NakafaNakafa
MasukDaftar

Kebijakan Keamanan

Terakhir diperbarui: 26 Januari 2026

Kebijakan Keamanan ini menjelaskan langkah-langkah keamanan yang digunakan PT. Nakafa Tekno Kreatif ("Nakafa", "kami") serta langkah yang kami harapkan dari pengguna untuk membantu melindungi kerahasiaan, integritas, dan ketersediaan Layanan serta data terkait.

Untuk informasi tentang cara kami mengumpulkan dan menggunakan Data Pribadi, silakan tinjau Kebijakan Privasi.

Ruang lingkup

Kebijakan Keamanan ini berlaku untuk Layanan yang dioperasikan oleh Nakafa, termasuk situs web dan aplikasi yang dihosting dan didukung melalui penyedia pihak ketiga.

Kebijakan Keamanan ini tidak mencakup praktik keamanan pihak ketiga yang Anda gunakan secara langsung di luar Layanan, meskipun pihak ketiga tersebut ditautkan dari Layanan.

Model keamanan dan tanggung jawab

Keamanan adalah tanggung jawab bersama:

  • Kami bertanggung jawab atas langkah keamanan yang berada dalam kendali kami, termasuk desain aplikasi, kontrol akses, pemantauan, dan proses tanggap insiden.
  • Anda bertanggung jawab atas keamanan perangkat, akun, dan kredensial yang Anda gunakan untuk mengakses Layanan.

Langkah teknis dan organisasi

Kami memelihara program keamanan yang dirancang untuk mengurangi risiko. Langkah-langkah meliputi kategori berikut.

Enkripsi saat transmisi

Kami menggunakan HTTPS/TLS untuk data yang dikirimkan antara peramban atau klien Anda dan Layanan.

Kontrol akses

Kami membatasi akses ke sistem produksi dan data hanya untuk personel dan akun layanan yang berwenang. Kami menggunakan praktik kontrol akses yang dirancang untuk membatasi akses berdasarkan fungsi pekerjaan dan kebutuhan operasional.

Penyimpanan dan pemrosesan data

Kami menyimpan dan memproses data menggunakan penyedia infrastruktur terkelola. Perlindungan penyimpanan dan pemrosesan bergantung pada penyedia dan konfigurasi layanan. Kami menggunakan fitur keamanan penyedia dan kontrol operasional yang dirancang untuk melindungi data tersimpan dari akses yang tidak sah.

Logging dan pemantauan

Kami mengumpulkan log dan peristiwa yang diperlukan untuk mengoperasikan dan mengamankan Layanan. Log ini digunakan untuk:

  • Mendeteksi penyalahgunaan, aktivitas mencurigakan, dan insiden operasional.
  • Debug masalah keandalan dan menanggapi gangguan layanan.
  • Menyelidiki dan memulihkan insiden keamanan yang diduga.

Pengembangan aman dan manajemen perubahan

Kami memelihara praktik pengembangan dan penerapan yang dirancang untuk mengurangi risiko kerentanan, termasuk meninjau perubahan, menerapkan pembaruan, dan menanggapi advisori keamanan untuk dependensi.

Keamanan layanan pihak ketiga

Layanan bergantung pada layanan pihak ketiga. Praktik keamanan dan kontrol mereka berpengaruh pada keamanan keseluruhan Layanan. Layanan pihak ketiga inti kami meliputi:

  • Vercel (hosting dan delivery)
  • Convex (basis data dan infrastruktur backend)
  • Polar (pembayaran dan manajemen langganan)
  • Resend (pengiriman email)
  • PostHog dan Vercel Analytics (analitik)
  • Vercel AI Gateway (perutean permintaan AI)

Setiap pihak ketiga dapat memproses data sebagai bagian dari penyediaan Layanan. Untuk rincian kategori data yang dibagikan dan tujuannya, silakan tinjau Kebijakan Privasi.

Pelaporan kerentanan

Kami mendorong pengungkapan kerentanan keamanan secara bertanggung jawab.

Jika Anda yakin menemukan kerentanan keamanan, hubungi kami di nakafaai@gmail.com dengan subjek “Security Report”.

Agar kami dapat menindaklanjuti, sertakan:

  • Deskripsi jelas masalah dan area Layanan yang terdampak.
  • Langkah untuk mereproduksi masalah.
  • Proof-of-concept atau tangkapan layar (jika aman untuk dibagikan).
  • Informasi kontak Anda untuk tindak lanjut.

Jangan sertakan Data Pribadi sensitif dalam laporan. Jangan mengeksploitasi kerentanan melebihi yang diperlukan untuk demonstrasi. Jangan mencoba mengakses data yang bukan milik Anda.

Tanggap insiden dan notifikasi pelanggaran

Kami memelihara proses tanggap insiden yang dirancang untuk:

  • Mengendalikan dan memitigasi insiden yang diduga.
  • Menilai ruang lingkup dan dampak.
  • Memulihkan integritas dan ketersediaan layanan.
  • Memberi tahu pengguna yang terdampak dan otoritas terkait ketika diwajibkan oleh hukum yang berlaku.

Waktu notifikasi bervariasi berdasarkan yurisdiksi dan jenis insiden. Sebagai contoh, jika insiden memenuhi definisi pelanggaran data pribadi berdasarkan GDPR dan notifikasi diwajibkan, kewajiban notifikasi dapat mencakup pelaporan kepada otoritas pengawas tanpa penundaan yang tidak semestinya dan, jika berlaku, dalam 72 jam sejak kami menyadari pelanggaran.

Keamanan akun dan pengguna

Anda dapat membantu melindungi akun Anda dengan:

  • Menggunakan kredensial yang kuat dan unik serta menjaganya tetap rahasia.
  • Memperbarui perangkat dan peramban Anda.
  • Keluar dari akun pada perangkat bersama.
  • Melaporkan dugaan kompromi atau akses tanpa izin dengan segera.

Kami dapat menggunakan kontrol keamanan yang dirancang untuk mengurangi risiko pembajakan akun, seperti melacak sesi akun dan aktivitas perangkat, serta menerapkan pembatasan akses ketika terdeteksi aktivitas mencurigakan.

Pembaruan keamanan

Kami dapat memperbarui Kebijakan Keamanan ini dari waktu ke waktu untuk mencerminkan perubahan praktik keamanan atau persyaratan hukum. Pembaruan akan diposting di halaman ini dengan tanggal “Terakhir diperbarui” yang direvisi.

Kontak

PT. Nakafa Tekno Kreatif
Taman Sukahati Permai H6
Kabupaten Bogor, Indonesia
Email: nakafaai@gmail.com