Standar Keamanan
Terakhir Direvisi: 9 Mei 2018

I.  Tindakan Teknis dan Organisasi

Kami berkomitmen untuk melindungi informasi pelanggan kami.  Dengan mempertimbangkan praktik terbaik, biaya pelaksanaan dan sifat, ruang lingkup, keadaan, dan tujuan pemrosesan, serta kemungkinan kejadian dan tingkat keparahan risiko yang berbeda terhadap hak dan kebebasan pribadi manusia, kami melakukan tindakan teknis dan organisasi berikut.  Kami mempertimbangkan kerahasiaan, integritas, ketersediaan, dan ketahanan sistem ketika memilih tindakan ini. Pemulihan cepat setelah insiden fisik atau teknis dijamin.

Program Privasi Data kami diciptakan untuk mempertahankan struktur tata kelola data global dan mengamankan informasi selama siklus hidupnya. Program ini dikelola oleh departemen perlindungan data, yang mengawasi pelaksanaan praktik privasi dan tindakan keamanan. Kami menguji, menilai, dan mengevaluasi efektivitas Program Privasi Data dan Standar Keamanan secara berkala.

1. Kerahasiaan. “Kerahasiaan artinya data pribadi terlindung dari pengungkapan yang tidak sah.”  

Kami menggunakan berbagai tindakan fisik dan logis untuk melindungi kerahasiaan data pribadi pelanggannya. Tindakan tersebut meliputi:   

Keamanan Fisik  

• Sistem kontrol akses fisik yang tepat (Kontrol akses lencana, Pemantauan kejadian keamanan, dll.) 
• Sistem pengawasan termasuk alarm dan, jika diperlukan, pemantauan CCTV  
• Kebijakan dan kontrol meja bersih yang tepat (Mengunci komputer yang tidak digunakan, mengunci lemari, dll.)  
• Manajemen Akses Pengunjung 
• Penghancuran data pada media dan dokumen fisik (pemotongan, demagnetisasi, dll.) 

Kontrol Akses & Pencegahan Akses yang Tidak Sah

• Pembatasan akses pengguna yang diterapkan dan izin akses berbasis peran yang diberikan/ditinjau berdasarkan prinsip pemisahan tugas  
• Metode autentikasi dan otorisasi yang kuat (Autentikasi multifaktor, otorisasi berdasarkan sertifikat, penonaktifan/penerapan sistem keluar otomatis, dll.) 
• Manajemen kata sandi terpusat dan kebijakan kata sandi kuat/rumit (panjang minimum, kerumitan karakter, masa berlaku kata sandi, dll.)   
• Akses terkontrol ke email dan Internet 
• Manajemen anti-virus  
• Manajemen Sistem Pencegahan Penerobosan  

Enkripsi  

• Enkripsi komunikasi eksternal dan internal melalui protokol kriptografi yang kuat  
• Mengenkripsi data PII/SPII yang disimpan dalam bentuk digital (database, direktori bersama, dll.)   
• Enkripsi disk penuh untuk PC dan laptop perusahaan   
• Enkripsi media penyimpanan  
• Koneksi jarak jauh ke jaringan perusahaan dienkripsi melalui VPN  
• Mengamankan siklus hidup kunci enkripsi  

Minimalisasi Data

• Minimalisasi PII/SPI dalam aplikasi, penerapan debug, dan log keamanan  
• Penerapan pseudonim pada data pribadi untuk mencegah identifikasi individu secara langsung 
• Segregasi data yang disimpan menurut fungsi (pengujian, perencanaan, penerapan) 
• Segregasi data logis menurut hak akses berbasis peran 
• Periode retensi data yang telah ditetapkan untuk data pribadi   

Pengujian Keamanan

• Pengujian Penetrasi untuk jaringan dan platform perusahaan penting yang menghosting data pribadi 
• Pemindaian jaringan dan kerentanan berkala   

2. Integritas. “Integritas artinya memastikan kebenaran (keutuhan) data dan fungsi sistem yang benar. Jika istilah integritas digunakan sehubungan dengan istilah “data”, integritas menyatakan bahwa data lengkap dan tidak berubah.”  

Kontrol manajemen log dan perubahan yang sesuai berlaku, selain kontrol akses, agar dapat menjaga integritas data pribadi seperti:    

Manajemen Rilis & Perubahan  

• Mengubah dan merilis proses manajemen yang termasuk (analisis dampak, persetujuan, pengujian, peninjauan keamanan, perencanaan, pemantauan, dll.)  
• Penyediaan akses berbasis Peran & Fungsi (Pemisahan Tugas) di lingkungan produksi    

Pencatatan & Pemantauan

• Pencatatan akses dan perubahan data  
• Log keamanan & audit terpusat   
• Memantau kelengkapan dan kebenaran transfer data (pemeriksaan menyeluruh)    

3. Ketersediaan. “Ketersediaan layanan dan sistem TI, aplikasi TI, dan fungsi jaringan TI atau informasi dijamin, jika pengguna dapat menggunakannya setiap saat sebagaimana dimaksud.”    

Kami menerapkan tindakan berkelanjutan dan keamanan yang sesuai untuk mempertahankan ketersediaan layanannya dan data yang berada dalam layanan tersebut:    

• Pengujian kegagalan (fail-over) berkala yang diterapkan untuk layanan penting  
• Pemantauan dan pelaporan kinerja/ketersediaan ekstensif untuk sistem penting  
• Rancangan respons insiden  
• Data penting baik yang direplikasi maupun dicadangkan (Pencadangan Awan/Hard Disk/Replikasi Database, dll.) 
• Pemeliharaan perangkat lunak, infrastruktur, dan keamanan terencana yang tepat (Pembaruan perangkat lunak, patch keamanan, dll.)   
• Sistem yang canggih dan melimpah (kluster server, database yang dicerminkan, penyiapan ketersediaan tinggi, dll.) yang berada di lokasi berbeda (off-site) dan/atau terpisah secara geografis    
• Penggunaan penyedia daya yang tidak pernah terputus, perangkat keras dan sistem jaringan melimpah yang gagal  
• Alarm, sistem keamanan yang tepat  
• Tindakan Perlindungan Fisik yang tepat untuk situs penting (pelindung lonjakan, lantai yang lebih tinggi, sistem pendingin, pendeteksi api dan/atau asap, sistem pemadaman api, dll.) 
• Perlindungan DDOS untuk mempertahankan ketersediaan   
• Pengujian Muatan & Beban  

4. Instruksi Pemrosesan Data. "Instruksi Pemrosesan Data artinya memastikan bahwa data pribadi hanya akan diproses sesuai dengan instruksi pengontrol data dan tindakan perusahaan yang terkait"  

Kami telah menetapkan kebijakan privasi internal, perjanjian, dan melakukan pelatihan privasi secara rutin bagi karyawan untuk memastikan data pribadi diproses sesuai dengan preferensi dan instruksi pelanggan.   

• Ketentuan privasi dan kerahasiaan yang diterapkan dalam kontrak karyawan 
• Pelatihan privasi data dan keamanan bagi karyawan secara rutin
• Penyediaan kontrak yang sesuai dengan perjanjian dengan sub-kontraktor untuk mempertahankan hak kontrol instruksional
• Pemeriksaan privasi berkala untuk penyedia layanan eksternal 
• Memberikan kontrol penuh kepada pelanggan atas preferensi pemrosesan data mereka
• Audit keamanan rutin