Kebijakan Keamanan

Terakhir diperbarui: 06 May 2026

Kebijakan Keamanan ini menjelaskan sistem manajemen keamanan informasi (ISMS) yang dijalankan PT UNIT GLOBAL SYSTEM untuk melindungi data merchant, data pelanggan, dan integritas layanan pembayaran kami. Kebijakan ini selaras dengan Peraturan BSSN Nomor 1 Tahun 2024, UU PDP (UU 27 Tahun 2022), atestasi PCI DSS yang kami pegang untuk lingkungan data pemegang kartu, serta postur kepatuhan yang diwarisi dari penyedia infrastruktur kami Amazon Web Services (kawasan Asia Pacific Jakarta).

1. Sistem manajemen keamanan informasi

UnitPay memelihara ISMS terdokumentasi yang dimiliki oleh Chief Information Security Officer (CISO). Cakupan ISMS meliputi pemrosesan pembayaran produksi, kabinet merchant, layanan KYC dan AML, serta sistem back-office pendukung. Kebijakan dan kontrol dalam cakupan ditinjau setidaknya tahunan dan setelah setiap insiden material atau perubahan regulasi. TI korporat di luar cakupan (workstation yang tidak digunakan untuk akses produksi, perkakas pemasaran, CRM penjualan) diatur oleh kebijakan baseline terpisah yang tetap mewarisi standar enkripsi, kontrol akses, dan respons insiden yang dijelaskan di sini.

Kepemilikan tata kelola mengalir dari dewan melalui Komite Risiko yang bertemu setidaknya triwulanan untuk meninjau postur keamanan, insiden, temuan audit, dan saluran remediasi. CISO melaporkan metrik keamanan secara bulanan kepada tim eksekutif.

Kerangka kontrol dipetakan ke ISO 27001 Annex A dan ke kumpulan kontrol SNI ISO/IEC 27001:2022 yang diakui BSSN sehingga audit internal, penilaian eksternal di masa depan, dan pemeriksaan regulator dapat menggunakan bahasa yang sama. Peran dan tanggung jawab didokumentasikan dalam matriks RACI yang dijaga tetap mutakhir bersama bagan organisasi, dan tujuan keamanan menjadi bagian dari siklus perencanaan tahunan yang disetujui dewan.

2. Kontrol akses

Akses ke sistem produksi berbasis peran dan diberikan dengan dasar least-privilege. Otentikasi multi-faktor wajib bagi setiap akun yang menyentuh produksi, terlepas dari peran. Operasi dengan hak istimewa (deployment, administrasi basis data, rotasi rahasia) memerlukan persetujuan individu yang dinamai dan dicatat dengan capture perintah penuh.

Faktor otentikasi yang diizinkan untuk akses produksi meliputi:

  • Hardware security key (FIDO2/WebAuthn) untuk insinyur dan administrator.
  • Authenticator Time-based One-Time Password (TOTP) untuk staf umum dengan titik sentuh produksi.
  • Single sign-on melalui penyedia identitas korporat dengan kebijakan akses bersyarat yang menegakkan postur perangkat dan konteks jaringan.

Akun bersama, generik, atau akun tim layanan tidak diizinkan untuk penggunaan manusia; akun layanan terbatas pada alur kerja mesin dan memiliki kumpulan izin least-privilege tersendiri.

Tinjauan akses berlangsung triwulanan: keanggotaan setiap peran disahkan kembali oleh pemilik peran, dan akun yatim dihapus dalam tujuh hari sejak terdeteksi. Staf yang berhenti kehilangan seluruh akses produksi pada hari kerja yang sama dengan hari terakhirnya; artefak yang dapat dikumpulkan kembali (laptop, token perangkat keras) dikumpulkan dan dirotasi.

Akses ke data pribadi merchant atau pelanggan melebihi minimum yang diperlukan oleh peran diperlakukan sebagai insiden privasi dan diselidiki di bawah kerangka tingkat keparahan yang sama dengan insiden keamanan. Eskalasi just-in-time lebih disukai daripada hak istimewa permanen: apabila tugas memerlukan hak yang diperluas, hak tersebut diberikan untuk sesi terbatas, dilingkup pada tugas terkait, dan dicabut otomatis ketika sesi berakhir.

3. Enkripsi

Data dalam pengiriman antara klien, edge kami, dan layanan internal menggunakan TLS 1.2 atau lebih tinggi dengan cipher suite modern; TLS 1.0 dan 1.1 dinonaktifkan pada edge. HTTP Strict Transport Security ditegakkan pada edge produksi dengan includeSubDomains dan preload. Lalu lintas antar layanan internal menggunakan mutual TLS apabila kedua titik akhir mendukungnya; lalu lintas legacy yang tidak mendukungnya dibatasi pada segmen jaringan privat dan berada pada jalur dekomisioning yang terdokumentasi.

Data dalam penyimpanan dienkripsi menggunakan AWS Key Management Service dengan kunci yang dikelola pelanggan (CMK) yang disediakan di kawasan Asia Pacific Jakarta (ap-southeast-3). Kunci dirotasi setidaknya tahunan. Backup dienkripsi dengan kunci KMS yang sama dan tidak pernah ditulis ke kawasan di luar ap-southeast-3.

Enkripsi tingkat aplikasi diterapkan pada atribut sensitivitas tinggi (citra dokumen KYC, hash template biometrik, nomor instrumen perbankan) di atas CMK tingkat penyimpanan, sehingga kompromi tingkat basis data tidak mengungkap teks asli. Akses kunci dicatat oleh KMS dan ditinjau bersama bukti kontrol akses yang dijelaskan dalam bagian 2; pemusnahan kunci adalah operasi terkendali multi-pihak yang tidak pernah dilakukan oleh satu individu.

4. Manajemen kerentanan

Pemindaian dependensi berjalan pada setiap commit melalui pipeline integrasi berkelanjutan kami; kerentanan high atau critical memblokir rilis sampai ditambal. Image kontainer dibangun ulang setidaknya mingguan untuk menyerap pembaruan keamanan base-image. Konfigurasi cloud dipantau secara terus-menerus melalui AWS Config dan GuardDuty, dengan deviasi dari baseline yang disetujui memicu peringatan tim keamanan.

Sasaran tingkat layanan penambalan adalah:

  • Critical: diremediasi dalam 7 hari sejak pengungkapan atau 24 jam apabila eksploitasi aktif teramati.
  • High: diremediasi dalam 30 hari.
  • Medium: diremediasi dalam 90 hari.
  • Low: ditangani pada siklus rilis reguler.

Pengecualian terdokumentasi diterima hanya apabila kontrol kompensasi tersedia dan risiko residual disetujui CISO. Catatan pengecualian ditinjau setidaknya triwulanan.

Penilaian kerentanan internal dilakukan triwulanan oleh tim keamanan. Pengujian penetrasi eksternal dilakukan tahunan oleh pihak ketiga independen yang berkualifikasi; temuan dilacak hingga penutupan dengan sasaran tingkat layanan berbasis tingkat keparahan.

Riset keamanan terkoordinasi disambut: peneliti independen yang bertindak dengan itikad baik dapat melaporkan temuan ke security@unitpay.net dan akan menerima konfirmasi dalam dua hari kerja. Umpan intelijen ancaman yang mencakup ancaman industri pembayaran dan pasar Indonesia diserap ke dalam alur kerja operasi keamanan agar taktik, teknik, dan prosedur yang muncul memberi masukan pada aturan deteksi dan prioritas penambalan kami.

5. Respons insiden

UnitPay mengoperasikan Computer Incident Response Team (CIRT) yang terstruktur sesuai Peraturan BSSN Nomor 1 Tahun 2024. CIRT mengklasifikasi insiden berdasarkan tingkat keparahan (low, medium, high, critical) menggunakan kriteria terdokumentasi yang mencakup paparan data, ketersediaan layanan, kondisi yang wajib dilaporkan ke regulator, dan dampak pelanggan.

Sasaran respons berbasis tingkat keparahan adalah:

  • Critical: 15 menit untuk konfirmasi penanggap pertama, 60 menit untuk dimulainya mitigasi, pembaruan status tiap 24 jam hingga penutupan.
  • High: 30 menit untuk konfirmasi, 4 jam untuk dimulainya mitigasi, pembaruan status harian.
  • Medium: 4 jam kerja untuk konfirmasi, mitigasi pada hari kerja berikutnya, pembaruan status mingguan.
  • Low: konfirmasi pada hari kerja berikutnya, mitigasi dilacak pada backlog pemeliharaan reguler.

CIRT mengoperasikan rotasi on-call 24x7. Latihan insiden dijalankan setidaknya dua kali dalam setahun yang mencakup baik penahanan teknis maupun skenario komunikasi eksternal sehingga tanggung jawab peran dilatih sebelum dibutuhkan dalam peristiwa nyata.

Pelanggaran data pribadi yang memenuhi ambang Pasal 46 UU PDP diberitahukan kepada Otoritas Pelindungan Data Pribadi dan kepada subjek data terdampak dalam 3 x 24 jam sejak penentuan yang dikonfirmasi. Konten pemberitahuan meliputi kategori data yang terdampak, perkiraan dampak, mitigasi segera yang diambil, dan kontak untuk informasi lebih lanjut. Petugas Pelindungan Data dapat dihubungi di dpo@unitpay.net; insiden keamanan dapat dilaporkan ke security@unitpay.net.

Setiap insiden yang terkonfirmasi menghasilkan tinjauan pasca-insiden tertulis dengan timeline, akar penyebab, faktor pendukung, dampak pelanggan, dan rencana tindakan korektif; tinjauan dilacak hingga penyelesaian remediasi. Apabila insiden keamanan berdampak operasional yang terlihat oleh merchant, merchant terdampak menerima pemberitahuan langsung dengan informasi yang dibutuhkan untuk menjelaskan kepada pelanggan dan regulator mereka.

6. Kelangsungan bisnis dan resiliensi

Beban kerja produksi berjalan multi-AZ dalam ap-southeast-3 untuk menyerap kegagalan AZ tunggal. Recovery point objective (RPO) untuk data transaksional adalah 5 menit; recovery time objective (RTO) untuk pemrosesan pembayaran produksi adalah 60 menit. Retensi backup adalah 30 hari untuk pemulihan operasional ditambah 7 tahun untuk arsip sesuai persyaratan audit Bank Indonesia. Backup diuji dengan pemulihan point-in-time setidaknya triwulanan agar retensi bermakna dalam praktik dan tidak hanya di atas kertas.

Disaster recovery dilatih setidaknya tahunan dengan simulasi tabletop dan failover live sebagian. Rencana kelangsungan bisnis mencakup pemadaman penyedia, bencana regional, dan kompromi rantai pasok; runbook dijaga tetap mutakhir dan dapat diakses oleh rotasi on-call.

Risiko konsentrasi vendor kritis (KYC, penyaringan AML, CMP, infrastruktur) ditinjau tahunan dengan rencana fallback terdokumentasi untuk masing-masing, sehingga gangguan vendor tunggal tidak menjadi titik kegagalan tunggal bagi layanan kami. Status operasional, termasuk pemeliharaan terjadwal dan peristiwa tak terjadwal, dikomunikasikan kepada merchant melalui kabinet merchant, dan gangguan material diterbitkan dalam bentuk ringkasan setelah analisis akar penyebab selesai.

7. Pencatatan audit

Seluruh akses produksi, perubahan konfigurasi, deployment, dan operasi hak istimewa dicatat. Log audit dialirkan ke AWS CloudTrail dan diteruskan ke penyimpanan immutable di S3 dengan Object Lock Compliance mode selama tujuh tahun. Log dilindungi integritasnya, disinkronkan waktu, dan ditinjau mingguan untuk anomali. Aturan deteksi pada SIEM kami mengkorelasikan peristiwa otentikasi, konfigurasi, dan akses data untuk memunculkan pola lateral movement dan ancaman insider yang tidak akan terlihat dari satu aliran log saja.

Akses ke log audit itu sendiri dicatat. Data produksi tidak pernah ditanyakan melalui perkakas ad-hoc tanpa persetujuan kepatuhan; akses query menggunakan sesi parameterized dengan individu yang dinamai yang menghasilkan jejak audit yang lengkap.

Log yang berisi data pribadi tunduk pada jadwal retensi dan penghapusan yang sama dengan kategori data yang mendasari, dengan minimisasi data diterapkan pada saat ingest log sehingga log otentikasi dan operasional tidak menyimpan payload sensitif tanpa sengaja. Retensi log audit di luar baseline tujuh tahun diterapkan hanya apabila hukum, instruksi regulator, atau proses hukum aktif secara spesifik mewajibkan, dan didokumentasikan dengan dasar hukum perpanjangan.

8. Manajemen vendor dan rantai pasok

Setiap vendor yang memproses data UnitPay atau data pelanggan menandatangani Data Processing Agreement yang selaras dengan UU PDP dan, apabila berlaku, GDPR Pasal 28. Uji tuntas vendor pada onboarding mencakup: keadekuatan yurisdiksi asal, atestasi keamanan, riwayat insiden, dan rencana kelangsungan. Vendor aktif ditinjau tahunan dan pada perubahan material apa pun (akuisisi, perubahan yurisdiksi, peristiwa keamanan publik).

UnitPay memegang atestasi PCI DSS aktif yang diterbitkan oleh Compliance Control, mencakup lingkungan data pemegang kartu pada platform pembayaran kami. Sertifikat dapat diverifikasi secara publik di compliance-control.eu/certs/WPYR-PG9F-VZVT/. Layanan cloud dari AWS mewarisi atestasi ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, dan SOC 3 yang mencakup ap-southeast-3. UnitPay saat ini tidak memegang sertifikasi ISO 27001 atau SOC 2 yang berdiri sendiri atas platformnya di luar postur yang diwarisi dari AWS; kami menyelaraskan proses kami dengan kerangka tersebut dan menargetkan atestasi independen sebagai bagian dari peta jalan kepatuhan kami.

Perubahan sub-prosesor yang secara material mengubah aliran data (prosesor baru, yurisdiksi baru, kategori data baru) diberitahukan kepada merchant terlebih dahulu melalui kabinet merchant, dengan deskripsi perubahan, pengaman yang tersedia, dan hak merchant untuk keberatan sesuai Data Processing Agreement. Daftar sub-prosesor terkini diterbitkan bersama Pemberitahuan Data Pribadi UU PDP kami.

9. Keamanan personel dan pelatihan

Seluruh staf dengan akses produksi menjalani pemeriksaan latar belakang pada saat perekrutan (apabila sah di yurisdiksinya) dan menyelesaikan pelatihan kesadaran keamanan tahunan, termasuk pengenalan phishing, business email compromise, dan rekayasa sosial. Insinyur dengan akses basis data atau rahasia menyelesaikan modul tambahan secure-coding dan penanganan rahasia.

Penggunaan yang Dapat Diterima atas aset informasi UnitPay diatur oleh kebijakan staf internal yang selaras dengan dokumen ini; pelanggaran diselidiki dan diremediasi, termasuk tindakan disipliner hingga pemutusan hubungan kerja apabila layak.

Simulasi phishing dijalankan setidaknya triwulanan dengan pelaporan kembali kepada manajer yang bertanggung jawab; program kesadaran keamanan melacak indikator penyelesaian dan kompetensi alih-alih hanya kehadiran, agar pelatihan diterjemahkan menjadi perubahan perilaku yang teramati. Kontraktor dan staf jangka pendek di-onboard di bawah persyaratan kontrol akses dan pelatihan yang sama dengan staf penuh waktu selama masa keterlibatan mereka.

10. Kepemilikan kebijakan dan kontak

Kebijakan ini dimiliki oleh CISO. Laporan dugaan kerentanan atau insiden keamanan disambut di security@unitpay.net. Kami mengupayakan konfirmasi laporan dalam dua hari kerja. Pengungkapan terkoordinasi dihargai; kami tidak menempuh tindakan hukum terhadap peneliti keamanan beriktikad baik yang bertindak konsisten dengan norma pengungkapan bertanggung jawab yang diterima luas.

Amandemen material atas kebijakan ini dikomunikasikan melalui halaman ini dan, apabila berdampak langsung pada merchant, melalui kabinet merchant. Merchant dengan pertanyaan keamanan tentang integrasinya dapat menghubungi security@unitpay.net untuk panduan teknis, atau compliance@unitpay.net untuk pertanyaan tata kelola dan kebijakan; kedua kanal dipantau selama Mon-Fri 09:00-18:00 WIB.

Dokumen ini menggantikan versi internal sebelumnya dari Kebijakan Keamanan UnitPay dan menjadi referensi tunggal yang menghadap publik. Merchant dan regulator harus mengandalkan halaman ini ketimbang petikan yang beredar melalui kanal lain.

Tanggal berlaku: 06 May 2026