Keamanan

Terakhir diperbarui: Januari 2025

Keamanan data Anda adalah prioritas utama kami. Halaman ini menjelaskan langkah-langkah komprehensif yang kami ambil untuk melindungi informasi dan infrastruktur Anda.

🔒

Enkripsi End-to-End

Data dienkripsi saat transit dan saat disimpan menggunakan AES-256

🛡️

ISO 27001 Ready

Infrastruktur mengikuti standar keamanan informasi internasional

Real-time Monitoring

Sistem monitoring 24/7 untuk mendeteksi ancaman dan anomali

🔐

Multi-Factor Auth

2FA tersedia untuk lapisan keamanan tambahan pada akun Anda

1. Keamanan Infrastruktur

1.1 Data Centers

  • Lokasi: Server berada di data center tier 3+ yang tersertifikasi (AWS, GCP, DigitalOcean)
  • Redundancy: Multi-zone deployment untuk high availability (99.9% uptime SLA)
  • Physical Security: Akses fisik terbatas dengan biometric authentication
  • Network Security: Firewall, DDoS protection, dan IDS/IPS aktif 24/7

1.2 Cloud Infrastructure

  • Virtual Private Cloud (VPC) untuk isolasi jaringan
  • Security Groups dan Network ACLs untuk kontrol traffic
  • Auto-scaling untuk menangani traffic surge dan DDoS mitigation
  • Load balancer dengan SSL/TLS termination

1.3 Database Security

  • Database encryption at rest menggunakan AES-256
  • Automated daily backups dengan retention 30 hari
  • Point-in-time recovery (PITR) tersedia
  • Database access terbatas dengan IP whitelisting
  • Read replicas untuk disaster recovery

2. Keamanan Aplikasi

2.1 Enkripsi Data

  • In Transit: Semua komunikasi menggunakan TLS 1.3 (HTTPS)
  • At Rest: Data sensitif dienkripsi dengan AES-256
  • Password: Hash menggunakan bcrypt dengan salt (cost factor 12)
  • API Keys: Encrypted dan rotasi otomatis setiap 90 hari

2.2 Authentication & Authorization

  • JWT-based authentication dengan expiry time pendek (15 menit)
  • Refresh token dengan secure HttpOnly cookies
  • Two-Factor Authentication (2FA) via SMS atau Authenticator App
  • Role-Based Access Control (RBAC) untuk permission management
  • Session management dengan auto-logout setelah inaktif
  • Account lockout setelah 5 kali login gagal

2.3 Security Headers

  • Content-Security-Policy (CSP) untuk mencegah XSS
  • X-Frame-Options untuk mencegah clickjacking
  • Strict-Transport-Security (HSTS) untuk enforce HTTPS
  • X-Content-Type-Options untuk mencegah MIME sniffing
  • Referrer-Policy untuk kontrol informasi referrer

2.4 Input Validation & Sanitization

  • Server-side validation untuk semua input pengguna
  • Parameterized queries untuk mencegah SQL Injection
  • HTML sanitization untuk mencegah XSS attacks
  • Rate limiting pada API endpoints (per paket)
  • CSRF token protection untuk form submissions

3. Monitoring & Detection

3.1 Real-time Monitoring

  • Application Performance Monitoring (APM) 24/7
  • Uptime monitoring dengan alert otomatis
  • Error tracking dan crash reporting (Sentry)
  • Resource usage monitoring (CPU, memory, disk, network)
  • API latency dan error rate monitoring

3.2 Security Monitoring

  • Intrusion Detection System (IDS) untuk mendeteksi aktivitas mencurigakan
  • Log analysis untuk audit trail dan forensik
  • Failed login attempts tracking dan alerting
  • Unusual traffic pattern detection
  • Automated alerting untuk security incidents

3.3 Logging & Auditing

  • Comprehensive logging untuk semua aktivitas kritis
  • Centralized log management dengan retention 90 hari
  • Audit trail untuk perubahan konfigurasi dan data
  • Access logs untuk compliance dan investigasi
  • Log encryption dan tamper-proof storage

4. Vulnerability Management

4.1 Security Testing

  • Penetration Testing: Dilakukan setiap 6 bulan oleh pihak ketiga independen
  • Vulnerability Scanning: Automated scan mingguan dengan tool terbaru
  • Code Review: Security-focused code review sebelum deployment
  • Dependency Scanning: Automated scan untuk vulnerable packages (Snyk, Dependabot)

4.2 Patch Management

  • Critical security patches diterapkan dalam 24 jam
  • Regular updates untuk OS, framework, dan dependencies
  • Automated security updates untuk non-breaking changes
  • Staging environment untuk testing patches sebelum production

4.3 Bug Bounty Program

Kami menghargai security researchers yang menemukan dan melaporkan vulnerability:

  • Responsible disclosure program dengan rewards
  • Hall of Fame untuk security contributors
  • Respon time maksimal 48 jam untuk critical issues

5. Data Protection

5.1 Backup & Recovery

  • Frequency: Daily automated backups (full + incremental)
  • Retention: 30 hari untuk recovery dan compliance
  • Location: Multi-region backup storage untuk disaster recovery
  • Encryption: Backup files dienkripsi dengan AES-256
  • Testing: Regular recovery drills untuk memastikan RTO/RPO

5.2 Data Retention & Deletion

  • Data retention sesuai kebijakan dan regulasi
  • Secure deletion menggunakan cryptographic erasure
  • Right to be forgotten: data dihapus permanen dalam 30 hari
  • Automated cleanup untuk data expired

5.3 Data Isolation

  • Multi-tenancy dengan logical separation
  • Dedicated schema per customer (Enterprise plan)
  • No cross-contamination antara customer data
  • Data residency options untuk compliance

6. Compliance & Certifications

6.1 Compliance Standards

  • GDPR: General Data Protection Regulation (EU) - Data privacy compliance
  • ISO 27001: Information Security Management System (in progress)
  • SOC 2 Type II: Security, Availability, and Confidentiality (planned)
  • PCI DSS: Payment Card Industry Data Security Standard (via payment gateway)

6.2 Regulatory Compliance

  • UU ITE Indonesia - Undang-Undang Informasi dan Transaksi Elektronik
  • PP 71/2019 - Penyelenggaraan Sistem dan Transaksi Elektronik
  • Permenkominfo tentang Perlindungan Data Pribadi

7. Employee Security

7.1 Access Control

  • Principle of Least Privilege (PoLP) untuk semua akses
  • Multi-factor authentication wajib untuk semua employee
  • Regular access review dan revocation
  • Separated production dan development environments
  • VPN required untuk remote access ke production

7.2 Security Training

  • Mandatory security awareness training untuk semua employee
  • Regular phishing simulation tests
  • Secure coding training untuk development team
  • Incident response training dan drills

7.3 Background Checks

  • Background verification untuk employee dengan akses ke data sensitif
  • NDA (Non-Disclosure Agreement) untuk semua employee dan contractors
  • Offboarding process dengan immediate access revocation

8. Incident Response

8.1 Incident Response Plan

  • Detection: Automated monitoring dan alerting untuk incident detection
  • Containment: Isolasi sistem yang terdampak untuk mencegah spread
  • Eradication: Removal threat dan vulnerability patching
  • Recovery: Restore service dengan verified clean state
  • Post-mortem: Root cause analysis dan preventive measures

8.2 Communication

  • Notifikasi kepada affected users dalam 72 jam (sesuai GDPR)
  • Transparent communication tentang incident dan impact
  • Status page untuk real-time updates
  • Post-incident report untuk transparency

8.3 24/7 Security Operations

  • On-call security team untuk emergency response
  • Dedicated security email: security@warungwa.id
  • Response time: <1 hour untuk critical incidents

9. Third-Party Security

9.1 Vendor Assessment

  • Security assessment untuk semua vendors dan partners
  • Contractual obligations untuk data protection
  • Regular security audits dari third-party services
  • Data Processing Agreements (DPA) dengan vendors

9.2 Trusted Partners

Kami hanya bekerja dengan vendors tersertifikasi:

  • Cloud: AWS, Google Cloud, DigitalOcean (ISO 27001, SOC 2)
  • Payment: Midtrans, Xendit (PCI DSS Level 1)
  • Email: SendGrid, Mailgun (SOC 2, GDPR compliant)
  • CDN: Cloudflare (ISO 27001, SOC 2)

10. Best Practices untuk Pengguna

Keamanan adalah tanggung jawab bersama. Berikut tips untuk melindungi akun Anda:

10.1 Account Security

  • Gunakan password yang kuat dan unik (min. 12 karakter, kombinasi huruf/angka/simbol)
  • Enable Two-Factor Authentication (2FA)
  • Jangan share credentials dengan siapapun
  • Logout dari shared computers atau public devices
  • Review active sessions secara berkala

10.2 API Security

  • Jangan hardcode API keys dalam source code
  • Gunakan environment variables untuk credentials
  • Rotate API keys secara berkala
  • Batasi API key scope sesuai kebutuhan
  • Monitor API usage untuk detect anomali

10.3 Phishing Awareness

  • Kami TIDAK PERNAH meminta password via email/WhatsApp
  • Verifikasi URL sebelum login (https://app.warungwa.id)
  • Waspada terhadap email phishing yang mengaku dari kami
  • Report suspicious emails ke security@warungwa.id

11. Melaporkan Masalah Keamanan

Jika Anda menemukan vulnerability atau masalah keamanan, silakan laporkan secara bertanggung jawab:

🚨 Responsible Disclosure

  • 📧 Email: security@warungwa.id
  • 🔐 PGP Key: Download
  • ⏰ Response Time: Maksimal 48 jam
  • 💰 Rewards: Bug bounty untuk critical issues

Please DO NOT: Publicly disclose vulnerability sebelum kami fix. Kami akan acknowledge laporan Anda dan bekerja sama untuk resolusi.

🛡️ Komitmen Keamanan Kami

Keamanan adalah perjalanan berkelanjutan, bukan tujuan akhir. Kami terus berinvestasi dalam teknologi, proses, dan people untuk memastikan data Anda terlindungi dengan standar tertinggi.

Jika Anda memiliki pertanyaan tentang keamanan atau ingin diskusi lebih lanjut, silakan hubungi Security Team kami di security@warungwa.id