Keamanan
Sebagai penyedia di , telah memenuhi standar keamanan berstandar internasional serta terus melakukan upaya meningkatkan standar terbaru secara berkala dalam bertransaksi agar terhindar dari aktivitas mencurigakan dapat merugikan berbagai pihak, baik maupun . Berikut adalah terkait keamanan layanan yang terdapat pada .
telah memiliki lisensi dan sertifikasi keamanan transaksi secara lokal, seperti PJP (Penyedia Jasa Pembayaran) kategori izin 2 terkait Payment Gateway dan 3 terkait PTD (Penyelenggara Transfer Dana) dari Bank Indonesia, PSE Domestik dari Kominfo serta sertifikasi kepatuhan internasional, yaitu PCI DSS Level 1 dan PCI 3DS.
Menjaga keamanan menjadi tanggung jawab dan peran semua pihak, tidak hanya . bertanggung jawab dalam menjaga keamanan transmisi data, melakukan identifikasi pengguna dan autentikasi akses pada komponen .
- Menjaga data pemegang kartu dengan kriptografi terkuat ketika transmisi terbuka pada jaringan publik.
- Melakukan proses dan mekanisme untuk melindungi data pemegang karu dengan kriptografi terkuat ketika melakukan transmisi secara terbuka pada jaringan publik secara terdefinisi dan terdokumentasi.
- PAN dilindungi oleh kriptografi terkuat pada saat transmisi.
- Kriptografi terkuat dan protokol keamanan terimplementasi mengikuti penjagaan PAN pada saat transmisi terbuka pada jaringan publik:
- Sertifikat-sertifikat digunakan untuk menjaga PAN pada transmisi terbuka, jaringan publik dikonfirmasi berlaku dan tidak kedaluwarsa atau dicabut; mengarah pada catatan applicability dibawah untuk lebih rinci.
- Protokol digunakan dalam mendukung hanya versi-versi atau konfigurasi-konfigurasi yang aman dan tidak mendukung fallback to, atau menggunakan versi, algoritma, key sizes, atau implementasi-implementasi yang tidak aman.
- Identifikasi pengguna dan autentikasi akses menuju komponen-komponen sistem.
- Identifikasi pengguna dan akun-akun terkait untuk para pengguna dan administrator diatur secara ketat melalui sebuah account's lifecycle.
- Autentikasi kelompok, berbagi, atau akun generik atau autentikasi kredensial berbagi lainnya hanya digunakan ketika dibutuhkan oleh dasar pengecualian, dan diatur sebagai berikut:
- Penggunaan akun dilarang kecuali dibutuhkan untuk keadaan tidak terduga.
- Justifikasi bisnis untuk penggunaan terdokumentasi.
- Pengunaan eksplisit disetujui oleh manajemen.
- Identitas pengguna individu dikonfirmasi sebelum melakukan akses kepada akun diberikan.
- Setiap aksi yang diambil dapat diatribusikan untuk pengguna individu.
telah menggunakan enkripsi TLS versi 1.2 dan 1.3 pada seluruh endpoint melalui protokol HTTPS dalam menjaga keamanan transmisi data dalam bertransaksi baik antara dengan , dengan maupun pihak lain yang terhubung dengan .
memiliki autentikasi khusus dalam melakukan verifikasi data dalam sistem untuk transaksi SNAP dan non-SNAP. Pada transaksi SNAP, autentikasi menggunakan Request Access Token API - SNAP dengan mengikuti ketentuan dari Asosiasi Sistem Pembayaran . Sementara pada transaksi non-SNAP, autentikasi menggunakan Merchant Token.
Setiap proses yang berjalan pada sistem memiliki notifikasi otomatis berisi dan yang berbeda-beda sesuai dengan tahapan suatu . disarankan untuk memeriksa menggunakan Status Inquiry secara berkala agar terhindar dari notification injection dari pihak tidak bertanggung jawab.
Versi API | Tautan API |
Versi SNAP | |
Versi 2 | |
Versi 1 |
Notification Injection adalah salah satu kerentanan keamanan dimana attacker mengirim notifikasi yang tidak seharusnya ke dalam suatu sistem.
mengapresiasi segala bentuk terkait masalah keamanan sistem disampaikan. Akan tetapi, tidak memiliki program Bug Bounty dan tidak menyediakan hadiah apapun. Meskipun saat ini tidak memiliki program Bug Bounty untuk partisipasi publik, kami mungkin akan mempertimbangkan hal tersebut di masa mendatang.
akan terus mengevaluasi dan meningkatkan keamanan sistem kami berdasarkan standar nasional dan internasional sebagai prioritas utama untuk melindungi kerahasiaan informasi setiap yang berjalan dalam kami. Untuk lebih lanjut terkait program Bug Bounty dan keamanan sistem di masa mendatang, silakan kunjungi situs web dan akun media sosial resmi .