Keamanan

​

Daftar Periksa Keamanan

​

Perlindungan Data

​

Enkripsi Komunikasi

• Aplikasi dan data audio/video hanya menggunakan TLS 1.3
• Komunikasi HTTPS diwajibkan (dikonfigurasi melalui AWS ELB)

​

Cadangan

• Siklus Cadangan: Cadangan bulanan melalui AWS Database
• Periode Retensi: Log akses server disimpan permanen di S3
• Langkah BCP: Penyimpanan jarak jauh multi-region di AWS Database

​

Pembatasan Akses Data

• Akses database dan server dibatasi ke alamat IP tertentu melalui AWS Security Groups
• Data antar perusahaan dipisahkan secara logis melalui database

​

Ketersediaan

​

Waktu Aktif

• Jam Layanan: 24 jam, 365 hari secara prinsip
• SLA: 99,9% atau lebih tinggi
• Rekam Jejak: 99,99% atau lebih tinggi (tidak ada downtime server melebihi puluhan menit sejak peluncuran layanan)

​

Respons Insiden

• Cadangan diferensial kode sumber dan cadangan DB tersedia, memungkinkan rollback (pemulihan) segera kapan saja 24/7
• Semua proses server dan status sistem divisualisasikan melalui AWS CloudWatch atau sistem peringatan proprietary kami
• Notifikasi peringatan jika terjadi downtime

​

Pemeliharaan Terjadwal

• Pembaruan dijadwalkan sekitar 21:00 setiap hari Jumat, dengan kemungkinan gangguan koneksi beberapa detik
• Notifikasi real-time melalui Email atau dukungan chat teks (Intercom) jika pembaruan diperlukan selama jam kerja

​

Sistem Dukungan

​

Notifikasi Insiden

• Metode Kontak: Notifikasi melalui Email dan layanan chat teks dalam aplikasi (Intercom)

​

Kontak Darurat

• Dukungan tersedia melalui layanan chat teks (Intercom) atau Formulir Kontak
• Respons dalam 5 menit selama jam kerja (9:00-18:00)

​

Manajemen Pengguna

​

Manajemen Akun

• Satu akun per pengguna
• Pengguna dapat menghapus akun secara fisik saat pengunduran diri atau transfer

​

Manajemen Kata Sandi

• Pengguna dapat mengubah kata sandi
• Otentikasi dua faktor melalui token Email tersedia

​

Keamanan Aplikasi Web

​

Pencegahan SQL Injection

• Backend menggunakan ORM middleware untuk operasi database
• Semua konstruksi pernyataan SQL menggunakan placeholder
• Izin yang sesuai diberikan ke akun database (akun dengan hanya izin READ, WRITE yang diperlukan)

​

Pencegahan OS Command Injection

• Eksekusi shell pada dasarnya tidak dilakukan
• Ketika logika tingkat shell diperlukan, eksekusi hanya melalui library yang terverifikasi aman

​

Pencegahan Path Parameter/Directory Traversal

• Data disimpan di hosting eksternal atau database
• Tidak ada fungsi akses file langsung di server web
• Nama file menggunakan nama acak, tidak dapat diprediksi

​

Manajemen Sesi

• ID sesi menggunakan string acak yang tidak dapat diprediksi dan cukup panjang
• ID sesi disimpan di Cookie (tidak di parameter URL)
• Cookie untuk komunikasi HTTPS menggunakan atribut Secure
• Halaman yang memerlukan login dipisahkan dari halaman yang dapat diakses publik

​

Pencegahan Cross-Site Scripting (XSS)

• Menggunakan library frontend yang kompatibel
• HTTPS diwajibkan melalui AWS ELB
• Encoding karakter (charset) ditentukan di field Content-Type header respons HTTP
• Atribut HttpOnly ditambahkan ke Cookie

​

Pencegahan CSRF

• Kontrol akses sisi backend melalui metode POST
• Verifikasi Referer
• Notifikasi email otomatis ke alamat email terdaftar untuk operasi penting

​

Pencegahan HTTP Header Injection

• Menggunakan API output header di middleware backend

​

Pencegahan Clickjacking

• Output field header X-Frame-Options
• Tidak dapat dieksekusi tanpa sesi yang valid
• Operasi penting dirancang agar tidak dapat dieksekusi hanya dengan mouse

​

Pencegahan Buffer Overflow

• Menggunakan Node.js, yang tidak mengizinkan akses memori langsung
• Pemeriksaan library reguler melalui GitHub, dengan PR dibuat untuk library yang rentan dan pembaruan tepat waktu

​

Kontrol Akses dan Otorisasi

• Otentikasi dua faktor dengan token Email tersedia untuk hak istimewa manajer
• Kontrol otorisasi diterapkan selain otentikasi, mencegah pengguna yang login menyamar sebagai orang lain