Kembali

Apakah Data Kami Aman?

Kami menggunakan protokol standar industri dan praktik terbaik untuk melindungi data dan privasi Anda.
Dalam lingkungan yang kompleks dan diatur saat ini, pengguna kami mempercayakan perlindungan data mereka kepada kami dengan menggunakan alat dan praktik yang sesuai dengan standar industri. Halaman ini memberikan gambaran tentang upaya yang dilakukan oleh Netatoo untuk memenuhi persyaratan ini.

Dalam lingkungan yang kompleks dan diatur saat ini, pengguna kami mempercayakan perlindungan data mereka kepada kami dengan menggunakan alat dan praktik yang sesuai dengan standar industri. Halaman ini memberikan gambaran tentang upaya yang dilakukan oleh Netatoo untuk memenuhi persyaratan ini.

Keamanan Basis Data dan Akses

Untuk memulai, kami mengamankan lapisan persistensi kami dengan membatasi akses ke basis data aplikasi utama kami ke lapisan aplikasi dan serangkaian alamat IP tetap yang dikenal milik Netatoo. Pembatasan akses ini dilakukan dengan menggunakan kombinasi aturan firewall, mekanisme autentikasi (meminta pengguna membuktikan identitas mereka) dan otorisasi melalui izin berbasis peran.

Pencadangan dan Pemulihan Data

Kami menangani kemungkinan kehilangan data aplikasi yang bersifat bencana (misalnya akibat bencana alam) dengan secara otomatis membuat cadangan basis data dengan pendekatan geo-redundan.

  • Kami membuat cadangan lengkap dan diferensial, yang masing-masing dienkripsi dengan algoritma AES-256.
  • Cadangan lengkap basis data dilakukan setiap beberapa jam, sementara cadangan diferensial biasanya dilakukan setiap jam, dan cadangan log transaksi biasanya dilakukan setiap 10 hingga 15 menit.
  • Jika terjadi kehilangan data, kami dapat memulihkan data pada waktu tertentu untuk meminimalkan kehilangan informasi. Integritas cadangan diperiksa secara semi-otomatis dan teratur untuk memastikan bahwa data yang disimpan sesuai.
  • Cadangan disimpan selama 90 hari, kemudian dihancurkan.

Audit Keamanan dan Deteksi Ancaman

Untuk membantu kami mempertahankan kepatuhan regulasi, memahami aktivitas basis data, dan lebih memahami perbedaan dan anomali yang dapat menunjukkan pelanggaran keamanan yang diduga (aspek lain dari GDPR UE), kami telah menerapkan audit lanjutan yang memungkinkan deteksi ancaman pada server kami. Layanan ini mendeteksi ancaman potensial saat mereka terjadi (mis. koneksi abnormal ke basis data, kerentanan injeksi SQL) dan segera memberi tahu tim kami agar dapat mengambil tindakan yang diperlukan. Dalam kasus khusus GDPR, layanan ini merupakan elemen kunci dari mesin teknis yang memungkinkan kami mendeteksi pelanggaran data dan memberi tahu otoritas pengawas dalam situasi yang tidak mungkin terjadi.

Keamanan Koneksi dan Protokol HTTPS

Pada tingkat lapisan aplikasi, kami memaksa semua permintaan masuk untuk menggunakan koneksi aman HTTPS (HTTP di atas TLS). Tergantung pada perangkat klien, koneksi dapat menggunakan TLS 1.0, TLS 1.1.1, atau TLS 1.2. Kami melarang koneksi yang menggunakan protokol SSL 2 dan SSL 3 yang sudah usang dan rentan.

Header Keamanan HTTP Lanjutan

Koneksi TLS yang diterima dienkripsi menggunakan sertifikat SSL yang menggunakan standar web terkuat. Sebagai bagian dari semua tanggapan HTTPS, server kami menyertakan sejumlah header keamanan lanjutan. Ini termasuk:

  • X-XSS-Protection memerintahkan browser modern untuk menghentikan komunikasi ketika mereka mendeteksi serangan XSS (Cross-site Scripting) yang dipantulkan.
  • Content-Security-Policy meminta browser untuk mengambil tindakan ketat untuk mencegah cross-site scripting (XSS), clickjacking, dan serangan injeksi kode lainnya yang dihasilkan dari eksekusi konten berbahaya dalam konteks halaman web yang dapat dipercaya.
  • Strict-Transport-Security juga dikenal sebagai HSTS. Meminta browser untuk hanya mengakses ballejaune.com / openresa.com menggunakan HTTPS (yaitu, tidak pernah menggunakan HTTP). Kami telah menerapkan header ini dengan masa hidup yang panjang.
  • Expect-CT meminta klien/browser web untuk menerapkan persyaratan transparansi sertifikat (yaitu, memeriksa bahwa sertifikat situs kami muncul dalam log CT publik), yang membantu mencegah penggunaan sertifikat Netatoo yang salah.
  • Referrer-Policy memungkinkan kami mengontrol nilai header "referer" (sic) untuk tautan di luar halaman kami. Dalam kasus kami, kami menentukan bahwa header "referer" tidak boleh ditetapkan ketika navigasi menghasilkan penurunan dari HTTPS ke HTTP.

Hasil Audit Keamanan Independen

Netatoo menerima peringkat "A" dari layanan independen securityheaders.io yang memungkinkan verifikasi elemen-elemen yang diterapkan. Anda dapat menjalankan tes sesuai permintaan untuk ballejaune.com dan openresa.com dan melihat laporannya sendiri. Kami juga mendorong Anda untuk membandingkan tes dengan situs web lain yang Anda gunakan atau berniat untuk digunakan.

Server hosting aplikasi Netatoo juga menerima peringkat "A+" dari tes server independen Qualys SSL Labs, standar industri. Anda dapat menjalankan tes sesuai permintaan dan melihat laporannya sendiri. Laporan tersebut mencatat bahwa kami tidak rentan terhadap beberapa kerentanan terbaru seperti BEAST, POODLE, dan Heartbleed. Sekali lagi, kami mendorong Anda untuk membandingkan tes dengan situs web lain yang Anda gunakan atau berniat untuk digunakan.

Pencegahan Serangan dan Keamanan Cookie

Untuk membantu mencegah serangan kamus, mekanisme login kami juga menggunakan fitur penguncian akun jika kata sandi login yang salah dimasukkan beberapa kali.

Cookie yang dikirim oleh server ke klien untuk tujuan autentikasi dan verifikasi permintaan selalu ditandai dengan atribut "HttpOnly" dan "Secure", dan nilai domain serta jalurnya ditetapkan dengan tepat untuk digunakan dengan ballejaune.com / openresa.com.

Keamanan Pembayaran Online

Mengenai pembayaran online, Netatoo mematuhi standar PCI. Dalam praktiknya, semua pembayaran diproses langsung dengan gateway pembayaran yang Anda pilih (PayPal, Paybox Verifone). Dengan demikian, tidak ada detail pembayaran sensitif yang bersentuhan dengan sistem yang dimiliki oleh Netatoo (sebaliknya, ini dialihkan secara transparan ke gateway Anda dan kemudian dikelola melalui pendekatan berbasis token).

Keamanan Email Transaksional

Email transaksional yang dikirim oleh layanan kami menggunakan fitur keamanan terbaru untuk validasi email. Ini termasuk kebijakan SPF, DKIM, dan DMARC yang valid. Dalam kasus DMARC, kebijakan yang kami terbitkan meminta server penerima untuk mengarantina semua pesan yang tidak lulus uji DMARC. Fitur-fitur ini adalah alat canggih yang membantu mencegah spamming, spoofing, dan serangan phishing. Tentu saja, kami juga menyertakan tautan berhenti berlangganan pada semua email yang kami kirim, dan kami telah menerapkan sistem pembatasan laju untuk membantu mencegah serangan pemboman email.

Praktik Keamanan Internal di Netatoo

Pada tingkat organisasi, karyawan Netatoo memiliki akses terbatas ke data berdasarkan prinsip keamanan "perlu tahu" dan "hak istimewa paling sedikit". Sistem pengembangan dan pengujian dikerahkan pada jaringan internal yang tidak dapat diakses dari luar. Kode sumber aplikasi dikelola dalam repositori pribadi dan tidak mengandung informasi sensitif (seperti kunci API, kata sandi, atau string koneksi).

Pemantauan Ketersediaan Layanan

Jika terjadi insiden (mis. kegagalan aplikasi, kinerja menurun, atau lainnya), Anda dapat memantau status layanan kami melalui Pingdom di alamat berikut: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Pembaruan dan Praktik Baik yang Berkelanjutan

Akhirnya, kami sangat memperhatikan untuk secara teratur memperbarui server dan sistem internal kami untuk memberikan perbaikan keamanan terbaru. Kami mengganti kata sandi kami setiap 60 hari dan kami menggunakan autentikasi dua faktor pada hampir semua aplikasi dan layanan pihak ketiga yang kami gunakan dalam pekerjaan kami.

Kesimpulan

Kami berharap informasi ini membantu Anda memahami mekanisme keamanan utama yang diterapkan oleh Netatoo untuk mengamankan data Anda. Kami terus meninjau prosedur keamanan kami, sehingga informasi ini mungkin berubah di masa mendatang seiring dengan perkembangan lanskap keamanan.

Hubungi Kami

Alamat Pos:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

Email:
support@openresa.com

Diperbarui pada Kamis, 12 Juni 2025
Ketentuan & kebijakan privasi
Indonesia (ID)