Kebijakan Pemantauan Risiko

Terakhir diperbarui: 06 May 2026

Kebijakan Pemantauan Risiko ini menjelaskan bagaimana PT UNIT GLOBAL SYSTEM memantau aliran transaksi untuk fraud, pencucian uang, pendanaan terorisme, paparan sanksi, dan pelanggaran kebijakan. Kebijakan ini mendukung kewajiban kami berdasarkan PBI 23/6/2021 (Penyedia Jasa Sistem Pembayaran), UU 8/2010 (UU TPPU) dan peraturan PPATK, serta kerangka manajemen risiko internal kami.

1. Cakupan

UnitPay menerapkan pemantauan risiko pada setiap transaksi yang diproses melalui layanan pembayaran kami, dari ujung ke ujung: pada otorisasi, pada capture, selama settlement, dan selama penarikan ke rekening bank merchant. Pemantauan meluas ke merchant sepanjang hubungan mereka dengan kami, bukan hanya pada saat onboarding.

Kebijakan ini berlaku pada seluruh kanal pembayaran yang kami dukung, termasuk kartu, virtual account, e-wallet, BI-FAST, QRIS, dan pembayaran USDT. Kebijakan ini berlaku setara pada lingkungan uji (sandbox) maupun produksi, meskipun pemantauan sandbox terbatas pada deteksi pola fraud (tidak ada penyaringan sanksi atas data sintetis).

Pemantauan juga berlaku pada aktivitas kabinet merchant (pola login, perubahan konfigurasi, instruksi penarikan) sehingga indikator pengambilalihan akun terdeteksi bersamaan dengan risiko transaksional. Aktivitas di luar cakupan meliputi interaksi yang murni informatif dengan situs publik kami yang tidak melibatkan transaksi atau sesi yang sudah login.

2. Aturan kecepatan (velocity)

Kami menerapkan kontrol kecepatan pada beberapa tingkat granularitas untuk mendeteksi penyalahgunaan, structuring, dan pola burst-fraud. Kecepatan diukur baik pada jumlah transaksi maupun nilai transaksi, dengan ambang yang proporsional terhadap tier risiko merchant dan profil volume historisnya.

  • Kecepatan per kartu: jumlah dan nilai upaya maksimum per BIN-pan-kartu dalam jendela bergulir satu menit, satu jam, dan 24 jam.
  • Kecepatan per merchant: jumlah transaksi maksimum per merchant dalam jendela bergulir; ambang dikalibrasi pada tier risiko dan baseline historis.
  • Kecepatan per pelanggan: jumlah transaksi maksimum per email pelanggan atau sidik jari perangkat lintas merchant.
  • Kecepatan per IP: upaya maksimum per IP sumber, dengan plafon terpisah untuk IP residensial, komersial, dan proxy anonim.

Pelanggaran ambang memicu salah satu: soft-block (memerlukan verifikasi tambahan), hard-block (transaksi ditolak dan ditandai), atau antrian tinjauan velocity-trigger. Merchant tidak melihat detail blok kecepatan untuk menghindari tipping-off terhadap penyerang; statistik kecepatan teragregasi terlihat di kabinet merchant.

Ambang kecepatan dikalibrasi menggunakan kombinasi baseline historis merchant, benchmark kohort sebanding, dan penyesuaian taktik bulanan global. Rekalibrasi berjalan setidaknya bulanan dan tambahan pada pergeseran pola yang teramati; AML Compliance Officer menandatangani persetujuan perubahan ambang.

3. Penyaringan sanksi dan Politically Exposed Person

Setiap transaksi disaring secara real time terhadap daftar sanksi dan PEP melalui Didit. Daftar yang dicakup meliputi UN Consolidated, EU Consolidated, OFAC SDN, OFSI, dan daftar domestik PPATK, ditambah dataset PEP dan adverse media.

Latensi penyaringan ditargetkan pada milidetik satu digit di jalur otorisasi panas sehingga kepatuhan tidak menurunkan pengalaman pelanggan yang sah. Pembaruan daftar yang diterbitkan oleh otoritas terkait disebarkan ke layanan penyaringan dalam 24 jam sejak publikasi.

Kecocokan sanksi positif memblokir transaksi dan membuat kasus tinjauan kepatuhan. Petugas kepatuhan meninjau kecocokan untuk menentukan true-positive vs false-positive.

True positive berakibat pada pemblokiran permanen transaksi, penolakan onboarding pelanggan, dan pengajuan SAR jika layak. False positive didokumentasikan dengan alasan dan pelanggan dimasukkan ke daftar diizinkan untuk entri daftar tertentu yang menghasilkan kecocokan keliru; entri daftar diizinkan ditinjau secara triwulanan untuk memastikan tetap valid.

4. Adverse media dan pemantauan berkelanjutan

Selain penyaringan pada saat transaksi, Didit menyediakan pemantauan berkelanjutan terhadap merchant dan pelanggan bervolume tinggi. Item adverse media yang baru diindeks, pembaruan daftar sanksi, dan perubahan status PEP didorong ke antrian tinjauan kepatuhan kami setiap hari. Tim kepatuhan meninjau kecocokan dalam lima hari kerja dan mengeskalasi true positive ke AML Compliance Officer di compliance@unitpay.net.

Cakupan pemantauan berkelanjutan disusun berdasarkan tier risiko: merchant berisiko tinggi dipantau secara terus-menerus; risiko sedang dipantau bulanan; risiko rendah dipantau dengan irama tinjauan enam bulanan disertai penyaringan ulang berbasis peristiwa pada perubahan material apa pun.

Temuan adverse media memiliki bobot yang berbanding terbalik dengan kualitas sumber: pelaporan pers keuangan tier-1 (dengan penulis dan tanggal yang disebut) diberi bobot lebih besar daripada konten satu sumber yang tidak terkonfirmasi. Temuan yang tidak dapat dikonfirmasi secara wajar dicatat sebagai informasional dan tidak dengan sendirinya mendorong tindakan penegakan.

Perubahan material (akuisisi, perubahan direktur, perubahan model bisnis yang dideklarasikan, listing atau delisting, sanksi, tindakan regulator publik) memicu penyaringan ulang segera tanpa memandang irama standar merchant. Merchant diwajibkan oleh Perjanjian Layanan untuk memberitahu UnitPay atas perubahan tersebut dalam 30 hari sejak terjadi.

5. Deteksi anomali dan perilaku

Model statistik menandai deviasi dari baseline profil transaksi setiap merchant. Kategori anomali yang terdeteksi meliputi:

  • Lonjakan volume mendadak (lebih dari tiga simpangan baku di atas rata-rata 30 hari).
  • Pergeseran konsentrasi geografis pelanggan atau transaksi.
  • Bauran metode pembayaran yang abnormal relatif terhadap profil bisnis yang dideklarasikan.
  • Tingkat pengembalian dana atau chargeback yang tidak khas relatif terhadap kohort sebanding.
  • Pola yang konsisten dengan card testing, transaction laundering, atau fraud penggantian rekening settlement.

Anomali yang ditandai menghasilkan peringatan internal yang terlihat oleh merchant di kabinetnya, beserta tindakan yang direkomendasikan. Anomali berat (sinyal fraud atau pencucian uang dengan keyakinan tinggi) menempatkan penahanan sementara pada settlement sambil menunggu tinjauan, umumnya hingga 72 jam.

Kinerja model dipantau untuk tingkat false-positive dan false-negative dengan audit sampel yang dilakukan bulanan. Apabila merchant benar-benar tumbuh cepat, model kami menyesuaikan ke baseline baru dalam jendela adaptasi yang terdokumentasi sehingga pertumbuhan yang sah tidak ditandai sebagai anomali secara terus-menerus.

6. Jalur eskalasi

Hasil pemantauan risiko mengikuti tangga eskalasi yang terdefinisi, diterapkan secara proporsional pada tingkat keparahan sinyal yang mendasarinya:

  • Tahan menunggu tinjauan: 24 jam khas, hingga 72 jam untuk kasus rumit. Merchant diberitahu melalui email dan peringatan di kabinet.
  • Suspicious Activity Report (SAR): diajukan ke PPATK sesuai Pasal 23 UU TPPU apabila AML Compliance Officer menentukan adanya kecurigaan yang wajar. Merchant tidak diberi tahu tentang pengajuan SAR (ketentuan anti-tipping-off).
  • Penangguhan akun: dilakukan berdasarkan Aturan Penangguhan dan Pemblokiran Akun kami untuk peristiwa risiko yang berkelanjutan atau berat.
  • Koordinasi regulator: kerja sama dengan Bank Indonesia, OJK, dan PPATK, termasuk produksi catatan berdasarkan proses hukum yang sah.

Keputusan eskalasi didokumentasikan dengan bukti pendukung dan alasannya, baik untuk akuntabilitas internal maupun agar, apabila diperlukan, dapat direkonstruksi untuk inspeksi regulator. Apabila tindakan diambil atas dasar kecocokan daftar sanksi, referensi daftar yang mendasarinya dicatat dalam catatan kasus.

7. Kolaborasi dan visibilitas merchant

Kabinet merchant menyediakan Risk Dashboard yang menunjukkan rasio chargeback setiap merchant, tingkat fraud, jumlah flag AML, pemanfaatan kecepatan, dan garis tren. Merchant dapat mengakses ringkasan email mingguan secara mandiri. Merchant dianjurkan melaporkan apa pun yang mencurigakan (indikator pengambilalihan akun, percobaan rekayasa sosial) di compliance@unitpay.net.

Untuk tujuan audit, merchant dapat mengekspor indikator risiko tingkat transaksi (rule yang memicu, tindakan yang diambil) untuk 24 bulan terakhir. Catatan yang lebih lama tersedia atas permintaan melalui kepatuhan.

UnitPay juga menerbitkan ringkasan tipologi dan panduan perlindungan merchant pada interval yang tidak teratur sehingga merchant dapat mengenali pola fraud yang muncul dan memperbarui kontrol mereka sendiri. Merchant dapat berlangganan advisory tersebut melalui layar preferensi kabinet merchant.

Apabila merchant meyakini bahwa tindakan risiko otomatis telah diambil secara keliru, merchant harus mengangkat persoalan tersebut melalui compliance@unitpay.net dengan referensi transaksi yang terdampak. Tim kepatuhan meninjau tindakan dan sinyal yang mendasarinya, dan apabila tindakan ditemukan keliru, transaksi atau settlement yang terdampak dipulihkan dan koreksi dicatat dalam log kasus.

8. Data pribadi dan dasar hukum

Pemantauan risiko memproses data pribadi atas dasar hukum kewajiban hukum (PBI 23/6/2021, UU TPPU, peraturan PPATK) dan kepentingan yang sah (pencegahan fraud). Kategori data yang diproses, periode retensi, dan hak subjek data pribadi dijelaskan dalam Pemberitahuan Data Pribadi UU PDP kami.

Kategori data pribadi yang diproses untuk pemantauan risiko meliputi:

  • Metadata transaksional (jumlah, mata uang, stempel waktu, identifier merchant, hash instrumen pembayaran).
  • Data identifikasi pelanggan yang bertransaksi apabila disediakan oleh merchant atau lembaga penerbit.
  • Identifier teknis (alamat IP, sidik jari perangkat, string user-agent peramban, identifier sesi).
  • Output penyaringan (kecocokan sanksi, kecocokan PEP, kecocokan adverse media, dengan referensi daftar yang mendasarinya).
  • Catatan ajudikasi dan disposisi akhir yang dicatat oleh analis kepatuhan.

Output pemantauan (log rule yang memicu, detail peringatan, kertas kerja SAR) disimpan selama tujuh tahun untuk mendukung audit regulator. Akses dibatasi pada tim kepatuhan dan keamanan dengan persetujuan individu yang dinamai dan dicatat serta ditinjau triwulanan.

Hak untuk keberatan terhadap pemrosesan berdasarkan Pasal 12 UU PDP dibatasi oleh kewajiban hukum kami berdasarkan UU TPPU dan PBI 23/6/2021; pemantauan risiko adalah dasar regulasi yang tidak dapat di-opt-out selama hubungan merchant berlangsung.

9. Tinjauan kebijakan dan tata kelola

Kebijakan ini dimiliki oleh AML Compliance Officer dan ditinjau setidaknya tahunan, atau lebih cepat apabila perubahan regulasi material atau analisis peristiwa risiko mengharuskan. Perubahan disetujui oleh komite risiko dewan dan dikomunikasikan kepada merchant melalui halaman ini dan kabinet merchant.

Penjaminan independen atas kerangka pemantauan risiko dilakukan tahunan oleh penasihat eksternal atau penilai pihak ketiga yang berkualifikasi. Temuan mendorong rencana remediasi yang dilacak hingga penutupan oleh tim kepatuhan.

Metrik kinerja program pemantauan risiko (volume peringatan, tingkat true-positive, waktu penyelesaian, hasil eskalasi) ditinjau pada rapat triwulanan komite risiko bersama analisis tren dan komentar benchmark sebanding. Metrik tersebut menjadi masukan rekalibrasi rule dan ambang model untuk triwulan berikutnya.

Tanggal berlaku: 06 May 2026