1. Pengantar

Kebijakan Keamanan ini menjelaskan standar, prosedur, dan praktik keamanan yang diterapkan dalam sistem Neo PIP untuk melindungi data dan infrastruktur dari ancaman keamanan siber.

Prinsip Keamanan

  • Defense in Depth: Lapisan keamanan berlapis untuk mitigasi risiko
  • Least Privilege: Akses minimum yang diperlukan untuk menjalankan tugas
  • Zero Trust: Verifikasi semua akses tanpa mempercayai jaringan internal
  • Privacy by Design: Privasi terintegrasi dalam desain sistem
  • Continuous Monitoring: Pemantauan keamanan berkelanjutan

Kebijakan ini berlaku untuk semua komponen sistem Neo PIP termasuk aplikasi web, mobile, API, database, dan infrastruktur pendukung.

2. Arsitektur Keamanan

Arsitektur keamanan Neo PIP dibangun dengan pendekatan multi-layer untuk memastikan perlindungan komprehensif.

A. Perimeter Security

  • Cloudflare Turnstile: Verifikasi interaktif untuk mencegah akses bot
  • DDoS Protection: Mitigasi serangan distributed denial-of-service
  • Rate Limiting: Pembatasan request untuk mencegah brute force

B. Network Security

  • SSL/TLS: Enkripsi end-to-end untuk semua komunikasi
  • VPN Access Only: Akses administratif melalui jaringan terenkripsi
  • Network Segmentation: Isolasi segment jaringan berdasarkan fungsi
  • Intrusion Detection: Deteksi aktivitas mencurigakan dalam jaringan

C. Application Security

  • Secure Coding Practices: Pengembangan dengan prinsip keamanan
  • Input Validation: Validasi dan sanitasi semua input pengguna
  • CSRF Protection: Perlindungan Cross-Site Request Forgery
  • XSS Prevention: Pencegahan Cross-Site Scripting attacks

3. Enkripsi & Kriptografi

Implementasi kriptografi yang kuat untuk melindungi data dalam berbagai keadaan.

Enkripsi Data-in-Transit

  • Protocol: TLS dengan cipher suites modern
  • Certificate: Domain Validation (DV) SSL certificates
  • Perfect Forward Secrecy: Kunci sesi ephemeral untuk setiap koneksi
  • HSTS Enforcement: HTTP Strict Transport Security wajib

Enkripsi Data-at-Rest

  • Database Encryption: AES-256 untuk data sensitif
  • File Encryption: AES-256-CBC untuk dokumen dan file
  • Key Management: Rotasi kunci enkripsi berkala
  • Backup Encryption: Enkripsi semua backup data

Enkripsi End-to-End untuk Data Sensitif

AES-256-GCM dengan Initialization Vector acak diterapkan untuk:

  • Kredensial login dan password
  • Data autentikasi passkey dan biometrik
  • Payload sensitif dalam komunikasi API

Keunggulan: Perlindungan sebelum transmisi, pencegahan eavesdropping, integritas data, dan forward secrecy.

4. Autentikasi & Manajemen Akses

Sistem autentikasi multi-faktor dan kontrol akses granular untuk melindungi akses ke sistem.

A. Metode Autentikasi

  • Multi-Factor Authentication (MFA): Kombinasi password + second factor
  • Passkey/WebAuthn: Autentikasi tanpa password menggunakan biometrik
  • Google OAuth 2.0: Integrasi dengan identity provider terpercaya
  • QR Code Authentication: Autentikasi cepat dengan pemindaian QR

B. Password Policy

  • Minimum Length: 12 karakter dengan kompleksitas tinggi
  • Password Hashing: bcrypt dengan cost factor tinggi
  • Password Rotation: Wajib setiap 90 hari
  • Password History: Pencegahan penggunaan password lama

C. Access Control

  • Role-Based Access Control (RBAC): Hak akses berdasarkan peran
  • Principle of Least Privilege: Akses minimum yang diperlukan
  • Session Management: Timeout otomatis dan revocation
  • Device Management: Registrasi dan monitoring perangkat

5. Monitoring, Logging & Audit

Sistem pemantauan berkelanjutan dan logging komprehensif untuk deteksi dan investigasi insiden.

A. Security Monitoring

  • Real-time Monitoring: Deteksi anomaly dan aktivitas mencurigakan
  • SIEM Integration: Security Information and Event Management
  • Threat Intelligence: Integrasi dengan feed threat intelligence
  • Behavioral Analysis: Analisis pola perilaku pengguna

B. Logging & Audit Trail

  • Comprehensive Logging: Semua aktivitas kritis tercatat
  • Immutable Logs: Log tidak dapat diubah atau dihapus
  • Centralized Log Management: Pengelolaan log terpusat
  • Retention Policy: Penyimpanan log minimum 1 tahun

C. Compliance & Reporting

  • Regular Audits: Audit keamanan internal dan eksternal
  • Compliance Reporting: Laporan kepatuhan regulasi
  • Security Metrics: Metrik dan KPI keamanan
  • Incident Reports: Dokumentasi dan analisis insiden

6. Manajemen Insiden Keamanan

Kerangka kerja respons insiden yang terstruktur untuk penanganan cepat dan efektif.

Klasifikasi Insiden

  • Critical: Serangan aktif, data breach, downtime sistem
  • High: Vulnerabilities kritis, akses tidak sah
  • Medium: Konfigurasi salah, policy violations
  • Low: Anomali minor, false positives

Prosedur Respons Insiden

  1. Detection & Analysis: Identifikasi dan analisis insiden
  2. Containment: Isolasi dan pembatasan dampak
  3. Eradication: Penghapusan penyebab insiden
  4. Recovery: Pemulihan sistem dan operasi
  5. Post-Incident Review: Analisis dan perbaikan proses

Communication Protocol

  • Internal Notification: Pemberitahuan ke tim terkait
  • Management Reporting: Laporan ke manajemen
  • Regulatory Reporting: Pelaporan sesuai regulasi
  • User Notification: Pemberitahuan ke pengguna jika diperlukan

7. Kontak & Pelaporan Keamanan

Saluran komunikasi untuk pelaporan kerentanan keamanan dan koordinasi respons insiden.

Pelaporan Kerentanan Keamanan

Jika Anda menemukan kerentanan keamanan dalam sistem Neo PIP, harap segera laporkan melalui:

Program Pengujian Keamanan yang Diizinkan

Kami mendorong pengujian keamanan yang bertanggung jawab. Berikut adalah aktivitas yang diizinkan:

  • Pengujian API: Silakan tes endpoint API kami dengan metode yang wajar
  • Vulnerability Scanning: Pemindaian kerentanan dengan tools otomatis
  • Penetration Testing: Pengujian penetrasi terbatas pada sistem publik
  • Security Research: Penelitian keamanan untuk tujuan edukasi

Aktivitas yang DILARANG

Untuk melindungi sistem dan pengguna, aktivitas berikut sangat dilarang:

  • ❌ DDoS Attacks: Jangan melakukan serangan Denial of Service
  • ❌ Data Destruction: Jangan merusak atau menghapus data pengguna lain
  • ❌ Data Exfiltration: Jangan mengekstrak data dalam jumlah besar
  • ❌ Early Disclosure: Jangan menyebarkan kerentanan sebelum kami perbaiki
  • ❌ Social Engineering: Jangan menipu karyawan atau pengguna
  • ❌ Physical Attacks: Jangan menyerang infrastruktur fisik

Safe Harbor (Perlindungan Hukum)

Kami berkomitmen untuk mendukung penelitian keamanan yang bertanggung jawab. Safe Harbor ini memberikan perlindungan hukum bagi peneliti keamanan yang bertindak dengan itikad baik.

Kondisi Perlindungan

Anda akan dilindungi secara hukum jika memenuhi semua kondisi berikut:

  • Patuhi Aturan: Mengikuti semua aturan dan batasan yang ditetapkan dalam kebijakan ini
  • Laporkan dengan Benar: Melaporkan kerentanan melalui saluran yang ditentukan
  • Tidak Merusak: Tidak menyebabkan kerusakan sistem atau gangguan layanan
  • Hormati Privasi: Tidak melanggar privasi pengguna lain
  • Itikad Baik: Bertindak dengan itikad baik dan tujuan membangun

Jaminan Perlindungan

Kami menjamin bahwa Anda tidak akan menghadapi:

  • Tuntutan hukum pidana atau perdata
  • Pelaporan ke pihak berwajib
  • Tindakan hukum lainnya

Safe Harbor ini berlaku selama aktivitas Anda dilakukan dengan itikad baik dan sesuai dengan kebijakan keamanan ini.

Tim Pengembang (Primary Contact)

Email: mail@arif.app

PGP Key: https://neo.umi.id/.well-known/openpgpkey.txt

Response Time: < 24 jam untuk kerentanan kritis

Tim IT Pusat Investasi Pemerintah

Divisi: Sistem Informasi dan Teknologi

Email: app.sisteminformasiteknologi@gmail.com

Kantor Pusat PIP

Alamat: Jl. Dr. GSSJ Ratulangi No.17, RT.2/RW.3, Gondangdia, Kec. Menteng, Kota Jakarta Pusat, Daerah Khusus Ibukota Jakarta 10350

Email: sekre.pip@kemenkeu.go.id

8. Komitmen Keamanan dan Ucapan Terima Kasih

Kami berkomitmen untuk menjaga keamanan sistem Neo PIP dan akan merespons semua laporan kerentanan dengan serius. Tim keamanan kami akan menginvestigasi semua laporan yang valid dan mengambil tindakan yang diperlukan untuk mengatasi masalah keamanan.

Hall of Fame

Kami sangat menghargai kontribusi para peneliti keamanan yang membantu meningkatkan keamanan sistem Neo PIP. Sebagai bentuk apresiasi:

  • Hall of Fame: Nama peneliti yang berkontribusi akan dicantumkan di halaman khusus
  • Public Recognition: Pengakuan publik untuk kontribusi yang signifikan
  • Professional References: Referensi dari pengembang untuk portofolio karir

Lihat Hall of Fame kami: https://neo.umi.id/.well-known/hall-of-fame.txt

Banyak peneliti keamanan melakukan ini bukan hanya untuk reward finansial, tetapi untuk membangun reputasi dan portofolio profesional. Dengan mengakui kontribusi mereka secara publik, kami berharap dapat mendorong lebih banyak peneliti untuk membantu mengamankan sistem kami di masa depan.