Keamanan
Keamanan & Legalitas
Bagaimana kami melindungi dokumen, data, dan identitas digital Anda.
Enkripsi & Kriptografi
Setiap dokumen yang ditandatangani melalui AlphaSign dilindungi oleh beberapa lapisan keamanan kriptografis:
- Enkripsi transit (TLS 1.3): Seluruh komunikasi antara perangkat Anda dan server kami dienkripsi menggunakan protokol TLS 1.3.
- Enkripsi penyimpanan (AES-256): Dokumen disimpan dalam keadaan terenkripsi. Hanya sistem yang memiliki kunci yang dapat membaca isi file.
- Tanda tangan kriptografis: Setiap penandatanganan menghasilkan hash SHA-256 dari dokumen, yang kemudian ditandatangani secara digital menggunakan kunci asimetris yang dikelola terpisah dan aman.
- Integritas dokumen: Setelah semua pihak menandatangani, hash final dokumen dikunci. Perubahan sekecil apapun pada file akan terdeteksi.
Blockchain Publik
Setiap dokumen yang selesai ditandatangani dicatat secara permanen di blockchain publik kami:
- Immutable chain: Setiap blok berisi hash transaksi yang terhubung ke blok sebelumnya. Mengubah satu blok akan memutus seluruh rantai.
- Transparansi: Siapa saja dapat memverifikasi bahwa suatu penandatanganan benar-benar terjadi melalui halaman Ledger Publik.
- Privasi terjaga: Blockchain hanya mencatat bukti kriptografis (hash). Tidak ada nama, email, atau isi dokumen yang dipublikasikan.
- Permanen: Data di ledger tidak dapat dihapus — bahkan oleh kami sebagai pengelola platform.
Autentikasi & Perlindungan Akun
Kami menerapkan sistem keamanan berlapis untuk melindungi akses ke akun Anda:
- Passwordless login: Login tanpa password menggunakan kode OTP 8 karakter yang dikirim ke email. Lebih aman dari password yang lemah atau bocor.
- PIN proteksi 6 digit: Lapisan keamanan tambahan (opsional) untuk aksi sensitif seperti hapus dokumen atau ubah email.
- Deteksi perangkat baru: Setiap login dari perangkat yang belum dikenali akan memicu notifikasi email ke pemilik akun.
- Trusted devices: Perangkat yang sudah diverifikasi dapat dipercayakan selama 30 hari tanpa perlu OTP ulang.
- Account lockout: Setelah 10 percobaan login gagal, akun terkunci otomatis selama 30 menit untuk mencegah brute force.
- IP blocking: IP yang melakukan terlalu banyak percobaan gagal diblokir otomatis.
- Session management: Anda dapat melihat semua perangkat yang login dan logout secara remote kapan saja.
Jejak Audit (Audit Trail)
Seluruh aktivitas penting dicatat secara otomatis dan tidak dapat dihapus:
- Siapa yang membuat dokumen, kapan, dan dari perangkat apa.
- Siapa yang menandatangani, kapan, IP address, dan browser yang digunakan.
- Seluruh perubahan pada akun, tim, dan pengaturan organisasi.
- Riwayat login (berhasil dan gagal) tersimpan selama 12 bulan.
Jejak audit ini dapat digunakan sebagai bukti hukum jika diperlukan.
Dasar Hukum
Tanda tangan elektronik di Indonesia diakui sah berdasarkan:
- UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE), khususnya Pasal 11 tentang tanda tangan elektronik.
- UU No. 19 Tahun 2016 tentang Perubahan atas UU ITE.
- PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, khususnya Pasal 60 tentang persyaratan tanda tangan elektronik yang sah.
Persyaratan keandalan tanda tangan elektronik yang dipenuhi oleh AlphaSign:
- Data pembuatan tanda tangan terkait hanya dengan penandatangan.
- Data pembuatan tanda tangan pada saat penandatanganan hanya berada dalam kuasa penandatangan.
- Segala perubahan terhadap tanda tangan yang terjadi setelah penandatanganan dapat diketahui.
- Segala perubahan terhadap informasi elektronik yang terkait dengan tanda tangan dapat diketahui.
- Terdapat cara tertentu untuk mengidentifikasi siapa penandatangannya.
- Terdapat cara tertentu untuk menunjukkan bahwa penandatangan telah memberikan persetujuan.
Infrastruktur
- Server di Asia Tenggara: Data disimpan di pusat data dengan sertifikasi keamanan internasional.
- Backup otomatis: Data di-backup secara berkala ke lokasi terpisah.
- Monitoring 24/7: Sistem dipantau secara real-time untuk deteksi anomali.
- Pembaruan keamanan: Patch keamanan diterapkan secara rutin.
Keamanan API
- Autentikasi Bearer Token (Laravel Sanctum) — tidak ada password di request.
- Rate limiting per paket (60–600 req/menit) mencegah penyalahgunaan.
- Deteksi abuse otomatis: scoring berbasis pola (error rate, volume spike, brute force).
- Token yang mencurigakan otomatis di-throttle atau di-suspend.
- Security headers: X-Content-Type-Options, X-Frame-Options, HSTS.
- Request log disimpan 30 hari untuk audit, lalu dihapus otomatis.
Pelaporan Kerentanan
Jika Anda menemukan kerentanan keamanan pada platform kami, harap laporkan secara bertanggung jawab melalui halaman kontak kami. Kami akan merespon dalam 48 jam dan berkoordinasi untuk perbaikan.