilitas untuk mengecek status berhasil atau gagalnya transaksi. Bagian Kelima Kewajiban Penyelenggara Agen Elektronik Pasal 61 (1) Penyelenggara Agen Elektronik wajib melakukan pengujian keaslian identitas (authentication) dan memeriksa kewenangan (authorization) konsumen yang melakukan Transaksi Elektronik. (2) Penyelenggara Agen Elektronik wajib memiliki dan/atau melaksanakan kebijakan dan prosedur untuk mengambil tindakan bila terdapat indikasi terjadi pencurian data. (3) Penyelenggara Agen Elektronik wajib menyusun dan menetapkan prosedur untuk menjamin bahwa transaksi tidak dapat diingkari oleh komsumen (non repudiation) sehingga transaksi dapat dipertanggungajawabkan (kredibel) (4) Penyelenggara Agen Elektronik wajib memastikan pengendalian terhadap otorisasi dan hak akses (access privileges) terhadap sistem, database dan aplikasi Transaksi Elektronik. (5) Penyelenggara Agen Elektronik wajib menyusun dan/atau melaksanakan metode dan prosedur untuk melindungi dan/atau merahasiakan integritas data, catatan dan informasi terkait Transaksi Elektronik. 23 (6) Penyelenggara Agen Elektronik wajib memiliki dan/atau melaksanakan standar dan pengendalian atas penggunaan dan perlindungan data apabila pihak penyedia jasa/outsourcing memiliki akses terhadap data tersebut. (7) Penyelenggara Agen Elektronik wajib memiliki business continuity plan termasuk contingency plan yang efektif untuk memastikan tersedianya sistem dan jasa Transaksi Elektronik secara berkesinambungan. (8) Penyelenggara Agen Elektronik wajib memiliki prosedur penanganan kejadian (incident response procedures) yang cepat dan tepat untuk mengelola, mengatasi, dan meminimalkan dampak suatu insiden, fraud, kegagalan sistem (internal dan eksternal), yang dapat menghambat penyediaan sistem dan jasa Transaksi Elektronik. Bagian Keenam Edukasi Pasal 62 (1) Penyelenggara Agen Elektronik wajib melakukan edukasi kepada konsumen. (2) Edukasi sebagaimana dimaksud dalam pada ayat (1) diberikan kepada konsumen sekurang-kurangnya mencakup tentang hak, kewajiban dan tanggung jawab seluruh pihak terkait, serta prosedur pengajuan komplain. Pasal 63 Ketentuan lebih lanjut mengenai Agen Elektronik yang bersifat khusus (sektoral) diatur oleh instansi yang berwenang. BAB VIII PENGELOLAAN NAMA DOMAIN Pasal 64 (1) Nama Domain terdiri atas: a. Nama Domain Indonesia tingkat tertinggi (top level domain); b. Nama Domain Indonesia tingkat kedua (second level domain); dan c. Nama Domain Indonesia tingkatan turunan selanjutnya. (2) Nama Domain sebagaimana dimaksud pada ayat (1) dikelola oleh Pemerintah dan/atau masyarakat yang disetujui oleh Pemerintah. (3) Pengelolaan Nama Domain meliputi aspek kebijakan, operasional, administrasi, keuangan, dan teknik. (4) Pengelola Nama Domain wajib menyelenggarakan pendaftaran Nama Domain sesuai dengan peraturan perundang-undangan, kepatutan yang berlaku dalam masyarakat, dan prinsip kehati-hatian. (5) Pengelola Nama Domain berwenang mendelegasikan pendaftaran Nama Domain kepada Institusi Pendaftaran Nama Domain. 24 (6) Pengelola Nama Domain wajib menjaga, memelihara, dan melindungi Nama Domain tingkat tertinggi dan tingkat kedua sesuai dengan peruntukannya. (7) Pengelola Nama Domain memiliki kewenangan untuk menolak pendaftaran, menonaktifkan sementara, atau menghapus sebuah Nama Domain. (8) Dalam hal Pengelola Nama Domain bermaksud menghentikan kegiatannya, paling lambat 3 (tiga) bulan sebelum penghentian kegiatan, Pengelola Nama Domain wajib menyerahkan seluruh pengelolaan Nama Domain kepada Menteri dengan memperhatikan kelangsungan nama domain Indonesia. (9) Dalam hal terjadi perselisihan pengelolaan Nama Domain, Menteri memiliki kewenangan untuk mengambil alih sementara pengelolaan Nama Domain (10) Institusi Pendaftar Nama Domain (Registrar) melakukan pendaftaran Nama Domain atas nama Pengguna Nama Domain kepada Pengelola Nama Domain sesuai dengan ketentuan yang ditetapkan oleh Pengelola Nama Domain (11) Pengguna Nama Domain (Registran) bertanggung jawab terhadap penggunaan Nama Domain yang didaftarkan atas nama dirinya. (12) Pengguna Nama Domain (Registran) harus menjamin Nama Domain yang didaftarkannya didasari iktikad baik, tidak melanggar prinsip persaingan usaha secara sehat, dan tidak melanggar hak Orang lain. Pasal 65 (1) Nama Domain lembaga penyelengara negara hanya dapat didaftarkan dan/atau digunakan oleh lembaga penyelenggara negara yang bersangkutan. (2) Setiap lembaga penyelenggara negara harus menggunakan Nama Domain lembaga penyelenggara negara. (3) Lembaga penyelenggara negara mendaftarkan Nama Domainnya kepada Menteri sebagai registrar Nama Domain lembaga penyelenggara negara. (4) Ketentuan lebih lanjut mengenai pengelolaan Nama Domain lembaga penyelenggara negara diatur dalam peraturan Menteri. Pasal 66 (1) Penyelesaian perselisihan Nama Domain dilakukan melalui komite penyelesaian perselisihan Nama Domain. (2) Ketentuan lebih lanjut mengenai pembentukan komite penyelesaian perselisihan Nama Domain diatur dalam peraturan Menteri. (3) Dalam hal terjadi perselisihan Nama Domain yang tidak dapat diselesaikan melalui komite penyelesaian perselisihan Nama Domain, para pihak dapat mengajukan penyelesaian perselisihan melalui upaya penyelesaian sengketa di luar pengadilan atau pengadilan. (4) Pengelola Nama Domain melaksanakan putusan penyelesaian perselisihan. 25 BAB IX SANKSI Pasal 67 (1) Pelanggaran terhadap Pasal 7 ayat (4); Pasal 13 ayat (2) huruf d; Pasal 14 ayat (1), ayat (2); Pasal 15 ayat (1), ayat (2); Pasal 16 ayat (3); Pasal 19ayat (3), ayat (4); Pasal 21; Pasal 23 ayat (2); Pasal 24 ayat (1), ayat (2), ayat (3)ayat (4), ayat (5), ayat (6), ayat (7); Pasal 25 ayat (1), ayat (2), ayat (3), ayat (5); Pasal 26 ayat (1); Pasal 28; Pasal 29; Pasal 31 ayat (1), ayat (2); Pasal 33 ayat (1); Pasal 34; Pasal 35 ayat (1); Pasal 36; Pasal 37 ayat (1); ayat (2); Pasal 39 ayat (1); Pasal 41 ayat (1), ayat (2), ayat (3); Pasal 42; Pasal 43; Pasal 44 ayat (1), ayat (2); Pasal 46 ayat (2); Pasal 48 ayat (4); Pasal 50 ayat (1), ayat (2); Pasal 53 ayat (2), ayat (3), ayat (4); Pasal 57 ayat (4); Pasal 59 ayat (2); Pasal 60 ayat (1), ayat (2); Pasal 61 ayat (1), ayat (2), ayat (3), ayat (4), ayat (5), ayat (6), ayat (7), ayat (8), ayat (9), ayat (10); Pasal 62 ayat (1); Pasal 64 ayat (4), ayat (6), atau ayat (8) dikenai sanksi administratif. (2) Sanksi administratif sebagaimana dimaksud pada ayat (1) dan ayat (2) dapat berupa: a. teguran tertulis; b. denda administratif; c. pemberhentian sementara; d. tidak diberikan perpanjangan izin; dan/atau e. pencabutan izin (3) Sanksi administratif diberikan oleh Menteri. (4) Menteri dapat mendelegasikan kewenangan untuk menjatuhkan sanksi administratif kepada Badan Pengawas Penyelenggara Sertifikasi Elektronik. (5) Pengenaan sanksi administratif sebagaimana dimaksud pada ayat (2) tidak menghapuskan pertanggungjawaban pidana. (6) Ketentuan lebih lanjut mengenai pendelegasian kewenangan penjatuhan sanksi administratif sebagaimana dimaksud pada ayat (4) diatur dalam peraturan Menteri. Pasal 68 (1) Apabila Menteri mendapat informasi tentang adanya pelanggaran sebagaimana dimaksud dalam Pasal 67 ayat (1), dalam jangka waktu paling lambat 7 (tujuh) hari kalender, Menteri memeriksa kebenaran pemberitahuan tersebut. (2) Jika berdasarkan pemeriksaan sebagaimana dimaksud pada ayat (2) Menteri menilai bahwa telah terjadi pelanggaran sebagaimana dimaksud dalam Pasal 67 ayat (1), Menteri mengenakan sanksi teguran tertulis pertama kepada Penyelenggara Sistem Elektronik. (3) Apabila dalam jangka waktu 7 (tujuh) hari kalender Penyelenggara Sistem Elektronik tidak melakukan kewajibannya sebagaimana dimaksud pada ayat (1) setelah teguran diterima, Menteri mengenakan teguran tertulis kedua dengan penetapan denda administratif paling banyak Rp600.000.000 (enam ratus juta rupiah). (4) Apabila dalam jangka waktu 7 (tujuh) hari kalender setelah teguran tertulis kedua dan denda administratif dijatuhkan Penyelenggara Sistem Elektronik tidak menjalankan kewajiban sebagaimana dimaksud pada ayat (1), Menteri mengeluarkan teguran tertulis ketiga dan menghentikan sementara kegiatan Penyelenggara Sistem Elektronik. 26 (5) Apabila dalam jangka waktu 7 (tujuh) hari kalender setelah penghentian sementara kegiatan Penyelenggara Sistem Elektronik sebagaimana dimaksud pada ayat (6) Penyelenggara Sistem Elektronik tidak menjalankan kewajiban sebagaimana dimaksud pada ayat (1), Menteri mencabut izin yang dimiliki Penyelenggara Sistem Elektronik. (6) Dalam keadaan yang penting dan mendesak, atau untuk melindungi kepentingan umum, Menteri dapat langsung menghentikan sementara kegiatan Penyelenggara Sistem Elektronik tanpa mengenakan sanksi teguran tertulis atau denda administratif. (7) Apabila dalam jangka waktu 7 (tujuh) hari kalender setelah penghentian sementara kegiatan Penyelenggara Sistem Elektronik sebagaimana dimaksud pada ayat (6) Penyelenggara Sistem Elektronik tidak menjalankan kewajiban sebagaimana dimaksud pada ayat (1), Menteri mencabut izin yang dimiliki Penyelenggara Sistem Elektronik. Pasal 69 (1) Pembayaran denda administratif sebagaimana dimaksud dalam Pasal 68 harus dilakukan paling lambat 30 (tiga puluh) hari kalender sejak penetapan denda administratif diterima oleh Penyelenggara Sistem Elektronik. (2) Pelanggaran terhadap ketentuan jangka waktu pembayaran denda administratif sebagaimana dimaksud pada ayat (1) dapat dikenakan sanksi penghentian sementara kegiatan Penyelenggara Sistem Elektronik atau tidak diberikannya perpanjangan izin. (3) Denda administratif sebagaimana dimaksud pada ayat (1) disetorkan langsung kepada kas Negara. Pasal 70 Ketentuan lebih lanjut mengenai tata cara penjatuhan sanksi diatur dalam peraturan Menteri. Pasal 71 (1) Penyelenggara Sistem Elektronik yang dikenai sanksi administratif dapat mengajukan keberatan kepada Menteri. (2) Keberatan sebagaimana dimaksud pada ayat (1) tidak menunda kewajiban Penyelenggara Sistem Elektronik dan proses penjatuhan sanksi sebagaimana dimaksud dalam Pasal 68 dan Pasal 69. (3) Ketentuan lebih lanjut mengenai tata cara pengajuan keberatan terhadap penjatuhan sanksi administratif diatur dalam Peraturan Menteri. BAB X KETENTUAN PERALIHAN Pasal 72 Pada saat Peraturan Pemerintah ini berlaku : (1) Dalam masa peralihan, perusahaan-perusahaan yang telah menyelenggarakan sertifikasi elektronik dapat juga menyelenggarakan sertifikasi keandalan selama memenuhi ketentuan dalam Peraturan Pemerintah ini. 27 (2) Penyelenggara Sistem Elektronik, Penyelenggara Sertifikasi Elektronik, dan Lembaga Sertifikasi Keandalan yang telah ada dan/atau beroperasi sebelum ditetapkannya Peraturan Pemerintah ini, dalam waktu paling lambat 2 (dua) tahun sejak ditetapkannya Peraturan Pemerintah ini wajib menyesuaikan dengan Peraturan Pemerintah ini. (3) Setelah terbentuknya Badan Pengawas Penyelenggara Sertifikasi Elektronik dan Lembaga Sertifikasi Keandalan, terhadap Sertifikat Elektronik yang diterbitkan oleh Penyelenggara Sertifikasi Elektronik dan Sertifikat Keandalan yang diterbitkan oleh Lembaga Sertifikasi Keandalan yang digunakan untuk Transaksi Elektronik lingkup publik dan belum menyesuaikan dengan ketentuan Peraturan Pemerintah ini, tidak dapat dijadikan alat bukti yang sah. (4) Dalam hal Badan Pengawas Penyelenggara Sertifikasi Elektronik dan Lembaga Sertifikasi Keandalan sebagaimana dimaksud pada ayat (3) belum terbentuk, maka tugas dan fungsi badan pengawas terhadap Penyelenggara Sertifikasi Elektronik dan Lembaga Sertifikasi Keandalan diselenggarakan oleh Menteri. BAB X KETENTUAN PENUTUP Pasal 73 (1) Peraturan Pemerintah ini mulai berlaku pada tanggal ditetapkan. (2) .... Agar setiap orang mengetahuinya, memerintahkan pengundangan Undang-Undang ini dengan penempatannya dalam Lembaran Negara Republik Indonesia. Ditetapkan di Jakarta pada tanggal ………………………. PRESIDEN REPUBLIK INDONESIA, ttd ……………………………………………….. Diundangkan di Jakarta pada tanggal …………………… MENTERI HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA, ttd …………………………. LEMBARAN NEGARA REPUBLIK INDONESIA TAHUN ……. NOMOR …………. 28