Sertifikasi dan Kepatuhan

Pembaharuan Terakhir : 28 Februari 2022

Dokumen ini akan berlaku efektif  mulai dari Selasa 01 Maret 2022

Untuk melihat revisi sebelumnya, silahkan klik disini.

 

Estimasi waktu membaca : 9 menit

POPIT SNACK PLATFORM COMPLIANCE DOCUMENTS

Pernyataan Sertifikasi dan Kepatuhan

Kepatuhan dan keamanan tidak selalu eksklusif, namun harus ditangani bersama. Pengembangan PopIt Snack Platform tidak mungkin memenuhi persyaratan kepatuhan tanpa adanya protokol keamanan yang baik. Daftar di bawah ini memberikan pengetahuan, edukasi, dan panduan dasar pada publik bagaimana PopIt Snack Platform berupaya mencapai kepatuhan terhadap proses sertifikasi, standar komersial skala internasional, dan regulasi pemerintah.

Standar Komersial Internasional

Untuk pengembangan komersil Platform PopIt Snack secara internasional, kami mengimplementasi SOC 1/2 yang dikombinasikan dengan ISO 2700 1/2 untuk digunakan sebagai titik awal kegiatan sertifikasi Platform PopIt Snack. Aktivitas keamanan yang diwajibkan yang diamanatkan oleh sertifikasi ini adalah memfasilitasi landasan praktik terbaik keamanan dan kriteria pengendalian bersama, yang dapat membantu dalam mencapai aktivitas kepatuhan yang lebih ketat, termasuk pengesahan dan sertifikasi dari pemerintah.

Setelah menyelesaikan sertifikasi awal ini, sertifikasi yang tersisa menjadi lebih spesifik untuk penerapan dan pengimplementasian lanjutan. Misalnya, cloud yang memproses transaksi kartu kredit memerlukan penerapan peraturan dari kebijakan PCI-DSS, cloud yang menyimpan informasi perawatan kesehatan memerlukan HIPAA, dan cloud dalam pemerintah (dikategorikan khusus bagi pemerintah feredasi Amerika Serikat) yang mungkin memerlukan sertifikasi FedRAMP/FISMA, dan ITAR.

 

SOC 1 (SSAE 16) / ISAE 3402

Kriteria Service Organization Controls (SOC) ini ditentukan oleh American Institute of Certified Public Accountants (AICPA). Kontrol SOC akan menilai laporan keuangan dan pernyataan yang relevan dari penyedia layanan, seperti kepatuhan terhadap Sarbanes-Oxley Act. SOC 1 yang merupakan pengganti laporan Statement on Auditing Standards No. 70 (SAS 70) Tipe II. Kontrol ini biasanya mencakup pusat data fisik dalam ruang lingkupnya.

Ada dua jenis tipe laporan SOC 1:

  • Tipe 1 – Laporan tentang kewajaran penyajian deskripsi manajemen tentang sistem organisasi jasa dan kesesuaian desain pengendalian, untuk mencapai tujuan pengendalian terkait yang tercakup dalam uraian pada tanggal yang ditentukan.
  • Tipe 2 – Laporan tentang kewajaran penyajian deskripsi manajemen tentang sistem organisasi jasa dan kesesuaian desain dan efektivitas operasi pengendalian, untuk mencapai tujuan pengendalian terkait yang termasuk dalam uraian selama periode tertentu

Untuk detail lebih lanjut, lihat Laporan AICPA tentang Kontrol di Kontrol Internal Entitas Pengguna atas Pelaporan Keuangan.

SOC 2

Kontrol Organisasi Layanan (SOC) 2 adalah aksesibiliti pengesahan dari kontrol yang memengaruhi keamanan, ketersediaan, dan integritas terhadap pemrosesan sistem yang digunakan organisasi layanan, untuk memproses data pengguna serta kerahasiaan dan privasi informasi. Contoh pengguna adalah mereka yang bertanggung jawab atas tata kelola organisasi layanan, pelanggan organisasi layanan, regulator, mitra bisnis, pemasok, dan pihak lain yang memiliki pemahaman tentang organisasi layanan dan kontrolnya.

Ada dua jenis laporan SOC 2:

  • Tipe 1 – Laporan tentang kewajaran penyajian deskripsi manajemen tentang sistem organisasi jasa dan kesesuaian desain pengendalian, untuk mencapai tujuan pengendalian terkait yang tercakup dalam uraian pada tanggal yang ditentukan.
  • Tipe 2 – Laporan tentang kewajaran penyajian deskripsi manajemen tentang sistem organisasi jasa dan kesesuaian desain dan efektivitas operasi pengendalian, untuk mencapai tujuan pengendalian terkait yang tercakup dalam uraian selama periode tertentu.

Untuk detail selengkapnya, lihat Laporan AICPA tentang Kontrol di Keamanan, Ketersediaan, Integritas Pemrosesan, Kerahasiaan, atau Privasi.

SOC 3

Service Organization Controls (SOC) 3 adalah laporan layanan kepercayaan untuk organisasi layanan. Laporan ini dirancang untuk memenuhi kebutuhan pengguna yang menginginkan jaminan pada kontrol di organisasi layanan yang terkait dengan keamanan, ketersediaan, integritas pemrosesan, kerahasiaan, atau privasi tetapi tidak memiliki kebutuhan atau pengetahuan yang diperlukan untuk menggunakan secara efektif Laporan SOC2. Laporan ini disiapkan menggunakan Prinsip, Kriteria, dan Ilustrasi Layanan Kepercayaan AICPA/Canadian Institute of Chartered Accountants (CICA) untuk Keamanan, Ketersediaan, Integritas Pemrosesan, Kerahasiaan, dan Privasi. Berbentuk laporan penggunaan umum, Laporan SOC 3 dapat didistribusikan secara bebas atau diposting di platform sebagai stempel pengesahan.

Untuk detail lebih lanjut, lihat Laporan Layanan Kepercayaan AICPA untuk Organisasi Layanan.

 

ISO 27001/2

Standar ISO/IEC 27001/2 menggantikan BS7799-2, dan merupakan spesifikasi untuk Sistem Manajemen Keamanan Informasi (ISMS). SMKI adalah seperangkat kebijakan dan proses komprehensif yang dibuat dan dipelihara oleh organisasi untuk mengelola risiko terhadap aset informasi. Risiko ini didasarkan pada kerahasiaan, integritas, dan ketersediaan (CIA) informasi pengguna. Triad keamanan CIA telah digunakan sebagai dasar untuk sebagian besar bab dalam kepatuhan ini.

Untuk lebih jelasnya lihat ISO 27001.

 

HIPAA / HITECH

Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) adalah tindakan dari kongres Amerika Serikat yang mengatur pengumpulan, penyimpanan, penggunaan, dan pemusnahan catatan kesehatan pasien (khususnya yang menyangkut pengumpulan data pribadi yang dilakukan oleh PopIt Snack Platform terhadap penduduk Amerika Serikat). Undang-undang tersebut menyatakan bahwa Informasi Kesehatan yang Dilindungi (PHI) harus diberikan “tidak dapat digunakan, tidak dapat dibaca, atau tidak dapat diuraikan” kepada orang yang tidak berwenang dan bahwa enkripsi untuk data ‘at-rest’ dan ‘inflight’ harus ditangani dengan baik.

HIPAA bukan sertifikasi, melainkan panduan untuk melindungi data perawatan kesehatan. Mirip dengan PCI-DSS, masalah terpenting dengan PCI dan HIPPA adalah bahwa pelanggaran informasi kartu kredit, dan data kesehatan, tidak terjadi. Jika terjadi pelanggaran, penyedia cloud akan diperiksa kepatuhannya dengan kontrol PCI dan HIPPA. Jika terbukti patuh, penyedia dapat diharapkan untuk segera menerapkan kontrol perbaikan, pelanggaran tanggung jawab pemberitahuan, dan pengeluaran yang signifikan untuk kegiatan kepatuhan tambahan. Jika tidak sesuai, penyedia cloud dapat mengharapkan tim audit di tempat, denda, potensi kehilangan ID pedagang (PCI), dan dampak reputasi yang besar.

Pengguna atau organisasi yang memiliki PHI harus mendukung persyaratan HIPAA dan merupakan entitas yang tercakup dalam HIPAA. Jika entitas bermaksud menggunakan layanan, atau dalam hal ini, cloud Platform PopIt Snack yang mungkin menggunakan, menyimpan, atau memiliki akses ke PHI tersebut, maka Business Associate Agreement (BAA) harus ditandatangani. BAA adalah kontrak antara entitas tercakup HIPAA dan penyedia layanan PopIt Snack Platform yang mengharuskan penyedia untuk menangani PHI tersebut sesuai dengan persyaratan HIPAA. Jika penyedia layanan tidak menangani PHI, seperti dengan kontrol dan pengerasan keamanan, maka mereka akan dikenakan denda dan penalti HIPAA.

PopIt Snack Platform menafsirkan, menanggapi, dan mengimplementasi pernyataan HIPAA, dengan enkripsi data tetap menjadi praktik inti dari layanannya. Saat ini, ini bila pengembang membutuhkan informasi kesehatan yang sesuai dengan aspek yang dilindungi, maka dalam pengembangan PopIt Snack Platform dilakukan dengan enkripsi dengan algoritme enkripsi standar industri. Potensi proyek PopIt Snack Platform di masa depan seperti enkripsi objek akan terfasilitasi sesuai pedoman HIPAA untuk mematuhi undang-undang tersebut.

Untuk lebih jelasnya lihat Undang – Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan.

 

PCI-DSS

Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) ditetapkan oleh Dewan Standar Industri Kartu Pembayaran, dan dibuat untuk meningkatkan kontrol seputar data pemegang kartu guna mengurangi penipuan kartu kredit. Validasi kepatuhan tahunan dinilai oleh Qualified Security Assesor (QSA) eksternal yang membuat Report on Compliance (ROC), atau oleh Self-Assessment Questionnaire (SAQ) tergantung pada volume transaksi pemegang kartu.

Pengembangan PopIt Snack Platform dapat menyimpan, memproses, atau mengirimkan detail kartu pembayaran termasuk dalam cakupan PCI-DSS. Semua komponen PopIt Snack Platform yang tidak tersegmentasi dengan benar dari sistem atau jaringan yang menangani data pembayaran tetap berada di bawah pedoman PCI-DSS. Segmentasi dalam konteks PCI-DSS tidak mendukung multi-tenancy, melainkan pemisahan fisik (host/jaringan).

Untuk lebih jelasnya lihat standar keamanan PCI.

 

Standar Pemerintah

Standar Kompetensi Kerja Nasional Indonesia (SKKNI) Kategori Pusat Operasi Pengamanan

Standar Kompetensi diperlukan oleh beberapa lembaga/lembaga yang berkaitan dengan pengembangan sumber daya manusia, sesuai dengan kebutuhan dan ruang lingkup individu, sesuai dengan rilisnya dijabarkan sebagai berikut:

1. Untuk lembaga pendidikan dan pelatihan

a. Memberikan informasi untuk pengembangan program dan kurikulum.
b. Sebagai acuan dalam pelaksanaan pelatihan, penilaian, dan sertifikasi.

2. Bagi dunia usaha/industri dan penggunaan tenaga kerja

a. Membantu rekrutmen.
b. Membantu penilaian kinerja.
c. Membantu menyusun deskripsi pekerjaan.
d. Membantu mengembangkan program pelatihan yang secara khusus sesuai dengan kebutuhan dunia usaha/industri.

3. Untuk penyedia pengujian dan sertifikasi

a. Sebagai acuan dalam merumuskan paket program sertifikasi sesuai kualifikasi dan jenjangnya.
b. Sebagai acuan dalam pelaksanaan penilaian dan diklat sertifikasi.

Indeks Keamanan Informasi Indonesia (Indeks KAMI)

Indeks Keamanan Informasi (KAMI) merupakan aplikasi yang digunakan sebagai alat untuk menilai dan mengevaluasi tingkat kesiapan (Completeness and Maturity) penerapan keamanan informasi berdasarkan kriteria SNI ISO/IEC 27001 yaitu Governance, Risk Manajemen, Kerangka Kerja, Manajemen Aset, Teknologi Aspek yang dilengkapi dengan Keamanan Keterlibatan Pihak Ketiga Penyedia Layanan, Pengamanan Layanan Infrastruktur Cloud, dan Perlindungan Data Pribadi. Indeks KAMI tidak dimaksudkan untuk menganalisis kelayakan atau efektivitas bentuk keamanan yang ada, melainkan sebagai alat untuk memberikan gambaran tentang keadaan kesiapan kerangka keamanan informasi.

Salah satu standar yang dapat digunakan untuk mengukur tingkat kematangan keamanan informasi dalam suatu organisasi adalah indeks KAMI yang dikembangkan oleh Badan Siber dan Sandi Nasional mengacu pada standar ISO ISO/IEC 27001:2009. Penilaian ini digunakan untuk melihat sejauh mana tingkat kematangan keamanan informasi di lingkungan platform, yang hasilnya dapat digunakan sebagai media evaluasi guna meningkatkan keamanan informasi platform perusahaan di masa yang akan datang.

Untuk lebih jelasnya lihat  Indeks Keamanan Informasi .

Penyelenggara Sistem Elektronik (PSE)

Indonesia telah mengeluarkan peraturan pemerintah di bidang informasi dan transaksi elektronik yaitu Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP 71/2019). Peraturan ini hadir untuk menggantikan peraturan sebelumnya, Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP 82/2012). Dalam ketentuan peralihannya, ESP Swasta yang telah beroperasi sebelum diundangkannya PP 71/2019, harus menyesuaikan dengan ketentuan Pasal 6 (tentang kewajiban pendaftaran) dalam waktu 1 tahun. PP 71/2019 mulai berlaku pada 10 Oktober 2019, sehingga batas waktu penyesuaian ESP Swasta adalah hingga 10 Oktober 2020.

Ada beberapa poin penting bagi Penyelenggara Sistem Elektronik (ESP) dalam PP 71/2019, sebagai berikut:

A. Klasifikasi Penyelenggara Sistem Elektronik.

PP 71/2019 mengidentifikasi dua ESP. Pembagiannya adalah sebagai berikut:

  1. ESP publik – lembaga penyelenggara negara dan lembaga yang ditunjuk oleh lembaga tersebut.
  2. ESP swasta – penyedia yang diawasi oleh kementerian/lembaga dan penyedia yang memiliki portal, situs, atau aplikasi online termasuk menawarkan/memperdagangkan barang/jasa, layanan transaksi keuangan, pengiriman kargo digital berbayar, layanan komunikasi operasi, layanan mesin pencari, dan pemrosesan data pribadi.

B. Registrasi Penyelenggara Sistem Elektronik

Sama seperti PP 82/2012 sebelumnya, setiap ESP wajib mendaftar. Namun, tata cara pendaftarannya sudah diatur oleh Menteri Komunikasi dan Informatika.

C. Tata Kelola Sistem Elektronik

Dalam mengelola sistem elektronik, berikut adalah poin-poin penting yang harus dipenuhi oleh ESP:

  1. ESP menjamin ketersediaan service level agreement, ketersediaan information security agreement atas layanan Teknologi Informasi yang digunakan, dan keamanan informasi dan fasilitas komunikasi internal yang terorganisir.
  2. ESP harus menerapkan manajemen risiko terhadap kerusakan atau kerugian.
  3. ESP harus memiliki kebijakan Sistem Elektronik, Prosedur Operasional Standar, dan mekanisme audit berkala.

D. Penempatan Pusat Data

Kekhawatiran atas ketidakjelasan penempatan Data Center pada PP 82/2012 kini telah mendapat kepastian hukum, yaitu:

  1. Bagi ESP Publik wajib mengelola, mengolah, dan/atau menyimpan Sistem Elektronik dan Data Elektronik di wilayah Negara Kesatuan Republik Indonesia, namun dikecualikan jika belum tersedia.
  2. ESP Swasta dapat mengelola, mengolah, dan/atau menyimpan Sistem Elektronik dan Data Elektronik di wilayah Republik Indonesia dan/atau di luar Indonesia. Jika pengelolaan dilakukan di luar, maka harus memastikan efektivitas pengawasan oleh kementerian, dll. Sektor keuangan akan diatur lebih lanjut oleh BI dan OJK.

E. Kewajiban Pengamanan Penyelenggaraan Sistem Elektronik

Dalam menjalankan praktiknya, ESP harus menjamin keamanan dengan cara sebagai berikut:

  1. ESP harus memberikan rekam jejak dari semua tahapan audit implementasi;
  2. ESP harus menampilkan informasi elektronik dan/atau Dokumen Elektronik secara lengkap dengan format dan periode penyimpanan;
  3. ESP wajib menjaga kerahasiaan, keutuhan, keaslian, aksesibilitas, ketersediaan, dan ketertelusuran Informasi Elektronik dan/atau Dokumen Elektronik;
  4. Untuk proses pidana, Penyelenggara Sistem Elektronik wajib menyediakan Informasi Elektronik dan/atau Data Elektronik yang terdapat dalam Sistem Elektronik atau Informasi Elektronik dan/atau Data Elektronik yang dihasilkan Sistem Elektronik atas permintaan yang sah dari penyidik ​​tindak pidana tertentu berikut ini. kewenangan yang diatur dalam undang-undang.

F. Kelayakan Sistem Elektronik

Untuk melaksanakan kegiatannya ESP wajib melakukan uji kelayakan sistem elektronik. Kewajiban ini dapat diterapkan pada semua komponen atau beberapa komponen dalam sistem elektronik sesuai dengan karakteristik sistem elektronik dan persyaratan proteksi.

G. Pengawasan

Menteri Komunikasi dan Informatika melakukan pengawasan terhadap penyelenggaraan Sistem Elektronik. Pengawasan oleh Menteri ini meliputi pengawasan, pengendalian, pemeriksaan, pencarian & pengamanan.

H. Perlindungan Data Pribadi

ESP harus melindungi data pribadi dalam pemrosesan dan meminta persetujuan dalam pemrosesan. Pemrosesan Data Pribadi harus berdasarkan persetujuan yang sah dari Pemilik Data. ESP harus menerapkan prinsip Perlindungan Data Pribadi dalam melakukan pemrosesan meliputi:

  1. Akuisisi & koleksi;
  2. memproses & menganalisis;
  3. penyimpanan;
  4. revisi & pembaruan;
  5. tampilan, pengumuman, transfer, distribusi atau pengungkapan; dan
  6. penghapusan atau penghapusan.

Kegagalan untuk melindungi data pribadi harus diberitahukan secara tertulis kepada pemilik data.

I. Right to Erasure & Right to Delisting (Hak untuk Dilupakan)

ESP wajib menghapus Informasi Elektronik dan/atau Dokumen Elektronik yang tidak relevan yang berada di bawah kendalinya atas permintaan Pemilik Data. Penghapusan tersebut terdiri dari: hak penghapusan dan hak penghapusan dari daftar mesin pencari.

J. Tanda Tangan Elektronik

PP 71/2019 secara khusus mengatur tentang tanda tangan elektronik dalam penyelenggaraan sistem elektronik. Tanda Tangan Elektronik yang digunakan dalam Transaksi Elektronik dapat dihasilkan melalui berbagai prosedur penandatanganan. Dalam hal menggunakan Tanda Tangan Elektronik yang mewakili Badan Usaha, Tanda Tangan Elektronik tersebut disebut sebagai stempel elektronik. Data Pembuatan Tanda Tangan Elektronik harus secara unik hanya mengacu pada Penandatangan dan dapat digunakan untuk mengidentifikasi Penandatangan. Dalam proses penandatanganan harus dibuat mekanisme untuk memastikan data verifikasi Tanda Tangan Elektronik terkait Data Pembuatan Tanda Tangan Elektronik masih berlaku atau tidak dicabut.

K. Kompetensi Penyelenggara Sistem Elektronik

Setiap ESP harus berkompeten di bidangnya. Badan Usaha yang melakukan Transaksi Elektronik dapat disertifikasi oleh Lembaga Sertifikasi Indonesia. Tenaga profesional yang tergabung dalam Lembaga Sertifikasi Indonesia sekurang-kurangnya meliputi profesi sebagai berikut:

  1. Konsultan Teknologi Informasi;
  2. Auditor Teknologi Informasi; dan
  3. Konsultan hukum di bidang Teknologi Informasi.

Lembaga sertifikasi keandalan menghasilkan sertifikat keandalan yang ditujukan untuk melindungi konsumen dalam Transaksi Elektronik. Sertifikat Keandalan yang dikeluarkan oleh Badan Sertifikasi Indonesia meliputi kategori berikut:

  1. Pendaftaran identitas;
  2. Keamanan Sistem Elektronik;
  3. Pernyataan jaminan atas barang/jasa; dan
  4. Rahasia pribadi.

L. Sanksi

Pelanggaran terhadap PP 71/2019 akan dikenakan sanksi administratif berupa:

  1. Surat peringatan;
  2. Denda administrasi;
  3. Penghentian sementara kegiatan;
  4. Pemutusan akses; dan/atau
  5. Penghapusan dari daftar.

M. Ketentuan Peralihan

Dalam menjalankan peraturan ini, ESP diberikan waktu untuk melakukan penyesuaian:

  1. Setelah berlakunya PP 71/2019, ESP Swasta yang telah beroperasi sebelum diundangkannya PP 71/2019, harus menyesuaikan dengan ketentuan Pasal 6 (tentang kewajiban pendaftaran) dalam waktu 1 tahun. PP 71/2019 mulai berlaku pada 10 Oktober 2019, sehingga batas waktu penyesuaian ESP Swasta adalah hingga 10 Oktober 2020.
  2. Setelah berlakunya PP 71/2019, ESP Publik yang telah beroperasi sebelum diundangkannya PP 71/2019, harus menyesuaikan dengan ketentuan dalam Pasal 20 : (2) (tentang penempatan penyimpanan data di Indonesia) dalam waktu 2 tahun.

Untuk lebih jelasnya lihat Penyelenggaraan Sistem Elektronik Indonesia.

Undang-Undang Informasi dan Transaksi Elektronik Indonesia atau Undang-Undang Nomor 11 Tahun 2008

Pemerintah Indonesia pada awalnya mengadopsi pendekatan konservatif dan relatif tradisional untuk mengatur aktivitas berbasis internet. Sebelum tahun 2008, tidak ada undang-undang atau pedoman di Indonesia yang mengatur internet dan bagaimana informasi elektronik ditawarkan dan dikonsumsi, baik untuk tujuan komersial maupun non-komersial. Menanggapi pertumbuhan ini, pemerintah Indonesia mengeluarkan peraturan dasar untuk mengatasi potensi masalah yang dihasilkan dari aktivitas yang dilakukan di internet. Pada tanggal 21 April 2008, melalui Dewan Perwakilan Rakyat, pemerintah Indonesia menerbitkan Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE).

Untuk lebih jelasnya lihat Undang-undang RI Nomor 11 Tahun 2008.

 

Did the information shown in this page help you solve your problem?

The purpose is receiving the feedback from the visitors, so we can make necessary changes to our informations which increase trust and customer satisfaction and make our platform better. For futher information about Customer Research: Designing for Transparency and Trust, please visit our Trust and Transparency Principles. .