Kebijakan Keamanan Data


  • UMUM
  • Kebijakan Keamanan Data Produk dan Layanan merupakan komitmen PT. Datacomm Diangraha (“Datacomm”) untuk melindungi setiap data atau informasi pribadi Pelanggan yang menggunakan semua Layanan milik Datacomm termasuk juga pada Layanan yang terdapat pada situs Datacomm) dengan alamat web www.dcloud.co.id beserta anak perusahaan dan afiliasi Datacomm, situs-situs turunannya, termasuk dan tidak juga tidak terbatas pada Layanan milik Datacomm yang tersedia pada aplikasi gawai Datacomm.


  • KEPEMILIKAN DATA
  • Di antara para pihak, Pelanggan memegang semua hak, kepemilikan, dan kepentingan dalam dan atas data Pelanggan. Datacomm tidak memiliki hak atas data Pelanggan selain hak yang diberikan Pelanggan kepada Datacomm. Datacomm akan menggunakan dan sebaliknya memproses Data Pelanggan, hanya untuk:

    • Menyediakan Produk dan Layanan kepada Pelanggan sesuai dengan informasi yang didokumentasikan di detail produk atau Layanan.
    • Keperluan operasional bisnis dalam penanganan permintaan atau penanganan insiden dalam menyediakan Produk dan Layanan kepada Pelanggan.
    • Peningkatan Produk dan Layanan kepada Pelanggan.

  • PENGUNGKAPAN DATA YANG DIPROSES
  • Datacomm tidak akan mengungkapkan atau memberikan akses ke Data yang Diproses apa pun kecuali:

    • seperti yang diarahkan oleh Pelanggan.
    • sebagaimana diwajibkan oleh hukum.

    Untuk tujuan bagian ini, “Data yang Diproses” berarti:

    • Data Pelanggan;
    • Data Produk dan Layanan;
    • Data Pribadi; dan
    • Data lain apa pun yang diproses oleh Datacomm sehubungan dengan Produk dan Layanan yang digunakan Pelanggan.

    Datacomm tidak akan mengungkapkan atau memberikan akses ke Data yang Diproses apa pun kepada siapapun kecuali diwajibkan oleh hukum.

    Jika penegak hukum menghubungi Datacomm dengan permintaan untuk Data yang Diproses, Datacomm akan mencoba mengarahkan lembaga penegak hukum untuk meminta data tersebut langsung dari Pelanggan. Jika terpaksa mengungkapkan atau memberikan akses ke Data yang Diproses apa pun kepada penegak hukum, Datacomm akan segera memberi tahu Pelanggan dan memberikan salinan permintaan tersebut kecuali jika dilarang secara hukum untuk melakukannya.

    Setelah menerima permintaan pihak ketiga lainnya untuk Data yang Diproses, Datacomm akan segera memberi tahu Pelanggan kecuali dilarang oleh undang-undang. Datacomm akan menolak permintaan tersebut kecuali diwajibkan oleh undang-undang untuk mematuhinya. Jika permintaan tersebut valid, Datacomm akan mencoba mengarahkan pihak ketiga untuk meminta data langsung dari Pelanggan.


    Datacomm tidak akan memberikan kepada pihak ketiga mana pun:

    • Akses langsung, tidak langsung, menyeluruh, atau tidak terbatas ke Data yang Diproses;
    • Kunci enkripsi platform yang digunakan untuk mengamankan Data yang Diproses atau kemampuan untuk memecahkan enkripsi tersebut; atau
    • Akses ke Data yang Diproses jika Microsoft mengetahui bahwa data tersebut akan digunakan untuk tujuan selain yang dinyatakan dalam permintaan pihak ketiga.
      Untuk mendukung hal di atas, Microsoft dapat memberikan informasi kontak dasar Pelanggan kepada pihak ketiga.

  • KEAMANAN DATA
    • PRAKTIK DAN KEBIJAKAN KEAMANAN
      • Datacomm akan memastikan dan menyiapkan aspek teknis beserta organisasinya yang sesuai dalam rangka untuk melindungi Data Pelanggan dari perusakan, kehilangan, pengubahan, pengungkapan tanpa izin, atau akses ke, data pribadi yang dikirimkan, disimpan, atau diproses secara tidak sah atau tidak disengaja.
      • Tindakan yang dilakukan tersebut telah memenuhi persyaratan yang ditetapkan dalam ISO 27001 dan PCI-DSS.

    • UPAYA PERLINDUNGAN DATA PELANGGAN
    • Datacomm berkomitmen untuk memastikan bahwa Data pelanggan aman. Untuk mencegah akses yang tidak sah, perusahaan telah meletakan prosedur perlindungan fisik, elektronik, dan manajerial yang sesuai untuk menjaga dan mengamankan Data yang kami simpan.


      Perlindungan Fisik:

      • Building Entrance Gate dengan RFID card.
      • Parking Gate dengan RFID card.
      • Datacentre entrance dengan RFID card dan biometric key.
      • Fire suppressor system.

      Perlindungan Elektronik:

      • Kriptografi

        Proses pengkodean informasi dari bentuk aslinya (disebut plaintext) menjadi sandi, bentuk yang tidak dapat dipahami.

      • Redundant System

        Duplikasi komponen atau fungsi penting dari suatu sistem dengan tujuan meningkatkan keandalan dan ketersediaansistem, biasanya dalam bentuk cadangan atau fail-safe , atau untuk meningkatkan kinerja sistem yang sebenarnya.

      • EDR (Endpoint Detection and Response)

        Solusi keamanan bagi endpoint yang terintegrasi yang menggabungkan monitoring terus menerus secara real-time dan pengumpulan data di end-point dengan respon otomatis berdasar aturan dan kemampuan analisis.

      • DLP (Data Loss Prevention)

        Seperangkat alat dan proses yang digunakan untuk memastikan bahwa data sensitif tidak hilang, disalahgunakan, atau diakses oleh pengguna yang tidak berwenang.

      • Firewall

        Perangkat keamanan jaringan yang memantau lalu lintas jaringan masuk dan keluar dan mengizinkan atau memblokir paket data berdasarkan seperangkat aturan keamanan. Tujuannya adalah untuk membuat penghalang antara jaringan internal dan lalu lintas masuk dari sumber eksternal (seperti internet) untuk memblokir lalu lintas berbahaya seperti virus dan peretas.

      • IPS/IDS (Intrusion Prevention System/Intrusion Detection System)

        Alat keamanan jaringan (yang dapat berupa perangkat keras atau perangkat lunak) yang terus memantau jaringan untuk aktivitas jahat dan mengambil tindakan untuk mencegahnya, termasuk melaporkan, memblokir, atau menjatuhkannya, ketika hal tersebut terjadi.

      • Security Information and Event Management System (SIEM)

        Solusi perangkat lunak yang mengumpulkan dan menganalisis aktivitas dari berbagai sumber daya di seluruh infrastruktur IT. SIEM mengumpulkan data keamanan dari perangkat jaringan, server, pengontrol domain, dan lainnya.

      • Identity and Access Management System (IAM)

        Solusi untuk mengelola akses dan identitas user dalam sumber daya IT (seperti sistem, aplikasi, dan jaringan). Solusi Identity and Access Management memiliki kemampuan untuk mengidentifikasi, mengautentikasi, dan memberi hak akses yang sesuai pada user yang akan menggunakan sumber daya IT tersebut. Solusi ini mampu memastikan user yang mengakses sumber daya IT tersebut adalah orang yang tepat, mengaksesnya di waktu yang tepat dan juga memiliki tujuan yang tepat.

      • Anti DDoS (Distributed Denial of Service)

        Solusi untuk menangani serangan DDoS yang menggunakan traffic untuk membanjiri jaringan.

      • WAF (Web Application Firewall) di Infrastruktur Cloud

        Solusi untuk mencegah serangan DDoS yang membidik aplikasi web dan yang menggunakan protocol attacks di infrastruktur Cloud.


      Fungsi Keamanan terkait:

      • Departemen Keamanan Gedung.
      • Security Operations Centre (SOC).

      Prosedur dan dokumen:

      • Rencana Sistem Pengelolaan Keamanan Informasi.
      • SOP Security Incident.
      • Non Disclosure Agreement.
      • Formulir Ijin Akses Data.
      • Information Security Risk Management.

      Penerapan Standar Internasional Keamanan Informasi:

      • ISO27001

        Sebuah standar yang diterbitkan oleh lembaga International Organization for Standardization (ISO) bekerja sama dengan International Electrotechnical Commision (IEC), berfokus pada sistem keamanan informasi atau lebih dikenal dengan sebutan Information Security Management Systems (ISMS), menjadikan standar ini menjadi salah satu best practice dalam penerapan keamanan informasi di dunia.

      • PCI DSS (Payment Card Industry Data Security Standard)

        Seperangkat persyaratan komprehensif yang harus dipatuhi untuk semua bisnis yang menangani pembayaran dengan kartu kredit dan debit, terlepas dari ukuran atau jumlah transaksi yang mereka proses atau seberapa banyak peruntukannya. Standar tersebut mebantu mengurangi kemungkinan pencurian informasi keuangan dan identitas, pembayaran yang curang dan transaksi tanpa otorisasi.


      Aktifitas pendukung yang dilakukan di infrastruktur Cloud secara berkala:

      • Vulnerability Assessment (VA) atau Penilaian Kerentanan

        Adalah proses untuk mengidentifikasi, mengevaluasi, dan mengklasifikasikan tingkat keparahan pada kerentanan keamanan yang ada pada sebuah sistem informasi teknologi berdasarkan risiko yang dapat ditimbulkan.

        Proses ini dapat memberikan gambaran mengenai kerentanan apa saja yang lebih mungkin untuk dieksploitasi oleh peretas. Dengan demikian, pengelola sistem dapat dengan cepat menambal kerentanan atau kelemahan paling berisiko sebelum peretas mengeksploitasinya.

      • Penetration Testing (PT)

        Suatu kegiatan simulasi penyerangan terhadap sistem informasi teknologi suatu organisasi untuk menemukan kelemahan yang ada pada sistem tersebut.

  • ENKRIPSI DATA
  • Transfer Data melalui jaringan publik antara Pelanggan dengan layanan di datacenter Datacomm, secara bawaan telah terenkripsi.
    Meski demikian, tidak tertutup kemungkinan bahwa Pelanggan dapat melakukan instalasi aplikasi pihak ketiga yang memungkinkan Pelanggan dapat melakukan pemindahan data tanpa enkripsi ke VM Pelanggan di datacenter Datacomm. Untuk itu Pelanggan bertanggung jawab atas keamanan pemindahan data tersebut.
    Datacomm juga menyediakan enkripsi “at rest” bagi data Pelanggan yang ada di datacenter Datacomm.


  • AKSES TERHADAP DATA
  • Datacomm menggunakan mekanisme kontrol hak akses seminimal mungkin ke data Pelanggan. Kontrol hak akses berbasis Role digunakan untuk memastikan bahwa akses ke data Pelanggan yang diperlukan untuk operasi layanan adalah untuk tujuan yang sesuai dan disetujui oleh Pelanggan dengan pengawasan manajemen.


  • TANGGUNG JAWAB PELANGGAN
  • Pelanggan sepenuhnya bertanggung jawab untuk membuat keputusan independen mengenai apakah tindakan teknis dan organisasional untuk Produk dan Layanan memenuhi persyaratan Pelanggan.
    Pelanggan mengakui dan menyetujui bahwa (dengan mempertimbangkan keadaan terkini, biaya implementasi, dan sifat, ruang lingkup, konteks dan tujuan pemrosesan Datanya serta risiko terhadap individu) praktik dan kebijakan keamanan yang diterapkan dan dikelola oleh Datacomm memberikan tingkat keamanan yang sesuai dengan risiko sehubungan dengan Datanya.
    Pelanggan bertanggung jawab untuk menerapkan dan memelihara perlindungan privasi dan langkah-langkah keamanan untuk komponen yang disediakan atau dikontrol .


  • KEPATUHAN AUDIT
  • Datacomm akan melakukan audit keamanan system dan datacenter yang digunakannya dalam memproses Data Pelanggan, sebagai berikut:

    • Jika standar atau kerangka kerja mengharuskan audit tersebut dan dilakukan setidaknya satu tahun satu kali.
    • Setiap audit akan dilakukan sesuai dengan standar dan aturan dari badan pengatur atau akreditasi untuk setiap standar atau kerangka pengendalian yang berlaku.
    • Setiap audit akan dilakukan oleh auditor keamanan pihak ketiga yang berkualifikasi dan independen atas pilihan dan biaya Datacomm.

    Setiap laporan hasil audit akan disediakan Datacomm di (link) atau lokasi lain yang diidentifikasi oleh Datacomm.
    Laporan Audit ini akan menjadi Informasi Rahasia Datacomm dikarenakan dengan jelas mengungkapkan temuan material apa pun oleh auditor.
    Datacomm akan segera memperbaiki temuan yang diangkat dalam Laporan Audit. Jika dibutuhkan, Datacomm akan memberikan setiap Laporan Audit kepada Pelanggan namun tunduk tetap pada pembatasan kerahasiaan dan distribusi dari Datacomm dan auditor.

    Jika Pelanggan membutuhkan Datacomm untuk melakukan aktifitas tambahan terkait dengan kebutuhan audit, maka sebelum dimulainya audit, Pelanggan dan Datacomm akan bersama-sama menyepakati ruang lingkup, waktu, durasi, kontrol dan persyaratan bukti, serta biaya untuk audit, dengan ketentuan bahwa persyaratan untuk menyetujui aktifitas ini tidak akan menunda kinerja audit Datacomm secara tidak wajar dan Datacomm memiliki hak penuh untuk menolak melakukan aktifitas tambahan tersebut tanpa konsekuensi apapun.


  • PEMBERITAHUAN INSIDEN KEAMANAN
  • Jika Datacomm mengetahui adanya pelanggaran keamanan yang menyebabkan penghancuran, kehilangan, pengubahan, pengungkapan yang tidak sah, atau akses ke Data Pelanggan yang tidak disengaja atau melanggar hukum saat diproses oleh Datacomm (masing-masing disebut “Insiden Keamanan”) , Datacomm akan segera dan tanpa penundaan yang tidak semestinya (1) memberi tahu Pelanggan tentang Insiden Keamanan; (2) menyelidiki Insiden Keamanan dan memberikan informasi terperinci kepada Pelanggan tentang Insiden Keamanan; (3) mengambil langkah-langkah yang perlu untuk mengurangi efek dan meminimalkan kerusakan akibat Insiden Keamanan.

    Pemberitahuan Insiden Keamanan akan dikirimkan kepada Pelanggan dengan cara apa pun yang dipilih Pelanggan, termasuk melalui email. Pelanggan bertanggung jawab sepenuhnya untuk memastikan Pelanggan menyimpan informasi kontak yang akurat dengan Datacomm untuk setiap Produk dan Layanan yang berlaku. Pelanggan sepenuhnya bertanggung jawab untuk mematuhi kewajibannya berdasarkan undang-undang pemberitahuan insiden yang berlaku bagi Pelanggan dan memenuhi kewajiban pemberitahuan pihak ketiga yang terkait dengan Insiden Keamanan apa pun.

    Pemberitahuan atau tanggapan Datacomm atas Insiden Keamanan berdasarkan bagian ini bukanlah pengakuan Datacomm atas kesalahan atau kewajiban apa pun sehubungan dengan Insiden Keamanan. Pelanggan harus segera memberi tahu Datacomm tentang kemungkinan penyalahgunaan akun atau kredensial autentikasinya atau insiden keamanan apa pun yang terkait dengan Produk dan Layanan.


  • TRANSFER DATA DAN LOKASI
  • Data Pelanggan yang diproses Datacomm atas nama Pelanggan tidak boleh ditransfer ke, atau disimpan dan diproses di lokasi geografis lain kecuali atas persetujuan Pelanggan.
    Datacomm akan menyimpan Data Pelanggan at rest dalam wilayah geografis utama tertentu sebagaimana ditetapkan dalam detail Produk atau Layanan.
    Datacomm tidak mengontrol atau membatasi wilayah tempat Pelanggan atau pengguna akhir Pelanggan dapat mengakses atau memindahkan Data Pelanggan.


  • RETENSI DAN PENGHAPUSAN DATA
  • Selama jangka waktu langganan yang berlaku, Pelanggan akan memiliki kemampuan untuk mengakses, mengekstrak, dan menghapus Data Pelanggan yang disimpan di setiap Layanan .

    Data Pelanggan yang sudah tidak lagi diperlukan dan melewati jangka waktu penyimpanan akan dimusnahkan dengan cara menghilangkan sebagian atau seluruh berkas, termasuk yang berbentuk elektronik maupun non-elektronik.
    Pada dasarnya, data Pelanggan akan dihapus setelah kontrak selesai, dan penghapusan ini sesuai persetujuan atau keberatan Pelanggan.

    Dalam hal diperlukan oleh hukum, Datacomm akan menyimpan data Pelanggan sesuai dengan kebutuhan hukum yang berlaku.


  • KELUHAN TERKAIT DATA PELANGGAN
    • Jika Pelanggan memiliki keluhan terhadap penanganan Data Pelanggan, Pelanggan dapat menyampaikan melalui email ke: privacydata@datacomm.co.id.
    • Keluhan yang disampaikan wajib mencantumkan identitas dan sifat keluhan Pelanggan pada layanan dimaksud.
    • Selanjutnya, Datacomm akan menindaklanjuti keluhan dimaksud dan memberikan respon terhadap keluhan.
  • PEMBARUAN KEBIJAKAN KEAMANAN DATA
    • Datacomm berhak kapanpun melakukan perubahan atau pembaruan terhadap Kebijakan Keamanan Data ini.
    • Pengguna dengan dengan ini menyatakan setuju untuk membaca dan memperbaharui halaman Kebijakan Kemanan Data ini dari waktu ke waktu untuk mengetahui perubahan. Sepanjang Pelanggan melakukan akses dan menggunakan layanan Datacomm maka Pelanggan Pelanggan dianggap menyetuju perubahan-perubahan dalam kebijakan Keamanan Data ini.

Siap untuk memulai sekarang?

Buat akun secara gratis atau hubungi kami untuk mengetahui lebih lanjut.

Daftar Sekarang    


Hubungi Kami