Apiframe Logo Apiframe
Home / Keamanan

Keamanan

Last updated: 27 November 2025

Terjemahan ini disediakan untuk kemudahan. Jika terjadi perbedaan antara terjemahan, versi bahasa Inggris akan berlaku dan mengikat secara hukum.

Keamanan adalah fundamental bagi semua yang kami bangun di Apiframe. Kami menerapkan langkah-langkah keamanan komprehensif untuk melindungi data Anda dan memastikan integritas platform kami.

Komitmen kami: Keamanan tingkat enterprise, enkripsi end-to-end, audit reguler, dan praktik transparan. Keamanan data Anda adalah prioritas kami.

1. Keamanan infrastructure

Cloud infrastructure

Platform kami dibangun di atas cloud infrastructure terdepan di industri dengan:

  • Data centers bersertifikat SOC 2 Type II
  • Redundansi geografis di beberapa region
  • SLA uptime 99.9%
  • Failover otomatis dan disaster recovery
  • Perlindungan dan mitigasi DDoS

Keamanan jaringan

Kami melindungi jaringan kami melalui:

  • Web Application Firewall (WAF)
  • Sistem deteksi dan pencegahan intrusi
  • Segmentasi dan isolasi jaringan
  • Pemindaian kerentanan reguler
  • Monitoring dan alerting 24/7

2. Enkripsi data

Dalam transit

Semua data yang dikirim ke dan dari layanan kami dienkripsi menggunakan TLS 1.3 dengan cipher suites yang kuat. Kami menegakkan HTTPS untuk semua koneksi dan menerapkan HSTS (HTTP Strict Transport Security).

Saat disimpan

Data yang disimpan di sistem kami dienkripsi menggunakan enkripsi AES-256. Kunci enkripsi dikelola melalui layanan manajemen kunci yang aman dengan rotation otomatis.

Jenis data Metode enkripsi Manajemen kunci
API Traffic TLS 1.3 Rotation otomatis
Database AES-256 Dikelola KMS
Backups AES-256 Kunci terpisah
API Keys Hash Argon2id Salt per-user

3. Authentication & kontrol akses

Authentication pengguna

  • Persyaratan password aman dengan bcrypt hashing
  • Dukungan two-factor authentication (2FA)
  • Manajemen session dengan tokens aman
  • Expiration session otomatis
  • Rate limiting untuk percobaan login

Authentication API

  • API keys unik per user/project
  • Key scoping dan permissions
  • Request signing untuk operasi sensitif
  • IP allowlisting (opsional)
  • Key rotation tanpa downtime

Akses internal

Akses karyawan ke sistem production mengikuti prinsip least privilege. Semua akses memerlukan multi-factor authentication dan dicatat untuk tujuan audit.

4. Keamanan aplikasi

Pengembangan aman

Praktik pengembangan kami mencakup:

  • Code reviews yang fokus pada keamanan
  • Security scanning otomatis (SAST/DAST)
  • Monitoring kerentanan dependency
  • CI/CD pipelines yang aman
  • Pelatihan keamanan reguler untuk developers

Perlindungan OWASP Top 10

Kami secara aktif melindungi terhadap kerentanan web umum termasuk injection attacks, broken authentication, XSS, CSRF, dan risiko OWASP Top 10 lainnya.

5. Kepatuhan

Kami mempertahankan kepatuhan terhadap standar dan regulasi industri:

Standar Status Deskripsi
SOC 2 Type II Compliant Keamanan, ketersediaan, integritas pemrosesan
GDPR Compliant Regulasi perlindungan data EU
CCPA Compliant Privasi konsumen California
ISO 27001 Sedang berlangsung Manajemen keamanan informasi

6. Testing keamanan

Penetration testing

Kami melakukan penetration test tahunan yang dilakukan oleh perusahaan keamanan pihak ketiga independen. Temuan kritis ditangani segera, dengan perbaikan penuh yang dilacak dan diverifikasi.

Program Bug Bounty

Kami mempertahankan program responsible disclosure untuk peneliti keamanan. Jika Anda menemukan kerentanan keamanan, silakan laporkan ke [email protected].

Responsible Disclosure: Kami menghargai peneliti keamanan yang membantu kami mempertahankan keamanan platform. Laporan yang valid mungkin memenuhi syarat untuk pengakuan dan rewards.

7. Respons insiden

Program respons insiden kami mencakup:

  • Security monitoring dan alerting 24/7
  • Prosedur respons insiden yang terdokumentasi
  • Tim respons insiden khusus
  • Notifikasi pelanggan dalam 72 jam setelah pelanggaran dikonfirmasi
  • Analisis pasca-insiden dan perbaikan

8. Privasi & penyimpanan data

Minimalisasi data

Kami hanya mengumpulkan dan menyimpan data yang diperlukan untuk menyediakan layanan kami. Konten yang dihasilkan tidak disimpan secara default—outputs dikembalikan langsung kepada Anda dan tidak disimpan di sistem kami.

Penyimpanan data

  • API logs: 90 hari
  • Data akun: Durasi akun + 30 hari
  • Konten yang dihasilkan: Tidak disimpan (kecuali opted in)
  • Catatan penagihan: Sesuai yang diwajibkan oleh hukum

Penghapusan data

Anda dapat meminta penghapusan data pribadi Anda kapan saja. Setelah penghapusan akun, kami menghapus semua data terkait dalam 30 hari, kecuali jika penyimpanan diperlukan untuk tujuan hukum atau kepatuhan.

9. Keamanan pihak ketiga

Kami dengan hati-hati memeriksa semua layanan pihak ketiga dan penyedia AI model. Assessment keamanan vendor kami mencakup:

  • Kuesioner keamanan dan tinjauan dokumentasi
  • Verifikasi sertifikasi kepatuhan
  • Perjanjian pemrosesan data
  • Penilaian ulang reguler

10. Kelangsungan bisnis

Langkah-langkah business continuity kami memastikan keandalan layanan:

  • Backups otomatis dengan redundansi geografis
  • Testing disaster recovery
  • Kemampuan deployment multi-region
  • Objektif RTO dan RPO yang telah ditentukan

Kontak keamanan

Untuk pertanyaan terkait keamanan atau melaporkan kerentanan:

Untuk support umum, silakan kunjungi halaman kontak kami atau hubungi [email protected].