Kebijakan Sistem Manajemen Keamanan Informasi dan Layanan Cloud MAKS

1. Tujuan Kebijakan

Kebijakan ini bertujuan untuk memastikan bahwa seluruh aset informasi perusahaan, termasuk yang disimpan dan diproses di lingkungan cloud, terlindungi dari segala bentuk ancaman, baik internal maupun eksternal, sengaja maupun tidak sengaja. Kebijakan ini mendukung kelangsungan bisnis, meminimalkan risiko, dan menjamin integritas, kerahasiaan, serta ketersediaan informasi.

2. Ruang Lingkup

Kebijakan ini mencakup seluruh aktivitas dan sistem informasi yang digunakan oleh perusahaan, baik yang dikelola secara on-premise maupun melalui layanan cloud, termasuk namun tidak terbatas pada:

1. Data konsumen;
   
2. Infrastruktur teknologi informasi;
   
3. Sistem backend dan frontend;
   
4. Sistem transaksi aset kripto; dan
   
5. Email dan komunikasi internal.

C. Prinsip-Prinsip Utama

1. Kerahasiaan (Confidentiality)

Akses ke informasi dibatasi hanya untuk pihak yang berwenang. Informasi sensitif seperti data pengguna, kredensial akses, dan kunci privat harus dienkripsi dan hanya dapat diakses oleh pihak yang memiliki otorisasi.

2. Integritas (Integrity)

Informasi harus akurat, utuh, dan tidak boleh diubah oleh pihak tidak berwenang. Audit log dan sistem deteksi perubahan akan digunakan untuk menjaga integritas data.

3. Ketersediaan (Availability)

Sistem dan data harus tersedia saat dibutuhkan oleh pengguna yang berwenang. Strategi cadangan data (backup), pemulihan bencana (disaster recovery), dan pemantauan uptime cloud harus diterapkan.

D. Kebijakan Keamanan Layanan Cloud

Penggunaan layanan cloud (IaaS, PaaS, SaaS) harus memenuhi persyaratan berikut:

1. Penyedia cloud harus memiliki sertifikasi keamanan seperti ISO 27001, SOC 2, atau CSA STAR;
   
2. Seluruh data yang disimpan di cloud harus dienkripsi, baik dalam penyimpanan (at rest) maupun saat dikirim (in transit);
   
3. Kendali akses berbasis peran (Role-Based Access Control/RBAC) harus diterapkan;
   
4. Aktivitas pengguna di cloud harus dicatat (audit log) dan dikaji secara berkala;
   
5. Penilaian risiko cloud dilakukan secara berkala, termasuk penilaian terhadap pihak ketiga; dan
   
6. Perjanjian tingkat layanan (SLA) dengan penyedia cloud harus mencakup aspek keamanan, privasi, dan ketersediaan.
   

E. Tanggung Jawab

1. Manajemen Puncak bertanggung jawab atas komitmen terhadap kebijakan SMKI dan alokasi sumber daya;
   
2. Tim IT dan Keamanan Informasi bertugas menerapkan kontrol teknis, pemantauan, dan pelaporan; dan
   
3. Seluruh karyawan wajib mematuhi kebijakan ini dan menjalani pelatihan keamanan informasi secara berkala.
   

F. Audit dan Evaluasi

Evaluasi dan audit internal terhadap sistem manajemen keamanan informasi dilakukan secara berkala untuk:

1. Menilai efektivitas pengendalian keamanan;
   
2. Mengidentifikasi celah keamanan baru; dan
   
3. Memastikan kepatuhan terhadap peraturan OJK, CFX, dan standar internasional (ISO 27001)
   

G. Kepatuhan Regulasi

Kebijakan ini disusun mengacu pada regulasi nasional dan internasional, termasuk:

1. Peraturan OJK No. 27/POJK.03/2024 tentang Penyelenggaraan Bursa Aset Kripto;
   
2. Peraturan Perlindungan Data Pribadi (UU PDP); dan
   
3. ISO/IEC 27001:2022 tentang Information Security Management Systems
   

H. Penutup

Kebijakan SMKI dan layanan cloud merupakan bagian penting dari tata kelola perusahaan, yang harus dipahami, diterapkan, dan dikembangkan oleh seluruh pihak dalam organisasi untuk menjaga kepercayaan pelanggan dan memenuhi kewajiban regulasi.