Keamanan

Enkripsi Data

Semua data yang melewati platform AquaData dilindungi dengan enkripsi berlapis:

• Saat transit (in transit) — semua komunikasi menggunakan TLS 1.3. Sertifikat dikelola otomatis dan diperbarui sebelum kedaluwarsa.
• Saat disimpan (at rest) — seluruh basis data, cadangan, dan file disimpan dengan enkripsi AES-256.
• Kata sandi — tidak pernah disimpan dalam teks biasa. Kami menggunakan bcrypt dengan faktor biaya yang cukup tinggi untuk resistensi terhadap serangan brute-force.
• Token sesi — JWT bertanda tangan dengan kunci privat RS256 berputar secara berkala. Token memiliki masa berlaku yang terbatas.

Autentikasi dan Otorisasi

Akses ke platform dikontrol secara ketat melalui beberapa mekanisme:

• Autentikasi berbasis JWT — token sesi memiliki masa berlaku pendek dan diperbarui secara aman.
• Kontrol akses berbasis peran (RBAC) — setiap pengguna hanya dapat mengakses data dan fitur yang sesuai dengan perannya (Admin, Viewer, dst.).
• Isolasi tenant — data setiap organisasi dipisahkan secara logis. Tidak ada lintas akses antar tenant.
• Pemblokiran otomatis — upaya login yang gagal berulang kali memicu pembatasan akses sementara.
• Verifikasi surel — akun baru memerlukan verifikasi surel sebelum dapat mengakses data sensitif.

Infrastruktur dan Ketersediaan

Platform AquaData berjalan di atas infrastruktur yang dirancang untuk keandalan dan keamanan:

• Lokasi server — semua data disimpan di server yang berlokasi di Indonesia untuk kepatuhan regulasi data lokal.
• Cadangan otomatis — basis data dicadangkan setiap hari dengan retensi 30 hari. Cadangan dienkripsi dan disimpan terpisah dari server utama.
• Pemantauan 24/7 — sistem pemantauan aktif mendeteksi anomali, latensi tinggi, dan potensi insiden keamanan secara real-time.
• Firewall dan pembatasan jaringan — hanya port yang diperlukan yang terbuka. Akses administratif hanya melalui VPN dan SSH dengan kunci.
• Pembaruan keamanan — patch keamanan kritis diterapkan dalam 24 jam setelah rilis.

Audit Log dan Pemantauan

Setiap tindakan signifikan dalam platform dicatat dalam log audit yang tidak dapat diubah:

• Login dan logout (berhasil maupun gagal), termasuk IP dan perangkat.
• Perubahan data, ekspor, dan penghapusan beserta identitas pengguna yang melakukan tindakan.
• Perubahan konfigurasi akun dan izin pengguna.
• Akses API dengan informasi token dan endpoint yang dipanggil.

Log audit disimpan selama minimal 12 bulan dan dapat diminta oleh administrator tenant untuk keperluan kepatuhan internal.

Pengujian dan Penilaian Keamanan

• Tinjauan kode — setiap perubahan kode melalui proses tinjauan keamanan sebelum diterapkan ke produksi.
• Uji penetrasi — platform menjalani pengujian penetrasi oleh pihak ketiga secara berkala.
• Pemindaian dependensi — pustaka dan paket pihak ketiga dipindai otomatis untuk kerentanan yang diketahui (CVE) setiap hari.
• Penilaian risiko — penilaian risiko keamanan dilakukan setiap tahun atau saat ada perubahan arsitektur signifikan.

Respons Insiden

Kami memiliki prosedur respons insiden yang terdokumentasi:

• Deteksi dan triase insiden dalam 2 jam.
• Notifikasi kepada pengguna yang terdampak dalam 24 jam setelah konfirmasi insiden yang melibatkan data mereka.
• Pelaporan kepada otoritas yang berwenang sesuai UU PDP jika terjadi pelanggaran data yang signifikan.
• Laporan pasca insiden dan langkah perbaikan yang dipublikasikan kepada pengguna terdampak.

Pelaporan Kerentanan

Kami menghargai peneliti keamanan dan komunitas yang melaporkan potensi kerentanan secara bertanggung jawab. Jika Anda menemukan kerentanan keamanan di platform kami: