1. Pendahuluan
Kebijakan Privasi ini menjelaskan bagaimana platform IKAS (Instrumen Penilaian Kematangan Keamanan Siber) mengumpulkan, menggunakan, menyimpan, dan melindungi data pribadi Pengguna, sesuai dengan ketentuan:
- Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).
- Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE).
- Standar NIST Cybersecurity Framework (CSF) 2.0 untuk praktik keamanan informasi.
Platform ini berkomitmen untuk melindungi data pribadi Pengguna sesuai dengan prinsip pelindungan data pribadi yang diatur dalam UU PDP No. 27/2022.
2. Data yang Dikumpulkan
Platform mengumpulkan data berikut untuk keperluan operasional dan penilaian keamanan siber:
- Data Identitas: Nama lengkap, email resmi instansi, nomor telepon, NIP/NIK, jabatan, dan nama instansi/organisasi.
- Data Akun: Kredensial autentikasi (kata sandi terenkripsi), konfigurasi MFA, dan preferensi akun.
- Data Asesmen: Jawaban penilaian, skor kematangan, bukti pendukung (evidence), dan hasil analisis.
- Data Teknis: Alamat IP, informasi perangkat, jenis browser, dan log aktivitas (audit trail).
- Data Komunikasi: Pesan yang dikirim melalui fitur Kontak Kami dan tiket bantuan.
3. Dasar Hukum Pemrosesan Data
Pemrosesan data pribadi pada Platform ini didasarkan pada:
- Persetujuan (Consent): Pengguna memberikan persetujuan saat mendaftarkan akun dan menggunakan Platform.
- Kepentingan yang Sah (Legitimate Interest): Pemrosesan diperlukan untuk penyelenggaraan penilaian keamanan siber nasional.
- Kewajiban Hukum: Pemrosesan diperlukan untuk memenuhi persyaratan regulasi terkait SPBE dan keamanan informasi.
4. Tujuan Penggunaan Data
Data yang dikumpulkan digunakan untuk:
- Autentikasi dan otorisasi pengguna sesuai perannya.
- Pelaksanaan penilaian kematangan keamanan siber.
- Pembuatan laporan asesmen dan analisis risiko.
- Pencatatan jejak audit untuk akuntabilitas dan non-repudiasi.
- Pemeliharaan keamanan dan integritas Platform.
- Komunikasi terkait layanan (notifikasi, verifikasi, dukungan teknis).
5. Perlindungan dan Keamanan Data
Platform menerapkan langkah-langkah keamanan teknis dan organisasi berikut:
- Enkripsi Kata Sandi: Menggunakan algoritma Argon2id untuk hashing kata sandi.
- Integritas File: Setiap bukti pendukung disimpan dengan hash SHA-256 untuk menjamin keutuhan data.
- Pemindaian Keamanan: Semua file yang diunggah dipindai untuk mendeteksi konten berbahaya (malware, backdoor, polyglot).
- Perlindungan CSRF: Token CSRF diterapkan pada seluruh operasi yang mengubah data.
- Autentikasi Multi-Faktor (MFA): Mendukung TOTP sesuai RFC 6238 untuk lapisan keamanan tambahan.
- Jejak Audit: Seluruh aktivitas sensitif dicatat secara permanen dan tidak dapat diubah.
- Penyimpanan Aman: File bukti disimpan di luar direktori publik web server untuk mencegah akses langsung.
- Prepared Statements: Seluruh kueri basis data menggunakan parameterized query untuk mencegah SQL Injection.
6. Pembagian Data kepada Pihak Ketiga
Platform tidak menjual, menyewakan, atau membagikan data pribadi Pengguna kepada pihak ketiga untuk tujuan komersial. Data hanya dapat dibagikan dalam kondisi berikut:
- Diminta oleh otoritas yang berwenang sesuai ketentuan hukum yang berlaku.
- Diperlukan untuk kepentingan audit atau pengawasan oleh lembaga yang berwenang.
7. Retensi Data
- Data asesmen disimpan selama diperlukan untuk kepentingan audit, evaluasi, dan pelaporan sesuai periode asesmen yang berlaku.
- Jejak audit (audit trail) disimpan secara permanen sebagai catatan yang tidak dapat dihapus.
- Data akun disimpan selama akun aktif. Setelah akun dinonaktifkan, data akan diarsipkan sesuai kebijakan retensi yang berlaku.
- Pesan kontak yang tidak diverifikasi akan dihapus otomatis setelah 24 jam.
8. Hak Pengguna
Sesuai dengan UU PDP No. 27/2022, Pengguna memiliki hak berikut:
- Hak Akses: Mengetahui data pribadi yang disimpan oleh Platform.
- Hak Perbaikan: Meminta perbaikan atas data pribadi yang tidak akurat.
- Hak Penghapusan: Meminta penghapusan data pribadi dengan memperhatikan kewajiban penyimpanan yang diatur undang-undang.
- Hak Pembatasan: Meminta pembatasan pemrosesan data dalam kondisi tertentu.
- Hak Portabilitas: Meminta salinan data pribadi dalam format yang terstruktur.
- Hak Keberatan: Menyampaikan keberatan atas pemrosesan data pribadi.
Untuk menggunakan hak-hak tersebut, Pengguna dapat menghubungi pengelola melalui fitur Kontak Kami.
9. Cookie dan Teknologi Pelacakan
Cookie Esensial (Wajib)
Platform menggunakan cookie yang wajib untuk keamanan dan fungsi dasar:
- Cookie sesi (IKASSID): untuk menjaga status login dan autentikasi. Bersifat sementara dan dihapus setelah sesi berakhir.
- Cookie token CSRF: untuk melindungi dari serangan Cross-Site Request Forgery pada operasi yang mengubah data.
Cookie esensial tidak dapat dinonaktifkan tanpa mengorbankan keamanan dan kegunaan Platform.
Cookie Preferensi Consent
Cookie ikas_cookie_consent menyimpan pilihan persetujuan Anda terhadap kategori cookie. Cookie ini berdurasi 365 hari, disimpan dalam format JSON, dan tidak ditandai HttpOnly karena diakses oleh JavaScript untuk menampilkan dan memperbarui preferensi. Cookie ini hanya merekam pilihan Anda, bukan data pelacakan.
Cookie Analitik
Cookie analitik digunakan untuk statistik penggunaan guna meningkatkan kualitas Platform. Cookie ini hanya diaktifkan setelah Anda memberikan persetujuan melalui banner atau pengaturan cookie.
Cookie Fungsional
Cookie fungsional mendukung fitur pengalaman pengguna yang lebih baik. Cookie ini hanya diaktifkan setelah Anda memberikan persetujuan.
Mengelola Preferensi Cookie
Anda dapat mengelola preferensi cookie kapan saja melalui tautan Pengaturan Cookie di bagian bawah setiap halaman. Persetujuan dapat dicabut kapan saja; setelah dicabut, cookie non-esensial akan dinonaktifkan sesuai pilihan Anda.
Pencatatan Persetujuan
Setiap keputusan persetujuan cookie dicatat untuk keperluan audit kepatuhan UU PDP No. 27/2022. Pencatatan mencakup: waktu (timestamp), alamat IP, ID sesi, ID pengguna (jika sedang login), dan pilihan yang dibuat. Catatan ini bersifat permanen dan tidak dapat diubah.
10. Insiden Keamanan Data
Dalam hal terjadi pelanggaran keamanan data (data breach), pengelola akan:
- Memberitahu Pengguna yang terdampak dalam waktu yang ditentukan oleh UU PDP.
- Melaporkan insiden kepada otoritas yang berwenang sesuai ketentuan yang berlaku.
- Mengambil langkah-langkah mitigasi untuk meminimalkan dampak.
11. Perubahan Kebijakan Privasi
Kebijakan Privasi ini dapat diperbarui untuk menyesuaikan dengan perubahan regulasi atau operasional. Pengguna akan diinformasikan tentang perubahan material melalui Platform.
12. Kontak Penanggung Jawab Data
Untuk pertanyaan, permintaan, atau pengaduan terkait pelindungan data pribadi, silakan hubungi pengelola Platform melalui fitur Kontak Kami yang tersedia di halaman awal, dengan memilih topik "Pertanyaan Umum" atau sesuai kebutuhan.
