Wira

Legal

Keamanan Data

Terakhir diperbarui:

Dokumen ini adalah draft template. Belum direview oleh konselor hukum. Sebelum Wira go-live, dokumen ini akan diganti dengan versi yang sudah ditinjau sesuai UU PDP No. 27/2022 dan regulasi terkait. Jangan dijadikan rujukan hukum.

1. Komitmen kami

Wira menyimpan data sensitif: transaksi penjualan, slip gaji, attendance, informasi karyawan. Kami memperlakukan data ini dengan serius. Halaman ini menjelaskan praktik keamanan teknis dan operasional yang kami terapkan.

Praktik di bawah dirancang untuk memenuhi UU PDP No. 27/2022, Permenkominfo No. 20/2016, dan standar industri seperti ISO 27001 (sertifikasi formal sedang dalam proses).

2. Enkripsi data

2.1 In-transit

Semua komunikasi antara browser/aplikasi kamu dan server Wira menggunakan TLS 1.3. Versi TLS yang lebih lama (1.0, 1.1) ditolak. Sertifikat SSL diperbarui otomatis melalui Let's Encrypt.

2.2 At-rest

Database disimpan dengan enkripsi AES-256. Backup juga terenkripsi. Password user di-hash dengan bcrypt (cost factor 12, sekitar 100ms per hash) — kami tidak pernah menyimpan password plaintext.

2.3 Data sensitif khusus

Data sensitif (NPWP, nomor rekening, nominal gaji) di-encrypt dengan kunci terpisah yang dikelola via key management service. Akses ke kunci dibatasi dan ter-audit.

3. Akses kontrol

3.1 Otentikasi pengguna

  • Login wajib via email + password (minimum 8 karakter, hashed)
  • Two-factor authentication (TOTP) — tersedia di rilis berikutnya
  • JWT-based session, expiry 7 hari, dapat di-revoke kapan saja
  • Lock akun otomatis setelah 5 percobaan login gagal

3.2 Otorisasi internal

Akses tim Wira ke data pelanggan dibatasi pada tim teknis dan dukungan yang membutuhkan untuk operasional. Semua akses memerlukan:

  • SSO via provider terpusat dengan 2FA wajib
  • Just-in-time access (akses sementara, bukan permanen)
  • Audit log untuk setiap query produksi
  • Tinjauan berkala — akses yang tidak digunakan dicabut otomatis

3.3 Akses berbasis peran (di dalam akun pelanggan)

Wira mendukung 3 peran: Pemilik, Admin, Staf. Pemilik punya akses penuh; Admin bisa kelola operasional tapi tidak tagihan; Staf hanya bisa lihat data terkait shift mereka.

4. Infrastruktur dan lokasi data

Server utama berlokasi di Jakarta, Indonesia (region cloud provider). Data pelanggan Indonesia tidak meninggalkan Indonesia kecuali untuk:

  • Backup terenkripsi ke region disaster-recovery (juga di Indonesia)
  • Layanan pihak ketiga yang kamu otorisasi (misalnya error tracking via Sentry)

Cloud provider yang kami gunakan: AWS Asia Pacific (Jakarta) ap-southeast-3. Detail teknis stack tersedia atas permintaan untuk pelanggan Enterprise.

5. Backup dan disaster recovery

  • Frekuensi backup: harian (otomatis, terenkripsi)
  • Retention: 30 hari untuk backup harian, 12 bulan untuk backup bulanan
  • Recovery Point Objective (RPO): 24 jam
  • Recovery Time Objective (RTO): 4 jam
  • Tes restore: dilakukan bulanan untuk verifikasi backup tidak korup

6. Monitoring dan audit

  • Audit log lengkap untuk setiap perubahan data — siapa, apa, kapan, dari IP mana
  • Anomaly detection untuk login yang mencurigakan (lokasi tidak biasa, percobaan brute force)
  • Uptime monitoring 24/7 dengan alert otomatis ke tim on-call
  • Halaman status publik akan tersedia di status.wira.id (segera hadir)

7. Compliance dan sertifikasi

  • UU PDP No. 27/2022 — kepatuhan operasional sudah diterapkan; DPO formal akan ditunjuk sebelum batas wajib
  • Permenkominfo No. 20/2016 — perlindungan data pribadi dalam sistem elektronik
  • ISO/IEC 27001 — proses sertifikasi sedang berjalan, target Q3 2026
  • SOC 2 Type II — direncanakan setelah 12 bulan operasional

8. Pelaporan insiden keamanan

Jika kamu menemukan kerentanan keamanan atau insiden:

Kami berkomitmen merespon laporan keamanan dalam 24 jam. Untuk vulnerability disclosure yang etis (tidak mengeksploitasi atau membocorkan), kami menyediakan acknowledgment publik (jika diizinkan oleh pelapor).

Bug bounty program — direncanakan setelah platform stabil.

9. Tanggung jawab pengguna

Keamanan adalah tanggung jawab bersama. Praktik yang kami rekomendasikan:

  • Gunakan password yang kuat dan unik (password manager direkomendasikan)
  • Aktifkan 2FA segera setelah tersedia
  • Jangan berbagi kredensial — buat akun terpisah untuk setiap karyawan
  • Logout dari device publik atau bersama setelah selesai
  • Tinjau log audit secara berkala untuk akses yang mencurigakan
  • Update browser dan OS device kamu

Pertanyaan tentang dokumen ini?

Untuk pertanyaan terkait privasi, keamanan, atau hukum, hubungi tim kami. Kami akan respon dalam 3 hari kerja.

legal@wira.id privacy@wira.id