Keamanan Infrastruktur
Platform CloudSphere dibangun di atas fondasi infrastruktur yang aman dengan kontrol berlapis:
Enkripsi Transit
TLS 1.3 untuk semua komunikasi data antara klien dan server
Enkripsi Penyimpanan
AES-256 untuk seluruh data yang tersimpan di disk dan database
Hosting Bersertifikat
Infrastruktur di-host di pusat data tier-3 bersertifikat ISO 27001
Proteksi Jaringan
Firewall, WAF (Web Application Firewall), dan sistem deteksi intrusi (IDS/IPS)
Backup Otomatis
Backup harian dengan retensi 30 hari dan pengujian pemulihan berkala
Monitoring 24/7
Pemantauan keamanan dan anomali secara real-time sepanjang waktu
Kontrol Akses
- Multi-Factor Authentication (MFA) — Wajib untuk seluruh akun administrator dan akses ke sistem produksi.
- Role-Based Access Control (RBAC) — Setiap pengguna hanya memiliki akses yang dibutuhkan untuk perannya (prinsip least privilege).
- Review Akses Berkala — Audit dan review hak akses dilakukan setiap triwulan untuk memastikan tidak ada akses berlebihan.
- Audit Log Tidak Dapat Diubah — Seluruh akses ke data produksi dicatat dalam audit trail yang bersifat immutable.
- Segmentasi Jaringan — Sistem produksi, pengembangan, dan administrasi dipisahkan dalam jaringan yang berbeda.
- Manajemen Sesi Ketat — Sesi otomatis kedaluwarsa setelah periode tidak aktif, dengan token refresh yang dirotasi secara berkala.
Siklus Pengembangan Perangkat Lunak yang Aman (Secure SDLC)
Keamanan diintegrasikan di setiap tahap pengembangan perangkat lunak kami, bukan ditambahkan di akhir sebagai afterthought:
Desain
- Threat modeling untuk setiap fitur baru
- Security design review wajib sebelum implementasi
Pengembangan
- Secure coding guidelines dan code style yang telah distandarisasi
- Code review wajib oleh minimal satu developer lain sebelum merge
Pengujian
- SAST (Static Application Security Testing) terintegrasi dalam CI/CD pipeline
- Dependency scanning otomatis untuk kerentanan pada library pihak ketiga
- DAST (Dynamic Application Security Testing) pada environment staging
Deployment
- Penetration testing eksternal minimal 1 kali per tahun oleh pihak independen
- Review konfigurasi keamanan sebelum setiap rilis mayor
Keamanan Sumber Daya Manusia
- Background Check — Pemeriksaan latar belakang dilakukan untuk seluruh karyawan dan mitra yang memiliki akses ke sistem sensitif.
- Pelatihan Keamanan Wajib — Semua anggota tim mengikuti pelatihan keamanan informasi dan kesadaran phishing minimal setahun sekali.
- Perjanjian Kerahasiaan (NDA) — Seluruh karyawan, kontraktor, dan mitra menandatangani NDA sebelum memulai keterlibatan.
- Kebijakan Perangkat — Enkripsi disk penuh (full disk encryption) dan screen lock otomatis wajib di semua perangkat yang digunakan untuk bekerja.
- Prosedur Offboarding — Seluruh akses dicabut segera pada hari pertama pengunduran diri atau pemutusan hubungan kerja, mengikuti prosedur yang terstandarisasi.
Manajemen Insiden Keamanan
CloudSphere memiliki prosedur respons insiden yang terdokumentasi dan diuji secara berkala. Jika terjadi insiden keamanan yang memengaruhi data Anda:
0–24 jam
Deteksi & Isolasi
Identifikasi, kontainmen insiden, dan notifikasi internal kepada tim respons insiden.
24–72 jam
Notifikasi Pelanggan
Pemberitahuan tertulis kepada Pelanggan yang terdampak sesuai kewajiban UU PDP No. 27/2022.
Berkelanjutan
Investigasi & Mitigasi
Analisis mendalam, perbaikan, dan pembaruan status berkala kepada pihak terdampak.
Pasca-Insiden
Post-Mortem & Perbaikan
Laporan post-mortem lengkap dan implementasi perbaikan untuk mencegah kejadian serupa.
Kepatuhan & Standar Acuan
Platform dan operasional CloudSphere dirancang, dikembangkan, dan dioperasikan mengacu pada standar dan regulasi keamanan informasi berikut:
ISO/IEC 27001
Sistem Manajemen Keamanan Informasi (SMKI) — kerangka kerja utama tata kelola keamanan kami
UU PDP No. 27/2022
Undang-Undang Perlindungan Data Pribadi Indonesia — standar kepatuhan pengolahan data
POJK 11/2022
Ketentuan keamanan siber OJK untuk sektor jasa keuangan
NIST CSF 2.0
Framework manajemen risiko siber dari National Institute of Standards and Technology
OWASP Top 10
Standar keamanan aplikasi web yang diterapkan dalam proses pengembangan kami
CIS Controls
Critical Security Controls sebagai panduan prioritas kontrol keamanan teknis
Kebijakan Responsible Disclosure
Kami percaya bahwa kolaborasi dengan komunitas keamanan membuat semua orang lebih aman. Jika Anda menemukan kerentanan di sistem atau layanan CloudSphere, kami mengundang Anda untuk melaporkannya secara bertanggung jawab.
Yang Termasuk dalam Scope
- Website dan platform web CloudSphere (cloudsphere.id dan semua subdomain aktif)
- API endpoint CloudSphere yang digunakan untuk Layanan
- Aplikasi mobile CloudSphere (jika tersedia)
- Infrastruktur yang secara langsung mendukung operasional Layanan
Yang Tidak Termasuk dalam Scope
- Layanan pihak ketiga yang terintegrasi (diatur oleh kebijakan keamanan mereka masing-masing)
- Serangan rekayasa sosial (social engineering) terhadap karyawan atau pelanggan kami
- Serangan Denial of Service (DoS/DDoS) atau pengujian volume/beban
- Kerentanan yang sudah diketahui atau sedang dalam proses perbaikan
- Kerentanan pada versi software lawas yang tidak lagi didukung
Cara Melaporkan
Kirimkan laporan kerentanan melalui email ke security@cloudsphere.id dengan subjek [SECURITY REPORT]. Sertakan informasi berikut:
- Deskripsi kerentanan, kategori (misal: XSS, SQLi, IDOR), dan potensi dampak bisnis
- Langkah-langkah reproduksi yang jelas, rinci, dan dapat diulang
- Bukti konsep (Proof of Concept) tanpa merusak, mengakses, atau mengeksfiltrasi data nyata
- Informasi kontak Anda untuk tindak lanjut dan konfirmasi
Komitmen Kami kepada Anda
2 hari kerja
Konfirmasi penerimaan laporan
7 hari kerja
Pembaruan status investigasi
Safe harbor
Tidak ada tindakan hukum untuk laporan itikad baik
Opsional
Pengakuan kontribusi publik jika Anda menginginkannya
Kontak Keamanan
Untuk pertanyaan keamanan umum yang tidak terkait pelaporan kerentanan, silakan hubungi tim kami:
Tim Keamanan CloudSphere
Email Keamanan: security@cloudsphere.id
Email Umum: hello@cloudsphere.id
Untuk pertanyaan non-keamanan, gunakan halaman Hubungi Kami.
Lihat juga: Kebijakan Privasi dan Syarat & Ketentuan.
