Kepatuhan yang jelas. Keamanan yang bisa ditelusuri.

Semua klaim di halaman ini mengacu pada dokumen legal dan implementasi teknis Bisnapi yang dapat diaudit.

PSE aktif: 022966.01/DJAI.PSE/04/2026. DPO: legal@bisnapi.id. Seluruh isi disusun dari dokumen legal dan implementasi kode yang tersedia di repositori.

Status regulasi dan tata kelola

PSE Terdaftar

Bisnapi terdaftar sebagai Penyelenggara Sistem Elektronik dengan nomor 022966.01/DJAI.PSE/04/2026.

Kepatuhan UU PDP No. 27/2022

Kebijakan privasi, DPA, notifikasi insiden 3×24 jam, dan mekanisme hak subjek data disusun mengikuti kerangka UU PDP.

DPO Aktif

Pejabat Pelindungan Data Pribadi ditunjuk dan dapat dihubungi melalui legal@bisnapi.id.

DPIA Terdokumentasi

Analisis Dampak Perlindungan Data Pribadi tersedia untuk modul berisiko tinggi (Payroll/HRIS, BISNAY AI, POS, CRM, BE-Sentinel).

ROPA Dipelihara

Catatan Aktivitas Pemrosesan (ROPA) dipelihara untuk aktivitas pemrosesan data pribadi di platform.

Kontrol keamanan utama

Enkripsi data sensitif aplikasi

Field sensitif dienkripsi menggunakan AES-256-GCM dengan derivasi kunci per organisasi berbasis HKDF (SHA-256).

Isolasi tenant via org_id filter

Setiap query selalu di-scope ke `org_id` di shared Aiven Postgres (logical isolation di public schema). Audit-able via open-source code review.

Autentikasi split-token

Session memakai format split token (sessionId.secret) dan verifikasi hash secret dengan pembandingan konstan waktu.

Rate limiting berbasis KV

Permintaan dibatasi per IP dan path, termasuk batas ketat untuk endpoint autentikasi seperti /auth/sign-in.

RBAC enforcement

Akses fitur sensitif diverifikasi dengan role-based access control melalui middleware rbacGuard.

Audit log dan observabilitas

Akses internal dan aktivitas keamanan dicatat; retensi log akses dan keamanan saat ini 90 hari.

Sertifikasi dan assurance

ISO 27001

Inherited via Cloudflare

SOC 2 Type II

Inherited via Cloudflare

PCI DSS

Inherited via Cloudflare / via Xendit untuk pembayaran

FIPS 140-2

Inherited via Cloudflare

Lokasi, retensi, dan sub-prosesor

Retensi data

Jenis Data Periode Retensi
Data akun aktif Selama akun aktif + 30 hari
Data operasional bisnis (transaksi/invoice) 5 tahun
Log akses dan keamanan 90 hari
Data pembayaran (riwayat) 5 tahun

Sub-prosesor yang disetujui

  • Cloudflare, Inc.

    Infrastruktur cloud (Workers, D1, R2)

  • PT Xendit Indonesia

    Pemrosesan pembayaran

Hak subjek data (UU PDP)

  • ≤14 hari kerja

    Hak Akses

    Meminta salinan data pribadi yang diproses.

  • ≤14 hari kerja

    Hak Koreksi

    Memperbaiki data pribadi yang tidak akurat.

  • ≤14 hari kerja

    Hak Penghapusan

    Meminta penghapusan data pribadi sesuai ketentuan.

  • ≤14 hari kerja

    Hak Pembatasan

    Meminta pembatasan pemrosesan pada kondisi tertentu.

  • ≤14 hari kerja

    Hak Portabilitas

    Menerima data dalam format yang dapat dibaca mesin.

  • ≤14 hari kerja

    Hak Keberatan

    Mengajukan keberatan atas pemrosesan berbasis kepentingan sah.

  • ≤14 hari kerja

    Hak Mencabut Persetujuan

    Mencabut persetujuan kapan saja tanpa memengaruhi pemrosesan yang sudah sah sebelumnya.

Vulnerability Disclosure Policy (VDP)

Laporkan potensi kerentanan secara bertanggung jawab. Ikuti kebijakan safe harbor dan jendela disclosure 90 hari sebelum publikasi.

Email

security@snappy.co.id

PGP Key

DA49 D01C 616E 83FE F7A2 3C92 7FA3 E73E 1533 A1E5

Pertanyaan umum

Apakah Bisnapi mengklaim data berada di Indonesia?

Tidak. Saat ini pemrosesan data dijalankan di jaringan Cloudflare Asia Tenggara dengan latensi <30ms dari Indonesia.

Apakah Bisnapi menyimpan data kartu kredit?

Tidak. Data pembayaran diproses melalui Xendit dan Bisnapi tidak menyimpan data kartu kredit mentah.

Apakah enkripsi hanya saat transit?

Tidak. TLS 1.3 digunakan untuk data in-transit, dan proteksi at-rest mengikuti kontrol infrastruktur Cloudflare. Untuk field sensitif aplikasi, Bisnapi juga menerapkan AES-256-GCM.

Berapa lama log keamanan disimpan?

Retensi log akses dan keamanan saat ini adalah 90 hari, sesuai kebijakan operasional yang terdokumentasi.

Apakah ada janji rotasi kunci berkala atau pentest tahunan?

Hal tersebut tidak kami klaim di halaman ini karena belum didokumentasikan sebagai komitmen formal yang berlaku umum.

Bagaimana cara melaporkan kerentanan keamanan?

Kirim laporan ke security@snappy.co.id dengan ringkasan kerentanan, komponen terdampak, dan langkah reproduksi PoC, lalu ikuti jendela disclosure 90 hari.