Dual Authorization Adalah: Definisi & Cara Kerja
Dual authorization adalah mekanisme keamanan yang mensyaratkan dua pihak independen untuk menyetujui sebuah transaksi atau akses sebelum sistem mengeksekusinya. Berbeda dari autentikasi biasa yang hanya memverifikasi satu pengguna, dual authorization memastikan tidak ada individu yang dapat menyelesaikan transaksi bernilai tinggi secara sepihak.
Menurut laporan OJK dan Indonesia Anti-Scam Centre (IASC) 2025, kerugian akibat penipuan digital di Indonesia mencapai Rp7,8 triliun antara November 2024 hingga November 2025, sebagian besar melibatkan akses tidak sah yang dapat dicegah dengan kontrol berlapis seperti dual authorization.
Apa Itu Dual Authorization dalam Sistem Keamanan Digital?
Dual authorization, yang juga dikenal sebagai four-eyes principle atau prinsip empat mata, adalah kontrol keamanan yang membutuhkan dua entitas independen untuk memvalidasi satu tindakan sebelum sistem mengeksekusinya. Dua entitas ini dapat berupa dua individu berbeda, dua sistem berbeda, atau kombinasi keduanya yang beroperasi secara independen.
Konsep ini berbeda dari multi-factor authentication (MFA), meskipun keduanya sering dikombinasikan dalam satu alur keamanan yang sama. MFA memverifikasi identitas satu pengguna melalui beberapa faktor secara berurutan. Dual authorization, sebaliknya, memverifikasi persetujuan dua pihak yang berbeda untuk satu tindakan yang sama.
| Aspek | Multi-Factor Authentication (MFA) | Dual Authorization |
|---|---|---|
| Jumlah pihak | Satu pengguna, banyak faktor | Dua pengguna atau dua sistem berbeda |
| Tujuan utama | Verifikasi identitas pengguna | Validasi persetujuan transaksi |
| Cara kerja | Pengguna membuktikan siapa dirinya | Dua pihak menyetujui apa yang dilakukan |
| Penggunaan ideal | Login, akses akun, verifikasi sesi | Transfer dana, perubahan konfigurasi kritis |
Cara Kerja Dual Authorization
Tahap 1: Inisiasi oleh Maker
Pengguna pertama, disebut maker, membuat atau mengajukan transaksi ke dalam sistem. Pada tahap ini transaksi belum dieksekusi, melainkan masuk ke antrean persetujuan dengan status pending. Aturan kritis: maker tidak dapat mengesahkan transaksinya sendiri dalam sistem yang dirancang dengan benar.
Tahap 2: Verifikasi Identitas oleh Checker atau Approver
Pengguna kedua yang independen, disebut checker atau approver, menerima notifikasi dan mereview detail transaksi secara menyeluruh. Checker harus memverifikasi identitasnya terlebih dahulu melalui autentikasi biometrik, OTP, atau metode verifikasi kuat lainnya, sebelum sistem menerima persetujuan atau penolakannya.
Tahap 3: Eksekusi Otomatis Setelah Persetujuan Ganda
Sistem mengeksekusi transaksi hanya setelah kedua persetujuan diterima dan divalidasi. Jika salah satu pihak menolak atau tidak merespons dalam batas waktu yang ditetapkan, transaksi otomatis dibatalkan dan seluruh aktivitasnya dicatat dalam log audit yang tidak dapat dimodifikasi.
Perbedaan Dual Authorization dan Dual Control dalam Konteks Keuangan
Dual authorization merujuk secara spesifik pada kebutuhan dua persetujuan digital di dalam sistem informasi. Dual control adalah konsep yang lebih luas dan mencakup kontrol fisik, misalnya dua kunci berbeda untuk membuka brankas fisik di cabang bank. Dalam konteks regulasi teknologi informasi OJK, kedua istilah ini sering digunakan secara bergantian dengan makna yang setara.
4 Komponen Sistem Dual Authorization
Sistem dual authorization tidak hanya soal membutuhkan dua tanda tangan digital. Efektivitas sesungguhnya bergantung pada keempat komponen berikut yang dirancang untuk bekerja secara sinergis dan saling mengunci.
| Komponen | Fungsi | Contoh Implementasi |
|---|---|---|
| Separation of Duties | Maker dan checker harus individu berbeda dengan peran yang tidak dapat dipertukarkan di level sistem | Staf keuangan membuat transaksi; supervisor terpisah menyetujui |
| Metode verifikasi kuat | Identitas checker diverifikasi secara independen sebelum persetujuan diterima sistem | Face liveness detection, OTP terpisah, hardware token |
| Audit trail real-time | Setiap aksi dicatat lengkap dengan timestamp, IP address, dan identitas penuh yang tidak dapat diedit | Log otomatis di core banking system atau middleware otorisasi |
| Batas waktu persetujuan | Transaksi kedaluwarsa otomatis jika checker tidak merespons dalam periode yang ditetapkan | Window 30 menit atau 1 jam sesuai kebijakan risiko institusi |
Titik lemah yang paling sering ditemukan dalam implementasi bukan pada desain alurnya, melainkan pada cara checker membuktikan identitas. Jika verifikasi hanya mengandalkan password atau PIN bersama, risiko credential sharing antar karyawan tetap tinggi dan sulit dideteksi.
Regulasi Dual Authorization di Industri Keuangan Indonesia
Di Indonesia, regulasi mewajibkan mekanisme kontrol berlapis untuk transaksi bernilai tinggi dan akses ke sistem kritis. POJK No. 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi menegaskan bahwa bank umum wajib menerapkan prosedur otorisasi berlapis untuk melindungi aset nasabah dari akses tidak sah, baik oleh pihak eksternal maupun internal.
Kewajiban ini diperkuat oleh POJK No. 22/POJK.03/2023 tentang Perlindungan Konsumen di Sektor Jasa Keuangan, yang mewajibkan lembaga keuangan mengimplementasikan kontrol internal yang mencegah penyalahgunaan akses oleh pihak dalam. Bank dan fintech yang tidak memenuhi standar ini berisiko mendapat sanksi administratif, termasuk pembatasan layanan dan denda dari OJK.
Audit OJK secara reguler memeriksa keberadaan prosedur dual control dalam sistem teknologi informasi lembaga keuangan. Hal ini menjadikan dual authorization bukan hanya praktik terbaik industri, tetapi kewajiban kepatuhan yang dapat diaudit kapan saja oleh regulator.
Penerapan Dual Authorization di Perbankan dan Fintech Indonesia
Perbankan dan Core Banking System
Dual authorization menjadi standar operasional untuk transfer antar bank di atas threshold nominal tertentu, perubahan limit transaksi nasabah, pembukaan rekening korporat, dan modifikasi konfigurasi sistem kritis. Pemisahan peran maker dan checker pada level sistem, bukan hanya prosedur manual di atas kertas, adalah standar yang diperiksa langsung dalam audit OJK untuk bank umum.
Kegagalan memisahkan peran ini secara teknis, bukan hanya secara prosedural, adalah sumber insider fraud yang paling sering ditemukan dalam investigasi insiden keuangan di Indonesia.
Fintech Pembayaran dan P2P Lending
Platform fintech pembayaran menerapkan dual authorization pada proses disbursement massal ke ribuan rekening penerima dalam satu sesi transaksi. Tanpa kontrol ini, satu titik kompromi pada akun pengirim dapat mengekspos seluruh dana disbursement sekaligus. Layanan P2P lending menggunakannya saat mencairkan dana ke peminjam setelah verifikasi identitas dan persetujuan kredit diselesaikan oleh dua tim berbeda.
KYC Digital dan Onboarding Nasabah Korporat
Dalam proses KYC digital, dual authorization diterapkan saat onboarding nasabah korporat: data yang diinput tim verifikasi harus dikonfirmasi supervisor sebelum akun aktif dan bisa digunakan. Alur ini mengurangi risiko kesalahan data dan mencegah manipulasi identitas pada tahap onboarding yang sering menjadi sasaran fraud.
3 Risiko Nyata Bisnis yang Tidak Menerapkan Dual Authorization
Insider Fraud oleh Karyawan Beraksess Tinggi
Karyawan dengan akses sistem keuangan dapat membuat dan mengesahkan transaksi palsu tanpa sepengetahuan pihak lain jika kontrol maker-checker tidak diterapkan secara teknis. Pola fraud digital ini paling sering terjadi di perusahaan yang hanya mengandalkan kebijakan prosedural tanpa pemisahan akses di level sistem. Pelakunya tidak perlu bersembunyi karena sistem tidak menghalangi tindakan mereka sama sekali.
Account Takeover Berujung Kerugian Finansial Besar
Jika kredensial approver dicuri melalui serangan phishing atau social engineering, penyerang dapat menyetujui transaksi fraud yang sudah disiapkan secara diam-diam. Verifikasi biometrik dalam sistem dual authorization memutus jalur ini secara efektif karena kredensial digital saja tidak cukup: checker harus hadir secara fisik dan lulus liveness check sebelum persetujuannya diterima sistem.
Risiko Kepatuhan Regulasi dan Sanksi OJK
Menurut laporan OJK 2025, temuan terkait kelemahan kontrol internal konsisten masuk sebagai kategori risiko operasional prioritas dalam audit teknologi informasi lembaga keuangan. Bank dan fintech yang tidak menerapkan kontrol otorisasi berlapis berisiko mendapat sanksi administratif, pembatasan layanan, hingga pencabutan izin usaha dalam kasus pelanggaran berulang.
Cara Memperkuat Dual Authorization dengan Verifikasi Biometrik Real-Time
Verifikasi identitas checker adalah titik paling kritis sekaligus paling rentan dalam sistem dual authorization. Checker yang hanya membutuhkan password atau PIN untuk memberikan persetujuan menciptakan celah yang dapat dieksploitasi melalui credential sharing, phishing, atau rekayasa sosial.
Verihubs Biometric Authentication memungkinkan checker membuktikan identitasnya melalui verifikasi wajah secara real-time sebelum persetujuan diterima sistem. Verihubs Face Liveness Detection memastikan checker yang hadir adalah individu nyata yang benar-benar aktif, bukan foto atau rekaman video yang digunakan untuk melewati sistem. Ini menutup celah spoofing pada titik paling kritis dalam alur otorisasi.
Mengintegrasikan Verihubs Biometric Authentication ke dalam alur dual authorization memberikan tiga keunggulan operasional sekaligus: kecepatan persetujuan tanpa mengorbankan keamanan, audit trail biometrik yang tidak dapat dipalsukan, dan kepatuhan terhadap standar verifikasi identitas OJK yang dapat diaudit kapan saja.
Pilih solusi dual authorization yang sudah terbukti memenuhi standar POJK dan dapat diintegrasikan ke sistem Anda yang ada. Diskusikan kebutuhan spesifik sistem otorisasi bisnis Anda dengan tim Verihubs untuk mendapatkan rekomendasi teknologi yang tepat.
FAQ tentang Dual Authorization
Apa perbedaan dual authorization dan multi-factor authentication (MFA)?
MFA memverifikasi identitas satu pengguna melalui beberapa faktor secara berurutan. Dual authorization memverifikasi persetujuan dua pihak berbeda untuk satu tindakan yang sama. Keduanya dapat dan sebaiknya dikombinasikan: checker dalam sistem dual authorization membuktikan identitasnya melalui MFA atau biometrik sebelum persetujuannya diterima sistem.
Apakah dual authorization wajib untuk semua jenis transaksi?
Tidak. Dual authorization umumnya diterapkan berdasarkan threshold nilai transaksi atau tingkat risiko yang ditetapkan oleh masing-masing institusi sesuai panduan OJK. Transaksi kecil di bawah batas tertentu dapat diproses dengan otorisasi tunggal. Transaksi bernilai tinggi, disbursement massal, atau perubahan konfigurasi kritis membutuhkan dual authorization tanpa pengecualian.
Bagaimana dual authorization mencegah insider fraud secara efektif?
Dual authorization memutus kemampuan satu individu untuk menyelesaikan siklus fraud secara mandiri. Pelaku insider fraud harus berkolusi dengan pihak kedua yang berwenang sebagai approver, yang secara signifikan meningkatkan risiko terdeteksi dan menurunkan insentif untuk melancarkan kecurangan. Sistem mencatat identitas keduanya dalam audit trail yang tidak dapat dimodifikasi.
Bisakah dual authorization diimplementasikan di aplikasi mobile banking?
Ya. Banyak bank digital di Indonesia sudah mengimplementasikan dual authorization dalam aplikasi mobile mereka, terutama untuk fitur transfer korporat dan manajemen akun bisnis. Verifikasi checker pada mobile banking umumnya menggunakan kombinasi PIN, OTP terpisah, dan biometrik wajah untuk memastikan identitas approver terverifikasi dengan akurat dari perangkat mana pun.
Apa yang terjadi jika checker tidak merespons permintaan otorisasi dalam batas waktu?
Sistem dual authorization yang dirancang dengan baik dilengkapi mekanisme expiry time otomatis. Jika checker tidak memberikan persetujuan atau penolakan dalam batas waktu yang ditetapkan, transaksi otomatis dibatalkan dan notifikasi dikirimkan ke maker serta tim manajemen. Seluruh log ini tersimpan dalam audit trail untuk keperluan compliance dan investigasi.
Metode verifikasi checker mana yang paling aman dalam sistem dual authorization?
Metode paling aman adalah autentikasi biometrik wajah dengan liveness detection, karena memverifikasi bahwa checker adalah individu nyata yang hadir secara fisik, bukan representasi digital yang bisa dicuri atau dipinjamkan. Verihubs Face Liveness Detection dirancang untuk mendeteksi upaya spoofing menggunakan foto atau video, sehingga tepat untuk implementasi dual authorization di lingkungan keuangan berisiko tinggi.
Dari Prinsip Empat Mata ke Verifikasi Identitas yang Tidak Bisa Dipalsukan
Dual authorization adalah fondasi operasional yang melindungi bisnis dari insider threat dan akses tidak sah. Namun efektivitas sistem ini bergantung sepenuhnya pada kualitas verifikasi identitas di setiap titik persetujuan. Sistem otorisasi berlapis yang kuat bukan hanya tentang membutuhkan dua tanda tangan digital, melainkan memastikan kedua pihak yang menandatangani adalah identitas yang benar-benar terverifikasi dan tidak dapat dipersonifikasikan.
Verihubs menyediakan solusi biometric authentication dan face liveness detection yang dapat diintegrasikan langsung ke dalam alur dual authorization sistem keuangan Anda, memastikan setiap lapisan otorisasi dijaga oleh verifikasi identitas yang akurat dan tahan manipulasi. Hubungi tim Verihubs untuk demo gratis dan konsultasi implementasi 1-on-1 dengan solution engineer kami.
