Keamanan
Bagaimana kami melindungi data pelanggan dan kontrol yang kami terapkan.
Catatan terjemahan: Dokumen ini adalah terjemahan Bahasa Indonesia dari halaman Security versi Bahasa Inggris, disediakan untuk referensi. Jika terdapat perbedaan atau konflik antara versi Bahasa Indonesia dan Bahasa Inggris, versi Bahasa Inggris yang berlaku.
Pendekatan kami
Keamanan adalah foundation Tenavora, bukan fitur yang dijual terpisah. Kami mendesain setiap komponen dengan defense-in-depth dan asumsi bahwa setiap single layer bisa gagal.
Compliance
Kami sedang dalam proses untuk sertifikasi berikut:
- SOC 2 Type II — target 2026 Q4
- ISO 27001 — target 2027 Q1
- GDPR — operational compliance sejak launch
- HIPAA BAA — tersedia untuk pelanggan Enterprise yang menangani PHI
Audit report dan BAA tersedia dengan NDA. Hubungi [email protected].
Infrastruktur
- Semua workload jalan di hardened Linux container
- TLS 1.2+ untuk semua traffic; TLS 1.3 diutamakan
- Firewalled VPC; database tidak bisa diakses langsung dari internet
- Cloudflare DDoS protection di edge
- Patching otomatis untuk OS dan runtime image
Perlindungan data
- At rest: enkripsi AES-256 di semua storage volume
- In transit: TLS ke semua endpoint, mTLS untuk service-to-service
- Field-level: encryption key per-tenant untuk kolom PII
- Backup: backup terenkripsi harian dengan retensi 30 hari; di-test setiap kuartal
Identity & access (internal kami)
- MFA wajib untuk semua akun karyawan
- SSO via corporate identity provider
- Just-in-time access untuk production dengan auto-expiry
- Semua akses production di-log dan di-review bulanan
Keamanan aplikasi
- Static analysis di setiap pull request
- Dependency scanning dengan PR auto-remediation
- Penetration testing pihak ketiga tahunan
- Program bug bounty untuk peneliti keamanan
Isolasi multi-tenant
- Row-level security di database tier
- Rate limit API per-tenant dan resource quota
- Audit log tenant-aware — tidak ada akses cross-tenant
Incident response
- Rotasi on-call 24/7
- Runbook terdokumentasi untuk class insiden umum
- Notifikasi pelanggan dalam 72 jam setelah konfirmasi insiden data
- Post-incident review dibagikan ke pelanggan terdampak
Responsible disclosure
Jika Anda menemukan kerentanan keamanan:
- Email [email protected] dengan detail
- Sertakan langkah reproduce dan assessment dampak
- Jangan disclose secara publik sebelum kami sempat patch
- Kami berkomitmen acknowledge dalam 24 jam dan patch isu kritis dalam 7 hari
Saat ini kami belum menawarkan bug bounty berbayar, tetapi kami akan publicly credit peneliti (dengan persetujuan) dan mungkin menawarkan swag atau credit untuk laporan valid.
Kontak
Pertanyaan keamanan: [email protected] PGP key tersedia atas permintaan.