Skip to main content
Didit Raih $7,5 Juta untuk Membangun Infrastruktur Identitas dan Fraud
Didit
Didit
Kebijakan Keamanan Informasi
Diperbarui 16 Mei 2026 · didit.me/terms/information-security
Legal

Kebijakan Keamanan Informasi

Diperbarui: 16 Mei 2026

Di halaman ini

Kebijakan Keamanan Informasi ini menjelaskan sertifikasi yang dimiliki Didit, kontrol teknis dan organisasi yang dioperasikan Didit, serta artefak kepercayaan yang tersedia untuk pelanggan, calon pelanggan, regulator, dan auditor. Kebijakan ini ditinjau setidaknya setiap enam bulan.

1. Sertifikasi dan atestasi

AtestasiStandarPenerbitStatus
SOC 2 Tipe 1American Institute of Certified Public Accountants (AICPA) Trust Services Criteria, Keamanan, Ketersediaan, KerahasiaanATOM (auditor layanan independen)Diterbitkan 9 April 2026. Pemeriksaan SOC 2 Tipe 2 sedang berlangsung dan diharapkan akan diterbitkan sebelum jendela penggunaan logo SOC 2 Tipe 1 ditutup.
ISO/IEC 27001:2022Keamanan Informasi, Keamanan Siber, dan Sistem Manajemen PrivasiBureau Veritas Certification (terakreditasi ENAC), sertifikat nº ES144068Diterbitkan 7 April 2026. Berlaku hingga 3 Juni 2027.
iBeta Level 1 PADISO/IEC 30107-3, Deteksi Serangan Presentasi Biometrik, Level 1iBeta Quality Assurance (kode lab NIST / NVLAP 200962)Periode pengujian 5 Januari, 4 Februari 2026. Tingkat keberhasilan serangan 0% di antara 360 percobaan.
Atestasi sandbox Tesoro / SEPBLAC / CNMVSandbox keuangan Spanyol (Ley 7/2020)CNMV (Comisión Nacional del Mercado de Valores), ditinjau oleh SEPBLAC (Unit Intelijen Keuangan Spanyol)Pengujian 1 November 2024, 9 Juli 2025. Laporan kesimpulan publik diterbitkan di `tesoro.es` (Februari 2026): Verifikasi identitas jarak jauh Didit setidaknya sama amannya dengan identifikasi langsung.
Memo kecukupan EBA / MiCAPedoman Otoritas Perbankan Eropa tentang onboarding pelanggan jarak jauh (EBA/GL/2022/15) + Buku Aturan Tunggal AML UE + Peraturan Pasar dalam Aset Kripto (MiCA)finReg360 (opini hukum independen)Diterbitkan 28 April 2026.
GDPR Pasal 32Peraturan Perlindungan Data Umum UE (Peraturan (EU) 2016/679)Penilaian mandiri; didukung oleh kontrol ISO/IEC 27001 dan Perjanjian Pemrosesan Data di `/terms/business`Berkelanjutan.

Untuk meminta laporan atau sertifikat yang mendasarinya, kirim email ke security@didit.me. Laporan yang dibatasi berdasarkan ketentuan penerbitnya (misalnya, SOC 2 Tipe 1) dibagikan setelah Perjanjian Non-Pengungkapan (NDA) ditandatangani, pada hari kerja yang sama.

2. Lingkup

Kebijakan ini mencakup semua personel Didit (karyawan, kontraktor, dan pihak ketiga yang berwenang), semua sistem informasi produksi dan korporat Didit, serta Layanan yang berhadapan dengan pelanggan yang dijelaskan dalam Ketentuan dan Kondisi Bisnis. Kebijakan ini didukung oleh Pernyataan Penerapan yang menjadi dasar sistem manajemen ISO/IEC 27001:2022 Didit.

3. Tata Kelola

  • Sistem Manajemen Keamanan Informasi dan Privasi yang selaras dengan kontrol ISO/IEC 27001:2022 dan ISO/IEC 27701, dengan Pernyataan Penerapan yang didokumentasikan.
  • Chief Technology Officer adalah sponsor eksekutif keamanan informasi yang ditunjuk; Petugas Perlindungan Data (dpo@didit.me) memiliki tata kelola program privasi.
  • Audit keamanan eksternal tahunan oleh auditor independen (pengawasan ISO 27001 dan pemeriksaan SOC 2).
  • Daftar risiko ditinjau dan diperbarui setiap triwulan. Risiko material ditingkatkan ke komite manajemen.
  • Peningkatan berkelanjutan, setiap insiden, temuan audit, dan penilaian risiko menjadi masukan untuk backlog tindakan korektif dan penyegaran kebijakan berikutnya.

4. Enkripsi dan manajemen kunci

  • Saat tidak aktif: AES-256 di setiap database produksi, object store, dan volume cadangan.
  • Saat transit: TLS 1.3 untuk setiap panggilan API eksternal, webhook, dan sesi Business Console. Versi TLS yang lebih lama dan cipher yang lemah dinonaktifkan. HTTP Strict Transport Security (HSTS) diberlakukan di seluruh situs dan dimuat sebelumnya.
  • Manajemen kunci: AWS Key Management Service (KMS) menyimpan dan merotasi kunci. Kode aplikasi tidak pernah menyentuh material kunci mentah. Kunci sandbox dan produksi sepenuhnya terpisah.
  • Hashing: kredensial pelanggan di-hash dengan fungsi adaptif standar industri (bcrypt atau yang setara). Kunci API disimpan sebagai hash satu arah; nilai mentah hanya ditampilkan kepada operator pada saat pembuatan.

5. Identitas, akses, dan arsitektur zero-trust

  • Zero-trust secara default, setiap permintaan ke setiap sistem internal diautentikasi dan diotorisasi. Tidak ada kepercayaan implisit berdasarkan lokasi jaringan.
  • Kontrol akses berbasis peran (RBAC) dengan prinsip hak istimewa paling sedikit. Tinjauan akses dilakukan setiap triwulan.
  • Autentikasi Multi-Faktor (MFA) wajib untuk setiap karyawan, setiap sistem produksi, setiap konsol cloud, dan setiap akun hosting kode.
  • Single Sign-On (SSO) untuk aplikasi internal, dengan MFA token perangkat keras untuk peran istimewa.
  • Akses Just-in-Time untuk produksi: akses istimewa yang tetap adalah pengecualian, bukan aturan.
  • Pencatatan audit, setiap tindakan istimewa dicatat ke pipeline audit yang tahan perubahan, sekali tulis, yang disimpan setidaknya selama 12 bulan.

6. Residen data dan segregasi

  • Uni Eropa secara default. Data produksi diproses dan disimpan di Uni Eropa di Amazon Web Services. Residen khusus wilayah atau di dalam negeri tersedia pada kontrak Enterprise, tergantung ketersediaan, untuk yurisdiksi yang regulatornya mensyaratkan hal tersebut.
  • Pemisahan lingkungan. Sandbox, staging, dan produksi diisolasi pada lapisan jaringan, identitas, dan manajemen kunci. Tidak ada manusia atau layanan di satu lingkungan yang dapat membaca data di lingkungan lain tanpa jalur akses eksplisit yang diaudit.
  • Pemisahan tenant. Data multi-tenant dipisahkan secara logis dengan kunci enkripsi per-tenant jika berlaku. Kueri lintas-tenant diblokir pada lapisan aplikasi dan database.

7. Siklus hidup pengembangan yang aman (SDLC)

  • Tinjauan kode diperlukan untuk setiap perubahan produksi. Tidak ada satu insinyur pun yang dapat menggabungkan kode yang tidak ditinjau ke produksi.
  • Pengujian Keamanan Aplikasi Statis (SAST), pemindaian dependensi, dan Analisis Komposisi Perangkat Lunak (SCA) berjalan secara otomatis pada setiap pull request.
  • Pemindaian kontainer dan infrastruktur pada setiap build dan pada jadwal berulang untuk gambar yang di-deploy.
  • Pengujian keamanan pra-produksi untuk perubahan berdampak tinggi (autentikasi, manajemen kunci, pipeline biometrik, alur pembayaran).
  • Pengujian penetrasi internal secara berkelanjutan; pengujian penetrasi eksternal setidaknya sekali setahun oleh spesialis independen. Temuan material dilacak hingga selesai sesuai jadwal yang terikat SLA.
  • Saluran bug-bounty / pengungkapan yang bertanggung jawab, laporkan masalah keamanan ke security@didit.me.

8. Manajemen kerentanan

  • SLA patching berdasarkan tingkat keparahan, kritis (dalam 72 jam setelah pengungkapan vendor), tinggi (dalam 7 hari), sedang (dalam 30 hari), rendah (dalam 90 hari).
  • Pemindaian kerentanan berkelanjutan di seluruh infrastruktur produksi, kontainer, dan dependensi.
  • Pemodelan ancaman untuk permukaan produk baru, pipeline biometrik, dan integrasi lintas-lingkungan.

9. Pemantauan, deteksi, dan respons insiden

  • Pemantauan 24x7 setiap sistem produksi dengan peringatan pada sinyal ketersediaan, kesalahan, dan keamanan.
  • Security Information and Event Management (SIEM) mengumpulkan dan mengorelasikan peristiwa keamanan; pola abnormal ditingkatkan ke insinyur keamanan on-call.
  • Rencana Respons Insiden yang didokumentasikan dengan peran yang ditunjuk, pohon komunikasi, matriks tingkat keparahan, dan proses peninjauan pasca-insiden. Rencana tersebut diuji setidaknya setiap tahun melalui latihan meja.
  • Pemberitahuan pelanggaran data pribadi. Didit memberitahukan pelanggan yang terkena dampak tanpa penundaan yang tidak semestinya dan dalam hal apa pun tepat waktu untuk memungkinkan pelanggan memenuhi kewajiban pemberitahuan 72 jam mereka berdasarkan Pasal 33 Peraturan Perlindungan Data Umum (GDPR). Pelanggan Enterprise menerima insinyur yang ditunjuk yang siaga dan saluran komunikasi khusus.
  • Halaman status publik di status.didit.me, setiap insiden produksi, setiap post-mortem, tidak perlu login.

10. Kelangsungan bisnis dan pemulihan bencana

  • Redundansi aktif Multi-AZ di setiap wilayah produksi; failover otomatis untuk layanan tanpa status.
  • Cadangan dienkripsi, dipisahkan secara geografis dalam batas residensi yang dipilih, dan diuji sesuai jadwal berulang.
  • Recovery Point Objective (RPO) ≤ 1 jam dan Recovery Time Objective (RTO) ≤ 4 jam untuk API verifikasi inti dan Business Console.
  • Pengujian Pemulihan Bencana (DR) setidaknya setiap tahun.

11. Keamanan personel

  • Pemeriksaan latar belakang pada setiap karyawan dan setiap kontraktor dengan akses ke data produksi atau data pribadi, jika diizinkan oleh hukum yang berlaku.
  • Perjanjian kerahasiaan saat perekrutan untuk setiap karyawan dan kontraktor.
  • Pelatihan keamanan dan privasi wajib saat onboarding dan diperbarui setidaknya setiap tahun untuk setiap karyawan. Pelatihan yang ditargetkan (pengkodean aman, penanganan data biometrik, anti-penipuan, anti-pencucian uang) untuk peran yang membutuhkannya.
  • Simulasi phishing pada jadwal berulang.
  • Proses joiner / mover / leaver mencabut akses dalam waktu 24 jam setelah perubahan peran atau keberangkatan.

12. Manajemen vendor dan sub-pemroses

  • Setiap sub-pemroses dinilai risikonya sebelum onboarding dan ditinjau ulang setidaknya setiap tahun.
  • Setiap sub-pemroses menandatangani Perjanjian Pemrosesan Data (DPA) yang memberlakukan kewajiban perlindungan data yang secara substansial serupa dengan yang Didit berikan kepada pelanggannya sendiri.
  • Daftar sub-pemroses saat ini dibagikan kepada pelanggan dan calon pelanggan melalui email setelah Perjanjian Non-Pengungkapan (NDA) ditandatangani. Kirim email ke security@didit.me untuk memintanya. Pelanggan yang berlangganan pemberitahuan perubahan sub-pemroses akan diberitahu melalui email dengan pemberitahuan awal yang cukup untuk mengajukan keberatan.

13. Hak subjek data dan penghapusan

  • Hak akses dan portabilitas, `GET /v3/sessions/:session_id/decision/`.
  • Hak untuk dihapus, `POST /v3/sessions/:session_id/delete/`. Menghapus sesi dan setiap artefak yang terhubung di setiap replika.
  • Retensi per-aplikasi dapat dikonfigurasi di Business Console antara 30 hari dan 10 tahun; defaultnya tidak terbatas kecuali pelanggan mengonfigurasi periode yang lebih pendek. Retensi data biometrik dalam setiap kasus tunduk pada, dan dibatasi oleh, undang-undang dan peraturan privasi biometrik yang berlaku, termasuk Peraturan Perlindungan Data Umum (GDPR) Pasal 9 UE, Illinois Biometric Information Privacy Act (BIPA), Texas Capture or Use of Biometric Identifier Act (CUBI), Washington H.B. 1493, dan undang-undang privasi biometrik lain yang berlaku; jika undang-undang tersebut menetapkan periode retensi yang lebih pendek atau kewajiban penghancuran yang lebih awal, aturan yang lebih pendek atau lebih ketat itu akan berlaku di atas periode retensi default atau yang dikonfigurasi pelanggan.
  • Lihat Kebijakan Privasi dan Pemberitahuan Privasi Verifikasi untuk proses hak subjek data lengkap.

14. Melaporkan masalah keamanan

Jika Anda yakin telah menemukan kerentanan keamanan dalam produk atau layanan Didit apa pun, kirim email ke security@didit.me dengan deskripsi, langkah-langkah reproduksi, dan dampak yang Anda amati. Didit mengakui laporan keamanan dalam waktu 2 hari kerja dan bekerja dengan itikad baik dengan pelapor yang mengikuti praktik pengungkapan yang bertanggung jawab.

15. Kontak

Jika Anda memiliki pertanyaan tentang pemberitahuan ini, hubungi:

Didit Identity Spain, S.L., CIF B22929327 · Calle Nápoles 227, P. 1, 08013 Barcelona, Spain
Didit Identity, Inc., EIN 39-2860573 · 1111B S Governors Ave STE 34855, Dover, Delaware 19904, United States
© 2026 Didit · legal@didit.me · privacy@didit.me · security@didit.me · didit.me/terms/information-security

Ada pertanyaan tentang dokumen tertentu?

Email legal@didit.me, privacy@didit.me, atau security@didit.me, atau kirim pesan ke kami di WhatsApp. Kami akan mengarahkan Anda ke kontak yang tepat.

Hubungi kami
Minta AI untuk merangkum halaman ini