โ† Kembali ke Beranda

Vulnerability Disclosure Policy

Terakhir diperbarui: TBD

VULNERABILITY DISCLOSURE POLICY (VDP) โ€” BISNAPI

Initial Version: 25 Maret 2026 (PT SNAPPY ANGKASA MEDIA formation) Last Updated: 17 Mei 2026 Effective Date: 17 Mei 2026 Version: 1.2 PSE: 022966.01/DJAI.PSE/04/2026

1. Komitmen Bisnapi

Keamanan platform Bisnapi adalah prioritas. Kami menghargai kontribusi komunitas keamanan dan peneliti independen yang membantu mengidentifikasi celah sebelum dapat dieksploitasi oleh pihak yang tidak bertanggung jawab.

Dokumen ini mengatur cara yang benar untuk melaporkan celah keamanan yang ditemukan, serta komitmen Kami kepada pelapor yang beritikad baik.

2. Ruang Lingkup

2.1. Dalam Ruang Lingkup

VDP ini mencakup aset-aset berikut yang dioperasikan oleh PT Snappy Angkasa Media:

  • app.bisnapi.id dan seluruh subdomain
  • api.bisnapi.id
  • status.bisnapi.id
  • Aplikasi mobile Bisnapi (jika tersedia)
  • Infrastruktur pendukung yang dapat diakses secara publik

2.2. Di Luar Ruang Lingkup

VDP ini tidak mencakup:

  • Infrastruktur pihak ketiga (Cloudflare, Xendit) โ€” laporkan langsung ke penyedia masing-masing.
  • Serangan yang memerlukan akses fisik ke infrastruktur.
  • Serangan social engineering terhadap staf Bisnapi.
  • Serangan denial of service (DoS/DDoS).
  • Spam atau masalah reputasi email.
  • Vulnerability pada perangkat atau jaringan Pengguna sendiri.
  • Celah yang hanya berdampak pada browser atau sistem operasi yang sudah end-of-life.

3. Jenis Celah yang Diutamakan

Kami sangat menghargai laporan terkait:

  • Kritis: SQL injection, remote code execution (RCE), authentication bypass, akses data Pengguna lain tanpa otorisasi.
  • Tinggi: Privilege escalation, IDOR (Insecure Direct Object Reference) yang mengekspos data sensitif, SSRF.
  • Menengah: XSS (Cross-Site Scripting) yang berdampak signifikan, CSRF pada fungsi sensitif.
  • Rendah: Informasi sensitif dalam respons API yang tidak perlu, misconfiguration minor.

4. Aturan Pengungkapan yang Bertanggung Jawab

Untuk mendapatkan perlindungan di bawah VDP ini, peneliti keamanan wajib mematuhi aturan berikut:

4.1. Wajib Dilakukan

  • Segera laporkan celah yang ditemukan melalui email abuse@bisnapi.id dengan subject [VDP REPORT].
  • Berikan informasi yang cukup untuk mereplikasi dan memvalidasi celah (langkah reproduksi, screenshot, PoC code jika relevan).
  • Beri Kami waktu yang wajar untuk memperbaiki celah sebelum mengungkapkan secara publik (minimum 90 hari sejak laporan diterima).
  • Hanya akses data minimum yang diperlukan untuk membuktikan adanya celah.

4.2. Dilarang

  • Mengakses, mengubah, menghapus, atau mengeksfiltrasi data Pengguna lain.
  • Menjalankan serangan yang mengganggu ketersediaan layanan (DoS/DDoS).
  • Melakukan social engineering terhadap staf Bisnapi atau Pengguna.
  • Menggunakan automated scanner secara agresif yang membebani infrastruktur.
  • Mengungkapkan celah kepada publik sebelum Kami memperbaikinya (kecuali batas waktu 90 hari terlampaui).
  • Meminta kompensasi sebagai syarat untuk tidak mengungkapkan celah (ini masuk kategori pemerasan).

5. Cara Melaporkan

Email: abuse@bisnapi.id Subject: [VDP REPORT] - [Deskripsi Singkat]

Template laporan yang direkomendasikan:

Jenis Celah: [mis. IDOR, XSS, SQL Injection]
Severity (estimasi): [Kritis/Tinggi/Menengah/Rendah]
URL/Endpoint yang terdampak:
Langkah Reproduksi:
  1.
  2.
  3.
Dampak potensial:
Bukti (screenshot/video/PoC):
Rekomendasi perbaikan (opsional):

6. Proses Setelah Laporan Diterima

Tahap Waktu Target
Konfirmasi penerimaan laporan 2 hari kerja
Validasi dan triase 7 hari kerja
Update status penanganan Setiap 14 hari
Target perbaikan (tergantung severity) P1: 14 hari | P2: 30 hari | P3-P4: 90 hari
Notifikasi perbaikan kepada pelapor Setelah patch di-deploy

Seluruh komunikasi dilakukan melalui email yang digunakan saat pelaporan.

7. Perlindungan bagi Peneliti Beritikad Baik

Jika Pengguna atau peneliti keamanan mematuhi seluruh aturan dalam VDP ini:

7.1. Kami tidak akan mengambil tindakan hukum terhadap peneliti atas aktivitas penelitian keamanan yang berada dalam ruang lingkup VDP ini.

7.2. Kami tidak akan melaporkan peneliti kepada pihak berwenang atas penelitian yang dilakukan sesuai VDP ini.

7.3. Kami akan bekerja sama secara kooperatif untuk memahami dan memperbaiki celah yang dilaporkan.

Catatan penting: Perlindungan ini hanya berlaku jika peneliti mematuhi seluruh aturan VDP ini. Akses tidak sah, eksfiltrasi data, atau pemerasan tidak mendapat perlindungan apapun dan kami akan menempuh jalur hukum serta berkoordinasi dengan KOMINFO/Kementerian Komunikasi dan Digital serta POLRI/aparat penegak hukum.

8. Penghargaan (Hall of Fame)

8.1. Kami tidak menyediakan bug bounty (kompensasi finansial) pada tahap ini.

8.2. Sebagai bentuk apresiasi, peneliti yang melaporkan celah valid dan material (P1/P2) akan dicantumkan dalam Hall of Fame di security.bisnapi.id (dengan persetujuan peneliti).

8.3. Kami berterima kasih kepada seluruh peneliti yang berkontribusi untuk keamanan platform Bisnapi.

9. Pengungkapan Terbatas setelah 90 Hari

9.1. Jika celah belum diperbaiki dalam 90 hari sejak laporan diterima dan divalidasi, peneliti berhak mengungkapkan temuan secara publik dengan:

  • Memberitahu Kami 7 hari sebelum pengungkapan.
  • Meredaksi informasi yang dapat langsung dieksploitasi dan belum diperbaiki.

Konsekuensi Pelanggaran Embargo: Jika peneliti melanggar 90-day embargo period (mengungkap kerentanan ke publik sebelum disetujui), kami akan: (a) publish nama peneliti dan deskripsi pelanggaran di halaman security.bisnapi.id; (b) blacklist akun terkait dari semua layanan Bisnapi seumur hidup; (c) menempuh jalur hukum dan berkoordinasi dengan KOMINFO/Kementerian Komunikasi dan Digital serta POLRI/aparat penegak hukum jika ada bukti niat eksploitasi atau ekstorsi.

9.2. Kami berkomitmen untuk bersikap transparan tentang progres perbaikan dan akan mengajukan perpanjangan waktu jika diperlukan karena kompleksitas teknis.

10. Kontak

Keperluan Kontak
Laporan keamanan abuse@bisnapi.id
Pertanyaan VDP legal@bisnapi.id
Status insiden keamanan status.bisnapi.id

Riwayat Revisi

Versi Tanggal Ringkasan Perubahan
1.0 1 Mei 2026 Rilis pertama
1.1 17 Mei 2026 Pertegas bahasa konsekuensi pelanggaran (KOMINFO + POLRI), tambah konsekuensi eksplisit pelanggaran 90-day embargo (publish nama, blacklist seumur hidup). Standardisasi metadata.
1.2 17 Mei 2026 Koreksi: hapus referensi Groq sebagai sub-processor (tidak digunakan; AI inference via Cloudflare Workers AI)

ยฉ 2026 PT Snappy Angkasa Media. Seluruh hak dilindungi. PSE: 022966.01/DJAI.PSE/04/2026