CloudSphere
Kebijakan Keamanan

Keamanan adalah Inti dari Semua yang Kami Lakukan

Sebagai perusahaan yang bergerak di bidang keamanan siber, kami memegang standar keamanan tertinggi tidak hanya untuk klien kami, tetapi juga untuk sistem dan operasional internal CloudSphere sendiri.

Terakhir diperbarui: 28 Juni 2026

TLS 1.3

Enkripsi Minimum

AES-256

Enkripsi Data at-rest

72 jam

Notifikasi Insiden

ISO 27001

Standar Acuan

Keamanan Infrastruktur

Platform CloudSphere dibangun di atas fondasi infrastruktur yang aman dengan kontrol berlapis:

Enkripsi Transit

TLS 1.3 untuk semua komunikasi data antara klien dan server

Enkripsi Penyimpanan

AES-256 untuk seluruh data yang tersimpan di disk dan database

Hosting Bersertifikat

Infrastruktur di-host di pusat data tier-3 bersertifikat ISO 27001

Proteksi Jaringan

Firewall, WAF (Web Application Firewall), dan sistem deteksi intrusi (IDS/IPS)

Backup Otomatis

Backup harian dengan retensi 30 hari dan pengujian pemulihan berkala

Monitoring 24/7

Pemantauan keamanan dan anomali secara real-time sepanjang waktu

Kontrol Akses

  • Multi-Factor Authentication (MFA)Wajib untuk seluruh akun administrator dan akses ke sistem produksi.
  • Role-Based Access Control (RBAC)Setiap pengguna hanya memiliki akses yang dibutuhkan untuk perannya (prinsip least privilege).
  • Review Akses BerkalaAudit dan review hak akses dilakukan setiap triwulan untuk memastikan tidak ada akses berlebihan.
  • Audit Log Tidak Dapat DiubahSeluruh akses ke data produksi dicatat dalam audit trail yang bersifat immutable.
  • Segmentasi JaringanSistem produksi, pengembangan, dan administrasi dipisahkan dalam jaringan yang berbeda.
  • Manajemen Sesi KetatSesi otomatis kedaluwarsa setelah periode tidak aktif, dengan token refresh yang dirotasi secara berkala.

Siklus Pengembangan Perangkat Lunak yang Aman (Secure SDLC)

Keamanan diintegrasikan di setiap tahap pengembangan perangkat lunak kami, bukan ditambahkan di akhir sebagai afterthought:

Desain

  • Threat modeling untuk setiap fitur baru
  • Security design review wajib sebelum implementasi

Pengembangan

  • Secure coding guidelines dan code style yang telah distandarisasi
  • Code review wajib oleh minimal satu developer lain sebelum merge

Pengujian

  • SAST (Static Application Security Testing) terintegrasi dalam CI/CD pipeline
  • Dependency scanning otomatis untuk kerentanan pada library pihak ketiga
  • DAST (Dynamic Application Security Testing) pada environment staging

Deployment

  • Penetration testing eksternal minimal 1 kali per tahun oleh pihak independen
  • Review konfigurasi keamanan sebelum setiap rilis mayor

Keamanan Sumber Daya Manusia

  • Background CheckPemeriksaan latar belakang dilakukan untuk seluruh karyawan dan mitra yang memiliki akses ke sistem sensitif.
  • Pelatihan Keamanan WajibSemua anggota tim mengikuti pelatihan keamanan informasi dan kesadaran phishing minimal setahun sekali.
  • Perjanjian Kerahasiaan (NDA)Seluruh karyawan, kontraktor, dan mitra menandatangani NDA sebelum memulai keterlibatan.
  • Kebijakan PerangkatEnkripsi disk penuh (full disk encryption) dan screen lock otomatis wajib di semua perangkat yang digunakan untuk bekerja.
  • Prosedur OffboardingSeluruh akses dicabut segera pada hari pertama pengunduran diri atau pemutusan hubungan kerja, mengikuti prosedur yang terstandarisasi.

Manajemen Insiden Keamanan

CloudSphere memiliki prosedur respons insiden yang terdokumentasi dan diuji secara berkala. Jika terjadi insiden keamanan yang memengaruhi data Anda:

0–24 jam

Deteksi & Isolasi

Identifikasi, kontainmen insiden, dan notifikasi internal kepada tim respons insiden.

24–72 jam

Notifikasi Pelanggan

Pemberitahuan tertulis kepada Pelanggan yang terdampak sesuai kewajiban UU PDP No. 27/2022.

Berkelanjutan

Investigasi & Mitigasi

Analisis mendalam, perbaikan, dan pembaruan status berkala kepada pihak terdampak.

Pasca-Insiden

Post-Mortem & Perbaikan

Laporan post-mortem lengkap dan implementasi perbaikan untuk mencegah kejadian serupa.

Kepatuhan & Standar Acuan

Platform dan operasional CloudSphere dirancang, dikembangkan, dan dioperasikan mengacu pada standar dan regulasi keamanan informasi berikut:

ISO/IEC 27001

Sistem Manajemen Keamanan Informasi (SMKI) — kerangka kerja utama tata kelola keamanan kami

UU PDP No. 27/2022

Undang-Undang Perlindungan Data Pribadi Indonesia — standar kepatuhan pengolahan data

POJK 11/2022

Ketentuan keamanan siber OJK untuk sektor jasa keuangan

NIST CSF 2.0

Framework manajemen risiko siber dari National Institute of Standards and Technology

OWASP Top 10

Standar keamanan aplikasi web yang diterapkan dalam proses pengembangan kami

CIS Controls

Critical Security Controls sebagai panduan prioritas kontrol keamanan teknis

Kebijakan Responsible Disclosure

Kami percaya bahwa kolaborasi dengan komunitas keamanan membuat semua orang lebih aman. Jika Anda menemukan kerentanan di sistem atau layanan CloudSphere, kami mengundang Anda untuk melaporkannya secara bertanggung jawab.

Yang Termasuk dalam Scope

  • Website dan platform web CloudSphere (cloudsphere.id dan semua subdomain aktif)
  • API endpoint CloudSphere yang digunakan untuk Layanan
  • Aplikasi mobile CloudSphere (jika tersedia)
  • Infrastruktur yang secara langsung mendukung operasional Layanan

Yang Tidak Termasuk dalam Scope

  • Layanan pihak ketiga yang terintegrasi (diatur oleh kebijakan keamanan mereka masing-masing)
  • Serangan rekayasa sosial (social engineering) terhadap karyawan atau pelanggan kami
  • Serangan Denial of Service (DoS/DDoS) atau pengujian volume/beban
  • Kerentanan yang sudah diketahui atau sedang dalam proses perbaikan
  • Kerentanan pada versi software lawas yang tidak lagi didukung

Cara Melaporkan

Kirimkan laporan kerentanan melalui email ke security@cloudsphere.id dengan subjek [SECURITY REPORT]. Sertakan informasi berikut:

  • Deskripsi kerentanan, kategori (misal: XSS, SQLi, IDOR), dan potensi dampak bisnis
  • Langkah-langkah reproduksi yang jelas, rinci, dan dapat diulang
  • Bukti konsep (Proof of Concept) tanpa merusak, mengakses, atau mengeksfiltrasi data nyata
  • Informasi kontak Anda untuk tindak lanjut dan konfirmasi

Komitmen Kami kepada Anda

2 hari kerja

Konfirmasi penerimaan laporan

7 hari kerja

Pembaruan status investigasi

Safe harbor

Tidak ada tindakan hukum untuk laporan itikad baik

Opsional

Pengakuan kontribusi publik jika Anda menginginkannya

Kontak Keamanan

Untuk pertanyaan keamanan umum yang tidak terkait pelaporan kerentanan, silakan hubungi tim kami:

Tim Keamanan CloudSphere

Email Keamanan: security@cloudsphere.id

Email Umum: hello@cloudsphere.id

Untuk pertanyaan non-keamanan, gunakan halaman Hubungi Kami.

Lihat juga: Kebijakan Privasi dan Syarat & Ketentuan.