Keamanan

9min

Tentang Keamanan Layanan NICEPAY



Sebagai penyedia di , telah memenuhi standar keamanan berstandar internasional serta terus melakukan upaya meningkatkan standar terbaru secara berkala dalam ber agar terhindar dari aktivitas mencurigakan dapat merugikan berbagai pihak, baik maupun . Berikut adalah terkait keamanan terdapat pada .



Standar dan Regulasi Keamanan

Fitur Keamanan

 memiliki FDS dan 3Ds sebagai fitur keamanan dalam menjaga keamanan menggunakan .



Compliance

 telah memiliki lisensi dan sertifikasi keamanan secara lokal, seperti PJP (Penyedia Jasa Pembayaran) kategori izin 2 terkait Payment Gateway dan 3 terkait PTD (Penyelenggara Transfer Dana) dari , PSE Domestik dari Kominfo serta sertifikasi kepatuhan internasional, yaitu PCI DSS Level 1 dan PCI 3DS.



Peran dan Tanggung Jawab Menjaga Keamanan

Menjaga keamanan menjadi tanggung jawab dan peran semua pihak, tidak hanya . bertanggung jawab dalam menjaga keamanan transmisi data, melakukan identifikasi pengguna, dan autentikasi akses pada komponen .

Berikut adalah daftar hal merupakan tanggung jawab dalam menjaga keamanan .

  1. Menjaga data pemegang kartu dengan kriptografi terkuat ketika transmisi terbuka pada jaringan publik.
    • Melakukan dan mekanisme untuk melindungi data pemegang karu dengan kriptografi terkuat ketika melakukan transmisi secara terbuka pada jaringan publik secara terdefinisi dan terdokumentasi.
    • PAN dilindungi oleh kriptografi terkuat pada saat transmisi.
    • Kriptografi terkuat dan protokol keamanan terimplementasi mengikuti penjagaan PAN pada saat transmisi terbuka pada jaringan publik:
      • Hanya keys dan sertifikat-sertifikat terpercaya diterima.
      • Sertifikat-sertifikat digunakan untuk menjaga PAN pada transmisi terbuka, jaringan publik dikonfirmasi berlaku dan tidak kedaluwarsa atau dicabut; mengarah pada catatan applicability di bawah untuk lebih rinci.
      • Protokol digunakan dalam mendukung hanya versi-versi atau konfigurasi-konfigurasi aman dan tidak mendukung fallback to, atau menggunakan versi, algoritma, key sizes, atau implementasi-implementasi tidak aman.
      • Kekuatan enkripsi tepat untuk metodologi enkripsi digunakan.
    • Inventaris pada entiti keys dan sertifikat-sertifikat terpercaya digunakan untuk melindungi PAN pada penjagaan transmisi.
  2. Identifikasi pengguna dan autentikasi akses menuju komponen-komponen .
    • Identifikasi pengguna dan akun-akun terkait untuk para pengguna dan administrator diatur secara ketat melalui sebuah account's lifecycle.
    • Seluruh pengguna diberikan sebuah ID unik sebelum mengakses komponen-komponen atau data pengguna kartu diperbolehkan.
    • Autentikasi kelompok, berbagi, atau akun generik atau autentikasi kredensial berbagi lainnya hanya digunakan ketika dibutuhkan oleh dasar pengecualian, dan diatur sebagai berikut:
      • Penggunaan akun dilarang kecuali dibutuhkan untuk keadaan tidak terduga.
      • Penggunaan terbatas untuk waktu dibutuhkan untuk keadaan tidak terduga.
      • Justifikasi untuk penggunaan terdokumentasi.
      • Pengunaan eksplisit disetujui oleh manajemen.
      • Identitas pengguna individu dikonfirmasi sebelum melakukan akses kepada akun diberikan.
      • Setiap aksi diambil dapat diatribusikan untuk pengguna individu.



Keamanan Produk NICEPAY

Transmisi Data

 telah menggunakan enkripsi TLS versi 1.2 dan 1.3 pada seluruh endpoint melalui protokol HTTPS dalam menjaga keamanan transmisi data dalam bertransaksi baik antara dengan , dengan maupun pihak lain terhubung dengan .



Autentikasi

 memiliki autentikasi khusus dalam melakukan verifikasi data dalam untuk SNAP dan non-SNAP. Pada SNAP, autentikasi menggunakan Request Access Token API - SNAP dengan mengikuti ketentuan dari Asosiasi Sistem Pembayaran . Sementara pada non-SNAP, autentikasi menggunakan Merchant Token.



Callback Handling

Callback Handling digunakan oleh untuk melakukan verifikasi kepada .



Whitelist IP





Notifikasi dan Status Transaksi

Setiap berjalan pada memiliki otomatis berisi dan berbeda-beda sesuai dengan tahapan suatu . disarankan untuk memeriksa menggunakan Status Inquiry secara berkala agar terhindar dari notification injection dari pihak tidak bertanggung jawab.

Daftar Status Inquiry :

Notification Injection adalah salah satu kerentanan keamanan di mana attacker mengirim tidak seharusnya ke dalam suatu .



Pemeliharaan Keamanan

Program Bug Bounty

 mengapresiasi segala bentuk terkait masalah keamanan disampaikan. Akan tetapi, tidak memiliki program Bug Bounty dan tidak menyediakan hadiah apapun. Meskipun saat ini tidak memiliki program Bug Bounty untuk partisipasi publik, kami mungkin akan mempertimbangkan hal tersebut di masa mendatang.

 akan terus mengevaluasi dan meningkatkan keamanan kami berdasarkan standar nasional dan internasional sebagai prioritas utama untuk melindungi kerahasiaan setiap berjalan dalam kami. Untuk lebih lanjut terkait program Bug Bounty dan keamanan di masa mendatang, silakan kunjungi situs web dan akun media sosial resmi .