🔒 Keamanan Data

Program keamanan data Rekapin disusun berlandaskan regulasi berikut:

• UU No. 27 Tahun 2023 tentang Perlindungan Data Pribadi (UU PDP) — Kewajiban pengamanan data pribadi, notifikasi pelanggaran dalam 14 hari (Pasal 46)
• UU No. 11 Tahun 2008 jo. UU No. 19 Tahun 2016 tentang ITE — Kewajiban sistem elektronik yang andal, aman, dan bertanggung jawab
• PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik — Standar teknis sistem elektronik
• Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi — Standar perlindungan data personal
• ISO/IEC 27001:2022 — Standar internasional manajemen keamanan informasi (prinsip yang kami adopsi)
• OWASP Top 10 — Panduan keamanan aplikasi web

Rekapin menggunakan arsitektur keamanan berlapis (Defense in Depth):

• Lapisan Jaringan: Firewall, DDoS protection, CDN dengan WAF (Web Application Firewall)
• Lapisan Aplikasi: Input validation, output encoding, CSRF protection, Content Security Policy
• Lapisan Data: Enkripsi at-rest dan in-transit, tokenisasi data sensitif
• Lapisan Identitas: Firebase Authentication dengan provider OAuth 2.0 terpercaya
• Lapisan Audit: Log komprehensif untuk semua operasi CRUD pada data sensitif

Enkripsi dalam Transit (In-Transit Encryption):

• Seluruh komunikasi antara aplikasi dan server menggunakan TLS 1.3
• Sertifikat SSL/TLS diperbarui otomatis
• HSTS (HTTP Strict Transport Security) aktif untuk semua domain
• Certificate Pinning pada aplikasi Android

Enkripsi Data Tersimpan (Encryption at Rest):

• Data di Firestore dienkripsi menggunakan AES-256 oleh Google Cloud
• File yang disimpan di Firebase Storage menggunakan enkripsi GCS default
• Kunci enkripsi dikelola melalui Google Cloud Key Management Service (KMS)
• Rotasi kunci enkripsi dilakukan secara berkala

Rekapin dibangun di atas Google Firebase / Google Cloud Platform yang memiliki:

• Sertifikasi ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3
• Kepatuhan GDPR, HIPAA, FedRAMP
• Pusat data dengan keamanan fisik 24/7 (CCTV, biometrik, kontrol akses berlapis)
• Redundansi multi-region untuk ketersediaan tinggi
• Pemisahan infrastruktur produksi dan pengembangan

Data pengguna Indonesia diutamakan disimpan di region asia-southeast2 (Jakarta) untuk meminimalkan latensi dan memenuhi prinsip data residency.

Untuk Pengguna:

• Autentikasi via Google OAuth 2.0 — kami tidak menyimpan password
• Token sesi kadaluarsa otomatis setelah periode inaktivitas
• Deteksi dan pemblokiran akses dari perangkat/lokasi mencurigakan
• Firestore Security Rules memastikan pengguna hanya dapat mengakses data miliknya sendiri

Untuk Tim Internal Rekapin:

• Multi-Factor Authentication (MFA) wajib untuk semua akses sistem produksi
• Prinsip Least Privilege — akses diberikan minimal sesuai kebutuhan pekerjaan
• Akses administrator direview dan diaudit setiap 3 bulan
• VPN wajib untuk akses infrastruktur produksi
• Onboarding/offboarding karyawan mencakup pencabutan akses segera

• Monitoring real-time menggunakan Google Cloud Security Command Center
• Alert otomatis untuk aktivitas mencurigakan (login dari IP baru, akses volume tinggi)
• Rate limiting pada semua endpoint API untuk mencegah brute force
• Deteksi dan pencegahan SQL injection, XSS, dan CSRF
• Log retensi 90 hari dengan pencarian forensik

Prosedur respons insiden kami sesuai Pasal 46 UU PDP:

• Deteksi (0-1 jam): Identifikasi dan klasifikasi insiden
• Penahanan (1-4 jam): Isolasi sistem terdampak, pencegahan penyebaran
• Notifikasi (14 hari): Pemberitahuan kepada pengguna terdampak dan otoritas berwenang (BSSN/Kominfo) sesuai UU PDP
• Investigasi (1-7 hari): Analisis akar masalah, forensik digital
• Pemulihan: Restore sistem, penguatan keamanan
• Post-mortem: Laporan lengkap dan perbaikan prosedur

Untuk melaporkan insiden keamanan, hubungi: support@rekapin.app dengan subjek [SECURITY INCIDENT].

• Code Review Keamanan: Setiap perubahan kode melalui security review sebelum deployment
• Dependency Scanning: Pemeriksaan kerentanan library/dependency secara otomatis setiap hari
• Static Application Security Testing (SAST): Analisis statis kode untuk kerentanan umum
• Penetration Testing: Pengujian penetrasi oleh pihak ketiga secara berkala (minimal sekali setahun)
• Vulnerability Assessment: Scan kerentanan infrastruktur secara reguler

• Obfuscation kode aplikasi untuk mencegah reverse engineering
• Certificate pinning untuk mencegah man-in-the-middle attack
• Tidak menyimpan data sensitif di penyimpanan lokal yang tidak terenkripsi
• Pemeriksaan root/jailbreak detection
• ProGuard/R8 minification untuk proteksi kode
• Distribusi hanya melalui Google Play Store yang terverifikasi

• Webhook menggunakan HTTPS dengan validasi signature Telegram
• Perintah bot hanya memproses Chat ID yang sudah terverifikasi
• Data keuangan yang sensitif tidak pernah disimpan di server Telegram
• Sesi bot tidak menyimpan history percakapan di luar yang diperlukan
• Rate limiting per Chat ID untuk mencegah spam dan abuse

• Pemrosesan pembayaran melalui Pakasir yang berizin dari Bank Indonesia
• Rekapin tidak menyimpan nomor kartu kredit/debit atau data pembayaran pengguna
• Transaksi divalidasi melalui webhook dengan verifikasi signature kriptografis
• Notifikasi pembayaran dikirim melalui kanal terenkripsi

Keamanan akun Anda juga bergantung pada tindakan Anda. Kami menyarankan:

• Gunakan password Google yang kuat dan unik
• Aktifkan 2-Factor Authentication (2FA) di akun Google Anda
• Jangan berbagi akun dengan orang lain
• Logout dari perangkat yang tidak dikenal atau bersama
• Waspada terhadap phishing — Rekapin tidak pernah meminta password melalui email atau chat
• Perbarui aplikasi Rekapin ke versi terbaru
• Segera laporkan aktivitas mencurigakan ke support@rekapin.app

Kami menghargai peneliti keamanan yang membantu meningkatkan keamanan Rekapin. Jika Anda menemukan kerentanan keamanan:

• Laporkan secara bertanggung jawab ke support@rekapin.app dengan subjek [BUG BOUNTY]
• Sertakan deskripsi detail, langkah reproduksi, dan dampak potensial
• Berikan waktu yang wajar (minimum 90 hari) sebelum dipublikasikan
• Jangan mengakses atau memodifikasi data pengguna lain

Rekapin berkomitmen untuk merespons laporan dalam 5 hari kerja dan mengakui kontribusi peneliti (dengan izin) di changelog keamanan kami.

Regulasi Indonesia yang kami patuhi:

• UU No. 27 Tahun 2023 tentang Perlindungan Data Pribadi
• UU No. 11 Tahun 2008 jo. UU No. 19 Tahun 2016 tentang ITE
• PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
• Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik