Kebijakan Keamanan Informasi ini menjelaskan prinsip-prinsip keamanan dan pengendalian yang bertujuan diterapkan oleh PT Beklen Royal Lestari (“Penyedia”) sehubungan dengan Layanan.
1.1 Kebijakan ini merangkum pendekatan umum keamanan informasi milik Penyedia untuk Layanan.
1.2 Kebijakan ini berlaku terhadap Layanan dan personel atau pihak ketiga yang diberi kewenangan untuk mengadministrasikan atau mendukung Layanan.
Untuk tujuan Kebijakan ini:
“Pelanggan” berarti setiap orang perseorangan atau badan hukum yang berlangganan, membeli, mengakses, atau menggunakan Layanan.
“Data Pelanggan” berarti setiap data, data operasional terkait mailbox, data akun, data dukungan, data konfigurasi, data teknis, data pribadi, dan informasi lainnya yang disampaikan oleh, untuk, atau atas nama Pelanggan, atau yang diproses sehubungan dengan Layanan.
“Layanan” berarti akses situs web SIP Shield, dashboard, agen desktop, onboarding, dukungan, pemeliharaan, pembaruan, dan layanan terkait yang disediakan oleh Penyedia.
Tujuan keamanan Penyedia adalah untuk mendukung:
a. kerahasiaan informasi;
b. integritas sistem dan data;
c. ketersediaan dan ketahanan layanan;
d. akuntabilitas dalam akses dan tindakan administratif;
e. respons yang tepat waktu terhadap insiden dan kerentanan; dan
f. penanganan Data Pelanggan yang sah dan bertanggung jawab.
Penyedia bertujuan beroperasi sesuai dengan prinsip-prinsip berikut:
a. akses dengan hak minimum;
b. akses data berdasarkan kebutuhan untuk mengetahui;
c. pertahanan berlapis;
d. konfigurasi aman dan pengendalian perubahan;
e. minimalisasi data;
f. logging dan akuntabilitas;
g. kesiapan insiden; dan
h. peningkatan berkelanjutan.
5.1 Akses ke sistem, dashboard, alat internal, dan lingkungan operasional harus dibatasi kepada personel yang berwenang dengan kebutuhan bisnis yang sah.
5.2 Akses administratif harus dibatasi, berbasis peran apabila memungkinkan, dan ditinjau secara berkala.
5.3 Kredensial bersama harus dihindari sejauh wajar memungkinkan, dan akses harus dicabut atau diperbarui dengan segera ketika tidak lagi diperlukan.
6.1 Penyedia mengakui bahwa kredensial mailbox, secret, dan access token bersifat sensitif.
6.2 Apabila Layanan dirancang untuk menggunakan penanganan desktop lokal bagi akses mailbox, Penyedia bertujuan mempertahankan arsitektur tersebut dengan cara yang mengurangi penyimpanan kredensial yang tidak perlu pada sistem terpusat.
6.3 Apabila kredensial, token, secret, atau artefak konfigurasi harus ditangani secara operasional, Penyedia bertujuan menerapkan langkah keamanan yang sesuai, pembatasan akses, dan retensi yang terkendali.
Penyedia bertujuan menerapkan langkah teknis dan organisasional yang wajar, yang dapat mencakup:
a. standar konfigurasi aman;
b. proses patching dan pembaruan;
c. perlindungan malware dan pengamanan endpoint apabila relevan;
d. pemisahan lingkungan apabila memungkinkan;
e. jalur administratif yang dibatasi;
f. logging dan monitoring terhadap peristiwa sistem yang penting; dan
g. langkah-langkah yang dimaksudkan untuk mengurangi akses yang tidak sah, penyalahgunaan, atau gangguan layanan.
Penyedia berupaya melindungi Data Pelanggan dan data pribadi dengan cara yang konsisten dengan Kebijakan Privasi dan hukum yang berlaku.
Penyedia bertujuan untuk:
a. mengumpulkan hanya data yang secara wajar diperlukan untuk operasi, dukungan, keamanan, dan peningkatan Layanan;
b. membatasi akses internal terhadap Data Pelanggan;
c. menggunakan praktik transmisi dan penyimpanan yang aman apabila sesuai;
d. menyimpan data hanya selama diperlukan secara wajar atau diwajibkan oleh hukum; dan
e. menghapus, menganonimkan, atau memusnahkan data secara aman ketika tidak lagi diperlukan.
9.1 Penyedia dapat memelihara log, alert, dan catatan operasional yang diperlukan untuk mendukung keamanan, troubleshooting, pencegahan fraud, integritas sistem, dan kepatuhan.
9.2 Akses ke catatan tersebut harus dibatasi kepada personel yang berwenang.
10.1 Penyedia bertujuan mengidentifikasi, menilai, memprioritaskan, dan menangani kerentanan serta kelemahan keamanan dalam waktu yang wajar berdasarkan tingkat keparahan, risiko operasional, dan kelayakan teknis.
10.2 Penyedia bertujuan menyelidiki peristiwa keamanan yang kredibel dan mengambil langkah penahanan, pemulihan, dan pemulihan layanan yang wajar.
10.3 Apabila diwajibkan oleh hukum, kontrak, atau keadaan suatu insiden material, Penyedia dapat memberitahukan pelanggan yang terdampak atau otoritas yang berwenang.
Penyedia berupaya menjaga langkah-langkah yang wajar untuk mendukung kesinambungan layanan dan ketahanan operasional, yang dapat mencakup praktik backup, prosedur pemulihan, perencanaan redundansi, eskalasi insiden, dan aktivitas pemeliharaan yang terkendali.
Keamanan adalah tanggung jawab bersama. Pelanggan diharapkan untuk:
a. memelihara perangkat dan lingkungan operasional yang aman;
b. melindungi kredensial dan akun administrator miliknya sendiri;
c. memastikan adanya kewenangan yang sah untuk setiap Mailbox atau sistem yang terhubung ke Layanan;
d. segera melaporkan dugaan penyalahgunaan, kompromi, atau perilaku tidak normal; dan
e. mengikuti panduan deployment, dukungan, dan operasional apabila relevan.
Tidak ada kerangka keamanan, lingkungan perangkat lunak, tumpukan infrastruktur, atau layanan berbasis internet yang dapat menjamin keamanan mutlak. Oleh karena itu, meskipun Penyedia bertujuan menerapkan pengamanan yang wajar, Penyedia tidak menjamin bahwa Layanan akan kebal dari seluruh kerentanan, serangan, kegagalan, atau tindakan yang tidak sah.
Kekhawatiran keamanan, dugaan kerentanan, atau pemberitahuan insiden dapat ditujukan kepada:
PT Beklen Royal Lestari
Email: help@sipshield.id
WhatsApp: +62 811-8049-911
Kebijakan ini harus dibaca bersama dengan Syarat dan Ketentuan SIP Shield, Kebijakan Privasi SIP Shield, Kebijakan Etika dan Penggunaan yang Bertanggung Jawab SIP Shield, dan Kebijakan Anti-Suap, Anti-Korupsi, Anti-Kolusi, dan Anti-Gratifikasi SIP Shield.
Penyedia dapat mengubah Kebijakan ini dari waktu ke waktu. Versi yang diperbarui berlaku efektif setelah dipublikasikan kecuali dinyatakan lain.