印度尼西亚现在是东南亚最大的经济体。 作为一个知名的初创企业孵化中心，印度尼西亚国内培养和发展的初创企业数量不断增长，例如 Tokopedia 和 OVO 等。 大多数初创企业利用云计算技术的优势来加快数字化进程并解决业务增长带来的问题。 Tokopedia 通过使用阿里云基础设施即服务、大数据解决方案、人工智能 (AI) 能力和安全功能，为终端客户提供更智能的服务和更优质的用户体验。

印尼数据隐私合规：
阿里云致力于帮助客户应对印度尼西亚不断演变的监管环境。2022 年第 27 号《个人数据保护法》（PDPL） 作为隐私合规的主要法律框架，为数据控制者和处理者设定了符合全球标准的要求。2019 年《第 71 号政府条例》（GR 71）以及2016 年《第 20 号通信和信息部条例》（关于电子系统中个人数据的保护） 也为合规工作提供了指导，从而确保为安全云处理提供一个稳健的环境。

数据本地化要求：
GR 71 将电子系统运营商分为公共和私人范围。 公共范围电子系统运营商必须在印度尼西亚境内管理、处理和/或存储电子系统和电子数据。 私人范围电子系统运营商可以将其电子系统和数据放置在印度尼西亚境内或境外，但须确保政府机构能够实施有效监督。 当私人电子系统运营商将其系统和数据存储在海外时，这些运营商必须提供用于监控和执法目的的电子系统和数据访问权限。

概述：阿里云在印度尼西亚建立了三个可用区，在云上设计和实施 IT 架构方面提供了高度的灵活性。 利用适当的解决方案设计，可以满足金融服务行业中受监管实体的安全性、弹性、数据驻留、可恢复性和性能方面的要求。 客户可以跨三个可用区部署系统，以实现更高级别的弹性。 借助阿里云，许多客户在迁移到公共云时最大程度地降低了机密性、完整性和可用性受损的风险。

阿里云致力于帮助客户遵守金融行业特定的监管要求。 通过前期的高级尽职调查和风险评估、解决方案选择、实施与过渡以及实施后保障，阿里云提供了一整套实用的方案，包括对尽职调查评估各个方面的响应、服务和产品配置方面的最佳实践、自动化和持续的安全检查工具，以及对内部控制的设计和运营有效性的保证。

监管机构：
印度尼西亚的金融机构由印度尼西亚银行 (BI) 和印度尼西亚金融服务管理局 (OJK) 负责监管。 BI 是印度尼西亚的中央银行，负责监督货币和支付系统，并负责维持该国货币的稳定性。 OJK 负责监管和监督金融服务部门的所有活动，包括银行、资本市场、保险、养老基金和其他金融机构以及金融服务机构。

使用云计算服务时需要遵循的法规/准则：
1.POJK 第 13/POJK.03/2020 号，是 OJK 第 38/POJK.03/2016 号的修订版，涉及商业银行在使用信息技术方面的风险管理
2.POJK 第 4/POJK.05/2021 号，涉及非银行金融服务机构在使用信息技术方面的风险管理
3.通函第 21/SEOJK.03/2017 号，涉及商业银行在使用信息技术方面的风险管理应用
4.POJK第 38/POJK.05/2020 号，是 POJK 第 69/POJK.05/2016 号的修订版，涉及保险、伊斯兰教保险、再保险和伊斯兰教再保险公司的业务运营
5.POJK 第 38/POJK.03/2016 号，涉及商业银行在使用技术方面的风险管理实施
6.POJK 第 10/POJK.05/2022 号，是 OJK 第 77/POJK.01/2016 号的替代版本，涉及基于信息技术的集体融资服务
7.PBI 第 23/7/PBI/2021 号，涉及支付系统基础设施运营商
8. PBI 第 23/6/PBI/2021 号，涉及支付服务提供商
9.PBI 第 20/6/PBI/2018 号，涉及电子货币
10.PBI 第 18/40/PBI/2016 号，涉及支付交易处理的实施上面列出的要点并未详尽列出法规，而只是展示了最全面且广泛引用的法规。 POJK 38/POJK.03/2016 和通函第 21 /SEOJK.03/2017 号的要求最严格，可以用作印度尼西亚大多数金融机构的基准。 同时，值得一提的是，POJK 38/POJK.03/2016 要求银行将电子系统放置在印度尼西亚地区的数据中心和灾难恢复中心。 尽管在某些特殊情况下，银行可以在获得 OJK 的批准后将电子系统放置在印度尼西亚境外的位置，但通过使用阿里云本地服务来遵守数据驻留要求将更加安全。

阿里云已聘请一位独立审计师，根据印度尼西亚银行 (BI) 和印度尼西亚金融服务管理局 (OJK) 发布的适用监管要求，评估阿里云的内部控制措施。 审核报告将用于帮助客户了解阿里云作为外包服务提供商如何遵守适用要求。

是否允许使用云？
是的。 OJK 和 BI 允许 FSI 使用公共云服务。 根据阿里云以往成功采用云的案例经验，只要 FSI 能够证明其符合相关监管要求，OJK 和 BI 都会支持云采用和数字化转型。 商业银行和 NBFI 都可以将数据中心/恢复数据中心的运营和基于 IT 的交易处理外包给 IT 服务提供商。

是否还需要获得其他批准？
在采用云之前，需要获得 OJK 和 BI 的事先批准。 对于商业银行，必须在印度尼西亚境内实施云之前至少两个月向 OJK 提交批准申请。 如果商业银行计划在印度尼西亚境外实施电子系统，则必须在实施云之前至少三个月向 OJK 提交批准申请。 同时，商业银行应在外包活动开始后一个月内向 OJK 报告云实施的实现情况。

NBFI 需要在技术开发计划中向 OJK 告知使用了 IT 服务提供商，并在实现报告中更新实施进展情况。 同样，如果 NBFI 计划在印度尼西亚境外实施电子系统，则必须在实施之前至少三个月向 OJK 提交批准申请。
此外，提供支付服务（包括移动支付、支付后端、销售点 (POS) 支付、客户间支付及消费者支付）的银行和非银行机构需要获得事先批准。 支付服务提供商需要定期向 BI 提交关于支付交易处理的报告。

金融科技活动是否需要获得许可？
与金融服务相关的金融科技活动受 OJK 的监管。 OJK 法规第 13/POJK.02/2018 号涉及金融服务领域的数字金融创新，该法规要求开展以下数字金融创新活动的公司注册或获得 OJK 许可（除非另有豁免）。

此处定义的 P2P 借贷指的是通过提供金融服务将贷款人和借款人汇聚在一起，以便通过使用互联网的电子系统直接以印尼盾签订借贷协议。 提供 P2P 借贷平台的公司必须向 OJK 注册，并在满足某些要求后才能获得 OJK 许可。 客户/公司应确保自身已获得必要的许可，并在采用云之前验证其是否已在 cekfintech 处的 OJK/BI/Kemen Kominfo 注册。

是否允许离岸外包安排？
默认情况下，FSI 需要使用位于印度尼西亚的数据中心和灾难恢复中心，并在印度尼西亚进行基于 IT 的事务处理。 但是，在某些特定情况下，只要 FSI 事先获得印度尼西亚金融服务管理局 (OJK) 的批准，也可以将其电子系统放置在印度尼西亚境外的数据中心和/或灾难恢复中心。 如果 FSI 出于以下目的：(a) 支持综合分析，(b) 总部位于海外的银行的风险管理，(c) 总部位于海外的银行 AML/CTF 功能，(d) 为全球客户提供服务，(e) 办事处之间的沟通管理，(f) 内部管理，则可以将其电子系统放置在印度尼西亚境外的数据中心和/或灾难恢复中心，但须获得印度尼西亚金融服务管理局 (OJK) 的批准。 如果 FSI 事先获得 OJK 的批准并证明其计划发展印度尼西亚经济，则可以在印度尼西亚境外进行基于 IT 的事务处理。 因此，在印度尼西亚境外使用 IT 服务提供商受到特定情况的限制，并且需要获得 OJK 的额外批准。 此外，只要事先获得印度尼西亚银行 (BI) 的批准，就可以在印度尼西亚境外处理支付交易。