Kebijakan Keamanan

Berlaku sejak: 21 April 2026 Terakhir diperbarui: 21 April 2026

Komitmen Keamanan

PT First Principle Systems menjadikan keamanan data sebagai prioritas arsitektur, bukan tambahan. Kebijakan ini menjelaskan langkah-langkah teknis dan organisasi yang kami terapkan untuk melindungi Layanan dan data yang dipercayakan kepada kami.

Enkripsi

Data dalam Transit

Seluruh komunikasi antara perangkat Anda dan server First Principle dienkripsi menggunakan TLS 1.3 (Transport Layer Security). Koneksi yang menggunakan protokol lebih lama (TLS 1.1 dan sebelumnya) ditolak secara otomatis. Kami menerapkan HTTPS Strict Transport Security (HSTS) dengan nilai max-age yang sesuai untuk mencegah downgrade attack.

Data saat Tersimpan

Seluruh data yang tersimpan di database First Principle dienkripsi menggunakan AES-256 (Advanced Encryption Standard 256-bit). Enkripsi dikelola oleh Supabase — penyedia database kami — yang menerapkan enkripsi di level storage. Kunci enkripsi dikelola secara terpisah dari data yang dienkripsi.

Data sensitif spesifik (misalnya: kata sandi) di-hash menggunakan algoritma bcrypt atau Argon2 — kami tidak menyimpan kata sandi dalam bentuk plaintext.

Infrastruktur dan Lokasi Server

Database utama: Supabase, region Singapore (ap-southeast-1). Pemilihan region Singapura memberikan latensi optimal untuk pengguna Indonesia sekaligus memenuhi persyaratan data residency yang lebih ketat dibandingkan region AS.

Hosting aplikasi: Vercel, dengan edge network global. Kode aplikasi dan aset statis didistribusikan melalui CDN; tidak ada data pengguna yang disimpan di edge node.

Email transaksional: Resend Inc., dengan pengiriman via SMTP terenkripsi.

Seluruh sub-prosesor infrastruktur dipilih berdasarkan reputasi keamanan, sertifikasi yang relevan (ISO 27001, SOC 2), dan kemampuan mereka untuk menandatangani DPA yang memadai.

Kontrol Akses

Akses Internal

  • Akses ke sistem produksi dibatasi berdasarkan prinsip least privilege — setiap personel hanya memiliki akses ke sistem yang diperlukan untuk perannya.
  • Seluruh akses ke sistem produksi memerlukan autentikasi multi-faktor (MFA).
  • Akses ke database produksi dilog secara menyeluruh dan direview secara berkala.
  • Karyawan yang meninggalkan perusahaan dicabut aksesnya dalam 24 jam sejak terminasi.

Akses Pengguna

  • First Principle menerapkan kontrol akses berbasis peran (RBAC) di level aplikasi, memungkinkan Anda mengatur level akses yang berbeda untuk setiap Pengguna Akhir dalam akun Anda.
  • Semua sesi pengguna memiliki batas waktu otomatis untuk mengurangi risiko akses tidak sah.
  • Kami mendukung dan mendorong penggunaan autentikasi dua faktor (2FA) untuk akun Anda.

Backup dan Pemulihan Data

  • Backup database dilakukan secara otomatis setiap hari.
  • Backup dipertahankan selama 30 hari rolling sebelum dihapus.
  • Backup dienkripsi setara dengan data produksi.
  • Prosedur pemulihan data (restore) diuji secara berkala untuk memastikan integritas backup.
  • Recovery Time Objective (RTO) target: 4 jam untuk insiden skala penuh; Recovery Point Objective (RPO): maksimal 24 jam.

Pengujian Keamanan

  • First Principle melakukan vulnerability scanning secara berkala pada infrastruktur dan dependensi perangkat lunak.
  • Dependensi pihak ketiga (libraries, packages) dipantau untuk kerentanan yang diketahui menggunakan alat automated security scanning.
  • Pembaruan keamanan kritis diterapkan dalam 72 jam sejak patch tersedia.
  • Pengujian penetrasi (penetration testing) oleh pihak ketiga independen dijadwalkan secara berkala.

Program Pengungkapan Kerentanan (Vulnerability Disclosure)

Kami mengapresiasi kontribusi peneliti keamanan dalam menjaga keamanan platform kami. Jika Anda menemukan kerentanan keamanan di sistem First Principle, silakan laporkan secara bertanggung jawab melalui:

Email: security@firstprinciple.id Subjek: "Vulnerability Disclosure — [Deskripsi Singkat]"

Yang kami harapkan dalam laporan:

  • Deskripsi kerentanan yang ditemukan
  • Langkah reproduksi yang jelas
  • Dampak potensial yang mungkin terjadi
  • Saran mitigasi (opsional)

Komitmen kami:

  • Konfirmasi penerimaan laporan dalam 3 hari kerja
  • Update status investigasi dalam 10 hari kerja
  • Tidak mengambil tindakan hukum terhadap peneliti yang melaporkan dengan itikad baik dan tidak mengakses atau memodifikasi data pengguna

Kami saat ini tidak menyediakan program bug bounty berbasis insentif finansial, namun kami memberikan pengakuan publik (dengan izin peneliti) atas temuan yang valid dan signifikan.

Respons Insiden

First Principle memiliki prosedur respons insiden keamanan yang mencakup:

  1. Deteksi dan triase: Monitoring berkelanjutan terhadap anomali sistem dan alert keamanan.
  2. Containment: Isolasi sistem terdampak untuk membatasi penyebaran insiden.
  3. Investigasi: Analisis akar masalah (root cause analysis) dengan dokumentasi lengkap.
  4. Pemulihan: Restore layanan dari state yang bersih setelah ancaman dieliminasi.
  5. Notifikasi: Komunikasi kepada pengguna terdampak dan otoritas yang berwenang sesuai ketentuan UU PDP (3×24 jam untuk breach notification).
  6. Review post-insiden: Evaluasi dan perbaikan prosedur untuk mencegah pengulangan.

Keamanan Fisik

Data First Principle dihosting di fasilitas data center Supabase (Singapore), yang dioperasikan di infrastruktur cloud dengan sertifikasi keamanan fisik tier enterprise, termasuk kontrol akses fisik berlapis, CCTV, dan prosedur keamanan personel yang ketat.

Pembaruan Kebijakan

Kebijakan Keamanan ini akan diperbarui seiring evolusi praktik keamanan kami dan respons terhadap ancaman baru. Perubahan signifikan akan dikomunikasikan kepada pengguna.

Pertanyaan keamanan: security@firstprinciple.id Laporan kerentanan: security@firstprinciple.id PT First Principle Systems — Reiz Vasaka, Jl. Tembakau Deli No.1, Kesawan, Kec. Medan Bar., Kota Medan, Sumatera Utara 20231