Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Melihat profil keamanan produk dengan AWS Marketplace Vendor Insights
AWS Marketplace Vendor Insights mengumpulkan data keamanan dari penjual. Profil keamanan produk menampilkan informasi terbaru tentang keamanan produk, ketahanan, kepatuhan, dan faktor lain yang diperlukan untuk penilaian Anda. Informasi ini mendukung pembeli seperti Anda dengan membantu Anda mendapatkan perangkat lunak tepercaya yang terus memenuhi standar industri. Untuk setiap produk perangkat lunak sebagai layanan (SaaS) yang dinilai, AWS Marketplace Vendor Insights mengumpulkan informasi berbasis bukti untuk beberapa kontrol keamanan.
Topik
Dasbor dalam Wawasan AWS Marketplace Vendor
Dasbor menyajikan artefak kepatuhan dan informasi kontrol keamanan untuk produk perangkat lunak yang dikumpulkan oleh AWS Marketplace Vendor Insights. Informasi berbasis bukti untuk semua kategori kontrol keamanan disediakan seperti perubahan residensi data atau kedaluwarsa sertifikasi. Dasbor konsolidasi memberikan perubahan informasi kepatuhan. AWS Marketplace Vendor Insights menghilangkan kebutuhan Anda untuk membuat kuesioner tambahan dan menggunakan perangkat lunak penilaian risiko. Dengan dasbor yang diperbarui dan divalidasi secara konsisten, Anda dapat terus memantau kontrol keamanan perangkat lunak setelah pengadaan.
Melihat profil keamanan produk SaaS
AWS Marketplace Vendor Insights membantu Anda membuat keputusan tentang perangkat lunak penjual. AWS Marketplace Vendor Insights mengekstrak data dari informasi berbasis bukti penjual di 10 kategori kontrol dan beberapa kontrol. Anda dapat melihat profil dan informasi ringkasan untuk produk SaaS di dasbor atau memilih kategori kontrol untuk mempelajari lebih lanjut tentang data yang dikumpulkan. Anda harus berlangganan produk dan diberikan akses untuk melihat informasi kepatuhan melalui profil.
-
Masuk ke AWS Management Console dan buka AWS Marketplace konsol
. -
Pilih Wawasan Vendor.
-
Dari Vendor Insights, pilih produk.
-
Pada halaman Detail profil, pilih tab Keamanan dan kepatuhan.
catatan
Angka dalam lingkaran merah menunjukkan jumlah kontrol yang tidak sesuai.
-
Untuk kategori Kontrol, pilih teks di bawah salah satu kategori yang tercantum untuk melihat informasi selengkapnya.
-
Pilih nama kontrol pertama (Apakah Anda memiliki kebijakan/prosedur untuk memastikan kepatuhan terhadap persyaratan legislatif, peraturan, dan kontrak yang berlaku? ).
-
Baca informasi yang disajikan. Anda juga dapat melihat laporan dari laporan AWS Artifact pihak ketiga atau melihat pengecualian dari auditor.
-
Pilih nama produk pada navigasi di atas untuk kembali ke halaman Detail produk.
-
Memahami kategori kontrol
AWS Marketplace Vendor Insights memberi Anda informasi berbasis bukti dari beberapa kontrol dalam 10 kategori kontrol. AWS Marketplace Vendor Insights mengumpulkan informasi dari tiga sumber: akun produksi vendor, penilaian mandiri vendor, dan laporan ISO 27001 dan SOC 2 Tipe II vendor. Untuk informasi lebih lanjut tentang sumber-sumber ini, lihatAWS Marketplace Wawasan Vendor.
Daftar berikut memberikan deskripsi dari setiap kategori kontrol:
- Manajemen akses
-
Mengidentifikasi, melacak, mengelola, dan mengontrol akses ke sistem atau aplikasi.
- Keamanan aplikasi
-
Memverifikasi apakah keamanan dimasukkan ke dalam aplikasi saat merancang, mengembangkan, dan mengujinya.
- Audit, kepatuhan, dan kebijakan keamanan
-
Mengevaluasi kepatuhan organisasi terhadap persyaratan peraturan.
- Ketahanan dan kontinuitas bisnis
-
Mengevaluasi kemampuan organisasi untuk cepat beradaptasi dengan gangguan sambil mempertahankan kelangsungan bisnis.
- Keamanan data
-
Melindungi data dan aset.
- Keamanan perangkat pengguna akhir
-
Melindungi perangkat pengguna akhir portabel dan jaringan yang terhubung dari ancaman dan kerentanan.
- Sumber daya manusia
-
Mengevaluasi divisi terkait karyawan untuk penanganan data sensitif selama proses seperti mempekerjakan, membayar, dan memberhentikan karyawan.
- Keamanan infrastruktur
-
Melindungi aset penting dari ancaman dan kerentanan.
- Manajemen risiko dan respons insiden
-
Mengevaluasi tingkat risiko yang dianggap dapat diterima dan langkah-langkah yang diambil untuk menanggapi risiko dan serangan.
- Kebijakan keamanan dan konfigurasi
-
Mengevaluasi kebijakan keamanan dan konfigurasi keamanan yang melindungi aset organisasi.
Set kategori kontrol
Tabel berikut memberikan informasi rinci untuk setiap kategori dengan informasi tentang nilai untuk setiap kategori yang dikumpulkan. Daftar berikut menjelaskan jenis informasi dalam setiap kolom tabel:
-
Set kontrol — Kontrol ditetapkan ke set kontrol, dan setiap kontrol mencerminkan fungsi keamanan kategorinya. Setiap kategori memiliki beberapa set kontrol.
-
Nama kontrol — Nama kebijakan atau prosedur. “Memerlukan pengesahan manual” berarti konfirmasi tertulis atau dokumentasi kebijakan atau prosedur diperlukan.
-
Deskripsi kontrol — Pertanyaan, informasi, atau dokumentasi yang diperlukan tentang kebijakan atau prosedur ini.
-
Detail ekstraksi bukti — Informasi dan konteks yang diperlukan tentang kontrol untuk mendapatkan lebih lanjut data yang diperlukan untuk kategori ini.
-
Nilai sampel — Contoh yang diberikan untuk panduan tentang seperti apa nilai kepatuhan untuk kategori ini sehingga sesuai dengan standar peraturan.
Topik
Kontrol manajemen akses
Kontrol manajemen akses mengidentifikasi, melacak, mengelola, dan mengontrol akses ke sistem atau aplikasi. Tabel ini mencantumkan nilai dan deskripsi untuk kontrol manajemen akses.
| Set kontrol | Judul kontrol | Deskripsi kontrol | Detail ekstraksi bukti | Nilai sampel |
|---|---|---|---|---|
| Otentikasi aman |
Access Management 3.1.1 - Otentikasi Aman - Data Pribadi di UserId (Memerlukan pengesahan manual) |
Apakah Anda memerlukan data pribadi (selain nama atau alamat email) di ID pengguna? |
Tentukan apakah data pribadi, selain nama atau alamat email, diperlukan sebagai bagian dari pengenal pengguna. Jika ya, data apa yang akan digunakan? Untuk apa use case itu digunakan? |
Tidak |
|
Access Management 3.1.2 - Otentikasi Aman - Aplikasi Mendukung Otentikasi Dua Faktor (Memerlukan pengesahan manual) |
Apakah aplikasi mendukung otentikasi dua faktor? |
Tentukan apakah otentikasi dua faktor dapat digunakan dengan aplikasi. Jika ya, alat apa yang bisa digunakan? |
Ya |
|
|
Access Management 3.1.3 - Otentikasi Aman - Penguncian Akun (Memerlukan pengesahan manual) |
Apakah akun pelanggan terkunci jika ada beberapa login yang gagal? |
Tentukan apakah penguncian akun diaktifkan jika ada beberapa login yang gagal. Jika ya, tentukan jumlah percobaan setelah itu akun akan dikunci. |
Ya. Akun dikunci setelah 5 login gagal. |
|
|
Manajemen kredensi |
Access Management 3.2.1 - Manajemen Kredensi - Kebijakan Kata Sandi |
Apakah aplikasi memiliki kebijakan kata sandi yang kuat? |
Tentukan apakah kebijakan kata sandi yang kuat (misalnya, RequireUppercaseCharacters, RequireSymbols, atau PasswordReusePrevention ) hadir. |
Ya |
|
Access Management 3.2.2 - Manajemen Kredensi - Enkripsi Kata Sandi |
Apakah kebijakan kata sandi memerlukan kredensi masuk (kata sandi dan ID pengguna) untuk dienkripsi dalam perjalanan dan di-hash dengan salt saat disimpan? |
Tentukan apakah kredensil (kata sandi dan ID pengguna) dienkripsi dalam perjalanan dan, saat disimpan, jika kata sandi di-hash dengan garam. Jika ya, dapatkah Anda memberikan detail lebih lanjut? |
Ya, Kami menggunakan kode untuk garam dengan benar. |
|
|
Access Management 3.2.3 - Manajemen Kredensi - Manajemen Rahasia |
Apakah Anda menggunakan layanan manajemen rahasia? |
Tentukan apakah ada dinas manajemen rahasia di tempat. Jika ya, dapatkah Anda memberikan detail lebih lanjut? |
Ya. Semua kredensil disimpan dalam dinas manajemen rahasia. Mereka diputar secara berkala. |
|
|
Access Management 3.2.4 - Manajemen Kredensyal - Kredensyal dalam Kode (Memerlukan pengesahan manual) |
Apakah kredensil termasuk dalam kode? |
Tentukan apakah kredensil disertakan dalam kode. Jika ya, dapatkah Anda memberikan detail lebih lanjut? |
Tidak |
|
|
Akses ke lingkungan produksi |
Access Management 3.3.1 - Akses ke Lingkungan Produksi - Single Sign-on (Memerlukan pengesahan manual) |
Apakah SSO diaktifkan untuk mengakses lingkungan produksi? |
Tentukan apakah SSO dapat digunakan dengan aplikasi. Jika ya, alat apa yang digunakan untuk SSO? |
Ya, Duo SSO |
|
Access Management 3.3.2 - Akses ke Lingkungan Produksi - Otentikasi Dua Faktor |
Apakah otentikasi dua faktor diperlukan untuk mengakses lingkungan produksi atau host? |
Tentukan apakah otentikasi dua faktor (2FA) diperlukan untuk akses ke lingkungan produksi. Jika ya, alat apa yang digunakan untuk 2FA? |
Ya, Yubikey |
|
|
Access Management 3.3.3 - Akses ke Lingkungan Produksi - Pengguna Root (Memerlukan pengesahan manual) |
Apakah pengguna root hanya digunakan dengan pengecualian untuk mengakses lingkungan produksi? |
Tentukan bahwa pengguna root hanya digunakan dengan pengecualian. Jika ya, dapatkah Anda menetapkan kasus yang akan digunakan? |
Ya. Pengguna root hanya digunakan untuk tujuan manajemen perangkat. Semua akses tersebut dicatat dan dipantau. |
|
|
Manajemen Akses 3.3.4 - Akses ke Lingkungan Produksi - MFA Pengguna Root |
Apakah pengguna root memerlukan otentikasi multi-faktor (MFA)? |
Tentukan apakah masuk sebagai pengguna root memerlukan otentikasi multi-faktor. Jika ya, alat apa yang digunakan untuk MFA? |
Ya. Pengguna root diharuskan menggunakan MFA untuk masuk. Kredensyal root mereka berbeda dari kredensyal perusahaan normal mereka. |
|
|
Access Management 3.3.5 - Akses ke Lingkungan Produksi - Akses Jarak Jauh |
Apakah akses jarak jauh ke lingkungan produksi diamankan menggunakan mekanisme seperti saluran terenkripsi atau otentikasi berbasis kunci? |
Jika aplikasi mengizinkan akses jarak jauh, tentukan apakah aksesnya aman (misalnya, apakah otentikasi berbasis kunci akan digunakan dan akankah komunikasi dilakukan melalui saluran terenkripsi?) |
Ya. Akses jarak jauh digunakan untuk tujuan manajemen perangkat. Kami memerlukan MFA melalui saluran kriptografi yang disetujui saat mengakses lingkungan produksi dari jarak jauh. |
|
| Kebijakan kontrol akses |
Access Management 3.4.1 - Kebijakan Kontrol Akses - Akses Hak Istimewa Terkecil |
Apakah Anda mengikuti kebijakan akses hak istimewa terkecil bagi pengguna untuk mengakses lingkungan produksi? |
Tentukan apakah hak istimewa paling sedikit diberikan kepada pengguna. Jika tidak, bagaimana Anda mengontrol akses? |
Ya |
|
Access Management 3.4.2 - Kebijakan Kontrol Akses - Tinjauan Kebijakan Akses |
Apakah semua kebijakan akses di lingkungan produksi ditinjau secara teratur? |
Tentukan apakah semua kebijakan akses ditinjau secara teratur. Jika ya, berikan rincian tentang seberapa sering kebijakan ditinjau. |
Ya. Semua kebijakan akses ditinjau setiap 3 bulan. |
|
|
Access Management 3.4.3 - Kebijakan Kontrol Akses - Konfigurasi Kebijakan Pengguna dan Keamanan (Memerlukan pengesahan manual) |
Apakah aplikasi memungkinkan pelanggan untuk mengonfigurasi pengguna dan hak istimewa mereka? |
Tentukan apakah pelanggan dapat mengonfigurasi pengguna (dari pelanggan dan vendor) yang akan memiliki akses ke lingkungan mereka. |
Ya |
|
|
Access Management 3.4.4 - Kebijakan Kontrol Akses - Segmentasi Logis (Memerlukan pengesahan manual) |
Apakah ada segmentasi logis pengguna aplikasi? |
Tentukan apakah ada segmentasi logis pengguna. |
Ya |
|
|
Access Management 3.4.5 - Kebijakan Kontrol Akses - Tinjauan Akses pada Pengakhiran |
Apakah semua kebijakan akses yang relevan diperbarui pada saat pemutusan hubungan kerja atau perubahan peran? |
Tentukan apakah kebijakan akses dihapus atau diperbarui setelah pemutusan hubungan kerja karyawan, atau perubahan peran. |
Ya |
|
| Akses log |
Manajemen Akses 3.5.1 - Log Akses |
Apakah Anda mencatat aktivitas yang dilakukan oleh pengguna individu di lingkungan produksi? |
Tentukan apakah tindakan dan aktivitas pengguna (karyawan atau pelanggan) di lingkungan produksi dicatat. Jika ya, berapa lama log disimpan? |
Ya. Log disimpan selama satu tahun. |
Kontrol keamanan aplikasi
Kontrol keamanan aplikasi memverifikasi apakah keamanan dimasukkan ke dalam aplikasi saat merancang, mengembangkan, dan mengujinya. Tabel ini mencantumkan nilai dan deskripsi untuk kontrol kebijakan keamanan aplikasi.
| Set kontrol | Judul kontrol | Deskripsi kontrol | Detail ekstraksi bukti | Nilai sampel |
|---|---|---|---|---|
|
Siklus hidup pengembangan perangkat lunak yang aman |
Keamanan Aplikasi 4.1.1 - Siklus Hidup Pengembangan Perangkat Lunak Aman - Lingkungan Terpisah |
Apakah lingkungan pengembangan, pengujian, dan pementasan terpisah dari lingkungan produksi? |
Tentukan apakah lingkungan pengembangan, pengujian, dan pementasan terpisah dari lingkungan produksi. |
Ya |
|
Keamanan Aplikasi 4.1.2 - Siklus Hidup Pengembangan Perangkat Lunak Aman - Praktik Pengkodean Aman |
Apakah insinyur keamanan bekerja dengan pengembang dalam praktik keamanan? |
Tentukan apakah pengembang dan insinyur keamanan bekerja sama dalam praktik pengkodean yang aman. |
Ya |
|
|
Keamanan Aplikasi 4.1.3 - Siklus Hidup Pengembangan Perangkat Lunak Aman - Penggunaan Data Pelanggan di Lingkungan Pengujian (Memerlukan pengesahan manual) |
Apakah data pelanggan pernah digunakan dalam pengujian, pengembangan, atau lingkungan QA? |
Apakah data pelanggan pernah digunakan dalam pengujian, pengembangan, atau lingkungan QA? Jika ya, data apa yang digunakan dan digunakan untuk apa? |
Tidak |
|
|
Keamanan Aplikasi 4.1.4 - Siklus Hidup Pengembangan Perangkat Lunak Aman - Koneksi Aman |
Apakah SSL/TLS diaktifkan untuk semua halaman web dan komunikasi yang menggunakan data pelanggan? |
Tentukan apakah koneksi aman (seperti SSL/TLS) digunakan untuk semua komunikasi dengan data pelanggan. |
Ya |
|
|
Keamanan Aplikasi 4.1.5 - Siklus Hidup Pengembangan Perangkat Lunak Aman - Image Backup |
Apakah snapshot gambar aplikasi dicadangkan? |
Tentukan apakah snapshot gambar (seperti sistem yang mendukung aplikasi dan sistem hosting data pelanggan) dicadangkan. Jika ya, apakah ada proses untuk memastikan bahwa snapshot gambar yang berisi data cakupan diotorisasi sebelum diambil? Apakah kontrol akses diterapkan untuk snapshot gambar? |
Ya. Gambar didukung dengan persetujuan pelanggan dan manajemen. |
|
| Tinjauan keamanan aplikasi |
Keamanan Aplikasi 4.2.1 - Tinjauan Keamanan Aplikasi - Tinjauan Kode Aman |
Apakah peninjauan kode aman dilakukan sebelum setiap rilis? |
Tentukan apakah peninjauan kode keamanan dilakukan sebelum setiap rilis. |
Ya |
|
Keamanan Aplikasi 4.2.2 - Tinjauan Keamanan Aplikasi - Uji Penetrasi |
Apakah tes penetrasi dilakukan? Bisakah kita mendapatkan laporan pengujian penetrasi? |
Tentukan apakah tes penetrasi dilakukan pada aplikasi. Jika ya, dapatkah Anda membagikan 3 laporan terakhir sebagai bukti manual? |
Ya |
|
|
Keamanan Aplikasi 4.2.3 - Tinjauan Keamanan Aplikasi - Patch Keamanan |
Apakah semua patch keamanan berisiko tinggi yang tersedia diterapkan dan diverifikasi secara teratur? |
Tentukan apakah patch keamanan berisiko tinggi diterapkan secara teratur. Jika ya, seberapa sering mereka diterapkan? |
Ya. Patch keamanan diterapkan setiap bulan. |
|
|
Keamanan Aplikasi 4.2.4 - Tinjauan Keamanan Aplikasi - Pemindaian Kerentanan pada Aplikasi |
Apakah pemindaian kerentanan dilakukan terhadap semua aplikasi yang menghadap ke internet secara teratur dan setelah perubahan signifikan? |
Tentukan apakah pemindaian kerentanan dilakukan pada semua aplikasi yang menghadap ke internet. Jika ya, seberapa sering pemindaian kerentanan dilakukan? Bisakah kita mendapatkan salinan laporannya? |
Ya. Pemindaian kerentanan dilakukan setiap bulan. |
|
|
Keamanan Aplikasi 4.2.5 - Tinjauan Keamanan Aplikasi - Manajemen Ancaman dan Kerentanan |
Apakah ada proses untuk mengelola alat penilaian ancaman dan kerentanan dan data yang mereka kumpulkan? |
Tentukan apakah ada proses untuk mengelola alat penilaian ancaman dan kerentanan serta temuannya. Bisakah Anda memberikan rincian lebih lanjut tentang bagaimana ancaman dan kerentanan dikelola? |
Ya. Semua ancaman dan kerentanan dari berbagai sumber dikumpulkan dalam satu portal. Mereka dikelola oleh tingkat keparahan. |
|
|
Keamanan Aplikasi 4.2.6 - Tinjauan Keamanan Aplikasi - Pemindaian Anti Malware |
Apakah pemindaian anti-malware dilakukan terhadap jaringan dan sistem yang menghosting aplikasi secara teratur? |
Tentukan apakah pemindaian anti-malware dilakukan terhadap jaringan dan sistem yang menghosting aplikasi. Jika ya, seberapa sering dilakukan? Bisakah Anda memberikan laporannya? |
Ya. Pemindaian anti-malware dilakukan setiap bulan. |
|
| Log aplikasi |
Keamanan Aplikasi 4.3.1 - Log Aplikasi - Log Aplikasi |
Apakah log aplikasi dikumpulkan dan ditinjau? |
Tentukan apakah log aplikasi dikumpulkan dan ditinjau. Jika ya, berapa lama log disimpan? |
Ya. Log disimpan selama satu tahun. |
|
Keamanan Aplikasi 4.3.2 - Log Aplikasi - Akses ke Log |
Apakah log sistem operasi dan aplikasi dilindungi dari modifikasi, penghapusan, dan/atau akses yang tidak pantas? |
Tentukan apakah log sistem operasi dan aplikasi dilindungi dari modifikasi, penghapusan, dan/atau akses yang tidak pantas. Jika terjadi pelanggaran atau insiden, apakah Anda memiliki proses untuk mendeteksi hilangnya log aplikasi? |
Ya |
|
| Keamanan Aplikasi 4.3.3 - Log Aplikasi - Data yang Disimpan di Log (Memerlukan pengesahan manual) |
Apakah Anda menyimpan informasi identitas pribadi (PII) pelanggan dalam log? |
Tentukan apakah Anda menyimpan informasi identitas pribadi (PII) pelanggan dalam log. |
Tidak. Tidak ada data PII yang akan disimpan di log. |
|
| Ubah kebijakan kontrol |
Keamanan Aplikasi 4.4.1 - Kebijakan Kontrol Perubahan - Pengujian Fungsional dan Ketahanan |
Apakah pengujian fungsional dan ketahanan dilakukan sebelum merilis perubahan? |
Tentukan apakah pengujian fungsional dan ketahanan dilakukan pada aplikasi sebelum rilis baru. |
Ya |
|
Keamanan Aplikasi 4.4.2 - Kebijakan Pengendalian Perubahan - Prosedur Pengendalian Perubahan |
Apakah prosedur pengendalian perubahan diperlukan untuk semua perubahan lingkungan produksi? |
Tentukan apakah prosedur kontrol perubahan berlaku untuk semua perubahan yang dibuat di lingkungan produksi. |
Ya |
|
|
Keamanan Aplikasi 4.4.3 - Kebijakan Pengendalian Perubahan - Hindari Kesalahan Manusia/Risiko dalam Produksi |
Apakah Anda memiliki proses untuk memverifikasi bahwa kesalahan manusia dan risiko tidak didorong ke produksi? |
Tentukan bahwa ada proses untuk memverifikasi bahwa kesalahan manusia dan risiko tidak didorong ke dalam produksi. |
Ya |
|
|
Keamanan Aplikasi 4.4.4 - Ubah Kebijakan Kontrol - Perubahan Dokumen dan Log |
Apakah Anda mendokumentasikan dan mencatat perubahan yang dapat memengaruhi layanan? |
Tentukan apakah perubahan yang berdampak layanan didokumentasikan dan dicatat. Jika ya, berapa lama log disimpan? |
Ya |
|
|
Keamanan Aplikasi 4.4.5 - Kebijakan Kontrol Perubahan - Pemberitahuan Perubahan untuk Pembeli (Memerlukan pengesahan manual) |
Apakah ada proses formal untuk memastikan pelanggan diberi tahu sebelum perubahan dilakukan yang dapat memengaruhi layanan mereka? |
Tentukan apakah pelanggan akan diberi tahu sebelum melakukan perubahan yang dapat memengaruhi layanan mereka. Jika ya, apa SLA untuk memberi tahu pelanggan tentang perubahan yang berdampak? |
Ya. Kami memberi tahu pelanggan 90 hari sebelum memengaruhi perubahan. |
Kontrol audit dan kepatuhan
Kontrol audit dan kepatuhan mengevaluasi kepatuhan organisasi terhadap persyaratan peraturan. Tabel ini mencantumkan nilai dan deskripsi untuk audit dan kontrol kepatuhan.
| Set kontrol | Judul kontrol | Deskripsi kontrol | Detail ekstraksi bukti | Nilai sampel |
|---|---|---|---|---|
|
Sertifikasi selesai |
Audit dan Kepatuhan 1.1.1 - Sertifikasi Selesai (Memerlukan pengesahan manual) |
Daftar sertifikasi yang Anda miliki. |
Tentukan sertifikasi mana yang Anda miliki. |
SOC2ISO/IEC 27001 |
|
Sertifikasi sedang berlangsung |
Audit dan Kepatuhan 1.2.1 - Sertifikasi dalam Proses (Memerlukan pengesahan manual) |
Buat daftar sertifikat tambahan yang sedang berlangsung. |
Buat daftar sertifikat tambahan yang saat ini sedang diaudit atau ditinjau dengan perkiraan tanggal penyelesaian. |
Ya. Sertifikasi PCI sedang berlangsung (ETA Q2 2022). |
|
Prosedur memastikan kepatuhan |
Audit dan Kepatuhan 1.3.1 - Prosedur memastikan Kepatuhan - Prosedur memastikan Kepatuhan |
Apakah Anda memiliki kebijakan atau prosedur untuk memastikan kepatuhan terhadap persyaratan legislatif, peraturan, dan kontrak yang berlaku? |
Tentukan apakah Anda memiliki kebijakan atau prosedur untuk memastikan kepatuhan terhadap persyaratan legislatif, peraturan, dan kontrak yang berlaku. Jika ya, cantumkan detail tentang prosedur dan unggah bukti manual. |
Ya. Kami mengunggah dokumen seperti SOC2, ISO/IEC 27001. |
|
Audit dan Kepatuhan 1.3.2 - Prosedur memastikan Kepatuhan - Audit untuk Melacak Persyaratan Luar Biasa |
Apakah audit selesai untuk melacak persyaratan peraturan dan kepatuhan yang luar biasa? |
Tentukan apakah audit dilakukan untuk melacak persyaratan yang belum selesai. Jika ya, berikan detailnya. |
Ya, audit dilakukan setiap bulan untuk melacak persyaratan yang luar biasa. | |
|
Audit dan Kepatuhan 1.3.3 - Prosedur memastikan Kepatuhan - Penyimpangan dan Pengecualian (Memerlukan pengesahan manual) |
Apakah Anda memiliki proses untuk menangani penyimpangan dan pengecualian dari persyaratan kepatuhan? |
Tentukan apakah ada proses untuk menangani pengecualian atau penyimpangan dari persyaratan kepatuhan. Jika ya, berikan detailnya. |
Ya. Kami memiliki log penyimpangan dan alat pelaporan. Kami menyelidiki setiap pengecualian atau penyimpangan untuk mencegah terjadinya future. |
Kontrol ketahanan bisnis
Kontrol ketahanan bisnis mengevaluasi kemampuan organisasi untuk beradaptasi dengan cepat terhadap gangguan sambil mempertahankan kelangsungan bisnis. Tabel ini mencantumkan nilai dan deskripsi untuk kontrol kebijakan ketahanan bisnis.
| Set kontrol | Judul kontrol | Deskripsi kontrol | Detail ekstraksi bukti | Nilai sampel |
|---|---|---|---|---|
| Ketahanan bisnis |
Ketahanan dan Kontinuitas Bisnis 6.1.1 - Ketahanan Bisnis - Tes Failover (Memerlukan pengesahan manual) |
Apakah tes fail-over situs dilakukan setidaknya setiap tahun? |
Tentukan apakah tes fail-over dilakukan setiap tahun. Jika tidak, seberapa sering mereka dilakukan? |
Ya |
|
Ketahanan dan Kontinuitas Bisnis 6.1.2 - Ketahanan Bisnis - Analisis Dampak Bisnis (Memerlukan pengesahan manual) |
Apakah analisis dampak bisnis telah dilakukan? |
Tentukan apakah analisis dampak bisnis dilakukan. Jika ya, kapan terakhir selesai? Berikan rincian tentang analisis yang dilakukan. |
Ya. Analisis dampak bisnis diselesaikan 6 bulan yang lalu. |
|
|
Ketahanan dan Kontinuitas Bisnis 6.1.3 - Ketahanan Bisnis - Ketergantungan pada Vendor Pihak Ketiga (Memerlukan pengesahan manual) |
Apakah ada ketergantungan pada penyedia layanan pihak ketiga yang penting (selain penyedia layanan cloud)? |
Tentukan apakah ada ketergantungan pada vendor pihak ketiga (selain penyedia layanan cloud). Jika ya, dapatkah Anda memberikan rincian tentang vendor? |
Tidak |
|
|
Ketahanan dan Kontinuitas Bisnis 6.1.4 - Ketahanan Bisnis - Tes Kontinuitas dan Pemulihan Pihak Ketiga (Memerlukan pengesahan manual) |
Apakah Anda memerlukan vendor pihak ketiga untuk memiliki proses dan latihan pemulihan bencana mereka sendiri? |
Tentukan apakah vendor pihak ketiga harus memiliki proses dan latihan pemulihan bencana mereka sendiri. |
Tidak berlaku dalam sampel ini. |
|
|
Ketahanan dan Kontinuitas Bisnis 6.1.5 - Ketahanan Bisnis - Pelanggaran Kontrak Vendor Pihak Ketiga (Memerlukan pengesahan manual) |
Apakah kontrak dengan penyedia layanan penting menyertakan klausul penalti atau remediasi untuk pelanggaran ketersediaan dan kontinuitas Dijual dan Dikirim oleh Amazon (SSA)? |
Apakah klausul penalti atau remediasi untuk pelanggaran ketersediaan dan kontinuitas termasuk dalam kontrak dengan vendor pihak ketiga? |
Tidak berlaku dalam sampel ini. |
|
|
Ketahanan dan Kontinuitas Bisnis 6.1.6 - Ketahanan Bisnis - Health of the System |
Apakah Anda memiliki monitor atau peringatan untuk memahami kesehatan sistem? |
Tentukan apakah monitor atau peringatan tersedia untuk memahami kesehatan sistem. |
Ya |
|
|
Kelangsungan bisnis |
Ketahanan dan Kontinuitas Bisnis 6.2.1 - Kesinambungan Bisnis - Kebijakan/Prosedur Kelangsungan Bisnis |
Apakah prosedur kelangsungan bisnis formal dikembangkan dan didokumentasikan? |
Tentukan apakah prosedur formal dikembangkan dan dipelihara untuk kelangsungan bisnis. Jika ya, berikan detail lebih lanjut tentang prosedurnya. |
Ya |
|
Ketahanan dan Kontinuitas Bisnis 6.2.2 - Kesinambungan Bisnis - Strategi Respon dan Pemulihan |
Apakah strategi respons dan pemulihan spesifik ditentukan untuk kegiatan yang diprioritaskan? |
Tentukan apakah strategi pemulihan dan respons dikembangkan untuk aktivitas dan layanan pelanggan. |
Ya |
|
|
Ketahanan dan Kontinuitas Bisnis 6.2.3 - Kesinambungan Bisnis - Tes Kelangsungan Bisnis |
Apakah Anda melakukan tes pemulihan untuk memastikan kelangsungan bisnis? |
Tentukan apakah Anda melakukan tes pemulihan untuk memastikan kelangsungan bisnis jika terjadi kegagalan. |
Ya. Jika terjadi kegagalan, sistem untuk kelangsungan bisnis akan diaktifkan dalam waktu 2 jam. |
|
|
Ketahanan dan Kontinuitas Bisnis 6.2.4 - Kesinambungan Bisnis - Dampak Ketersediaan di Lingkungan Multi-Tenancy (Memerlukan pengesahan manual) |
Apakah Anda membatasi kemampuan pembeli untuk memaksakan beban yang dapat memengaruhi ketersediaan bagi pengguna lain dari sistem Anda? |
Tentukan apakah beban satu pembeli dapat memengaruhi ketersediaan untuk pembeli lain. Jika ya, berapa ambang batas yang tidak akan ada dampaknya? Jika tidak, dapatkah Anda memberikan rincian lebih lanjut tentang bagaimana Anda memastikan layanan tidak terpengaruh selama penggunaan puncak ke atas? |
Ya. Ambang batas tidak tersedia untuk sampel ini. |
|
| Ketersediaan aplikasi |
Ketahanan dan Kontinuitas Bisnis 6.3.1 - Ketersediaan Aplikasi - Catatan Ketersediaan (Memerlukan pengesahan manual) |
Apakah ada masalah signifikan terkait keandalan atau ketersediaan di tahun lalu? |
Tentukan apakah ada masalah signifikan terkait dengan keandalan atau ketersediaan pada tahun lalu. |
Tidak |
|
Ketahanan dan Kontinuitas Bisnis 6.3.2 - Ketersediaan Aplikasi - Jendela Pemeliharaan Terjadwal (Memerlukan pengesahan manual) |
Apakah downtime diharapkan selama pemeliharaan terjadwal? |
Tentukan apakah ada jendela pemeliharaan terjadwal di mana layanan mungkin mati. Jika ya, berapa lama downtime? |
Tidak |
|
|
Ketahanan dan Kontinuitas Bisnis 6.3.3 - Ketersediaan Aplikasi - Portal Insiden Online (Memerlukan pengesahan manual) |
Apakah ada portal status respons insiden online yang menguraikan pemadaman yang direncanakan dan tidak direncanakan? |
Tentukan apakah ada portal status insiden yang menguraikan pemadaman yang direncanakan dan tidak direncanakan. Jika ya, berikan rincian tentang bagaimana pelanggan dapat mengaksesnya. Berapa lama setelah pemadaman portal akan diperbarui? |
Ya. Pelanggan dapat mengakses detail melalui example.com. |
|
|
Ketahanan dan Kontinuitas Bisnis 6.3.4 - Ketersediaan Aplikasi - Tujuan Waktu Pemulihan (Memerlukan pengesahan manual) |
Apakah ada tujuan waktu pemulihan tertentu (RTO)? |
Tentukan apakah ada tujuan waktu pemulihan (RTO). Jika ya, dapatkah Anda memberikan RTO? |
Ya, RTO 2 jam. |
|
|
Ketahanan dan Kontinuitas Bisnis 6.3.5 - Ketersediaan Aplikasi - Tujuan Titik Pemulihan (Memerlukan pengesahan manual) |
Apakah ada tujuan titik pemulihan tertentu (RPO)? |
Tentukan apakah ada tujuan titik pemulihan (RPO). Jika ya, dapatkah Anda memberikan RPO? |
Ya, RPO 1 minggu. |
Kontrol keamanan data
Kontrol keamanan data melindungi data dan aset. Tabel ini mencantumkan nilai dan deskripsi untuk kontrol keamanan data.
| Set kontrol | Judul kontrol | Deskripsi kontrol | Detail ekstraksi bukti | Nilai sampel |
|---|---|---|---|---|
|
Data pelanggan tertelan |
Keamanan Data 2.1.1 - Data Pelanggan Tertelan (Memerlukan pengesahan manual) |
Buat daftar data yang dibutuhkan dari pelanggan untuk fungsionalitas produk. |
Jelaskan semua data yang dikonsumsi dari pelanggan. Tentukan apakah data sensitif atau rahasia dikonsumsi. |
Tidak ada data sensitif dan rahasia yang dikonsumsi. Produk ini hanya mengkonsumsi informasi yang tidak sensitif seperti log dari aplikasi, infrastruktur, dan. Layanan AWS(AWS CloudTrail, AWS Config, Log Aliran VPC) |
|
Lokasi penyimpanan data |
Keamanan Data 2.2.1 - Lokasi Penyimpanan Data (Memerlukan pengesahan manual) |
Di mana data pelanggan disimpan? Buat daftar negara dan wilayah tempat data disimpan. |
Tentukan daftar negara dan wilayah tempat data disimpan. |
Ohio (AS), Oregon (AS), Irlandia (UE) |
| Kontrol akses |
Keamanan Data 2.3.1 - Kontrol Akses - Akses Karyawan (Memerlukan pengesahan manual) |
Apakah karyawan memiliki akses ke data pelanggan yang tidak terenkripsi? |
Tentukan apakah karyawan memiliki akses ke data pelanggan yang tidak terenkripsi. Jika ya, jelaskan secara singkat mengapa mereka membutuhkan akses. Jika tidak, jelaskan secara singkat bagaimana Anda mengontrol akses. |
Tidak, semua data dienkripsi saat disimpan. Karyawan tidak akan memiliki akses ke data pelanggan tetapi hanya data tentang penggunaannya. |
|
Keamanan Data 2.3.2 - Kontrol Akses - Aplikasi Seluler (Memerlukan pengesahan manual) |
Dapatkah pelanggan mengakses data mereka melalui aplikasi seluler? |
Tentukan apakah pelanggan dapat mengakses data mereka menggunakan aplikasi seluler. Jika ya, berikan detail lebih lanjut. Bagaimana cara pelanggan masuk? Apakah kredensil di-cache oleh aplikasi? Seberapa sering token disegarkan? |
Tidak, layanan tidak dapat diakses menggunakan aplikasi seluler. |
|
|
Keamanan Data 2.3.3 - Kontrol Akses - Data Negara Ditransmisikan ke (Memerlukan pengesahan manual) |
Apakah data pelanggan dikirimkan ke negara-negara di luar asal? |
Apakah data pelanggan dikirimkan ke negara-negara di luar asal? Jika ya, tentukan daftar negara tempat data pelanggan dikirim atau diterima. |
Tidak |
|
|
Keamanan Data 2.3.4 - Kontrol Akses - Apakah Data Dibagikan dengan Vendor Pihak Ketiga (Memerlukan pengesahan manual) |
Apakah data pelanggan dibagikan dengan vendor pihak ketiga (selain penyedia layanan cloud)? |
Apakah data pelanggan dibagikan dengan vendor pihak ketiga? Jika ya, tentukan daftar vendor pihak ketiga dan negara atau Wilayah tempat Anda memberikan data pelanggan. |
Tidak |
|
|
Keamanan Data 2.3.5 - Kontrol Akses - Kebijakan Keamanan yang terkait dengan Vendor Pihak Ketiga |
Apakah Anda memiliki kebijakan atau prosedur untuk memastikan bahwa vendor pihak ketiga menjaga kerahasiaan, ketersediaan, dan integritas data pelanggan? |
Tentukan apakah Anda memiliki kebijakan atau prosedur untuk memastikan bahwa vendor pihak ketiga menjaga kerahasiaan, ketersediaan, dan integritas data pelanggan. Jika ya, unggah manual atau dokumen kebijakan atau prosedur. |
Tidak berlaku dalam sampel ini. |
|
|
Enkripsi data |
Keamanan Data 2.4.1 - Enkripsi Data - Enkripsi Data Saat Istirahat |
Apakah semua data dienkripsi saat istirahat? |
Tentukan apakah semua data dienkripsi saat istirahat. |
Ya |
|
Keamanan Data 2.4.2 - Enkripsi Data - Enkripsi Data dalam Transit |
Apakah semua data dienkripsi dalam perjalanan? |
Tentukan apakah semua data dienkripsi dalam perjalanan. |
Ya |
|
|
Keamanan Data 2.4.3 - Enkripsi Data - Algoritma Kuat (Memerlukan pengesahan manual) |
Apakah Anda menggunakan algoritma enkripsi yang kuat? |
Apakah Anda menggunakan algoritma enkripsi yang kuat? Jika ya, tentukan algoritma enkripsi apa (seperti, RSA, AES 256) yang digunakan. |
Ya. AES 256 digunakan untuk mengenkripsi data. |
|
|
Keamanan Data 2.4.4 - Enkripsi Data - Kunci Enkripsi Unik (Memerlukan pengesahan manual) |
Apakah pelanggan diberikan kemampuan untuk menghasilkan kunci enkripsi yang unik? |
Dapatkah pelanggan menyediakan atau membuat kunci enkripsi unik mereka sendiri? Jika ya, harap berikan detail lebih lanjut dan unggah bukti. |
Ya |
|
|
Keamanan Data 2.4.5 - Enkripsi Data - Akses Kunci Enkripsi (Memerlukan pengesahan manual) |
Apakah karyawan dicegah mengakses kunci enkripsi pelanggan? |
Tentukan apakah karyawan Anda dicegah mengakses kunci enkripsi pelanggan. Jika tidak, jelaskan mengapa mereka memiliki akses ke kunci pelanggan. Jika ya, jelaskan bagaimana akses dikontrol. |
Ya. Kunci kriptografi disimpan dengan aman dan diputar secara berkala. Karyawan tidak memiliki akses ke kunci ini. |
|
|
Penyimpanan & klasifikasi data |
Keamanan Data 2.5.1 - Penyimpanan & Klasifikasi Data - Cadangan Data |
Apakah Anda mencadangkan data pelanggan? |
Tentukan apakah Anda mencadangkan data pelanggan. Jika ya, jelaskan kebijakan pencadangan Anda (termasuk detail tentang seberapa sering pencadangan terjadi, tempat cadangan disimpan, enkripsi cadangan, dan redundansi.) |
Ya, backup dilakukan setiap tiga bulan sekali. Backup dienkripsi dan disimpan di wilayah yang sama dengan data pelanggan. Insinyur dukungan pelanggan memiliki akses untuk memulihkan cadangan tetapi tidak data dalam cadangan. |
|
Keamanan Data 2.5.2 - Penyimpanan & Klasifikasi Data - Kebijakan Kontrol Akses Data |
Apakah Anda menerapkan kontrol akses yang sesuai untuk data pelanggan yang disimpan? Berikan kebijakan kontrol akses Anda. |
Tentukan apakah kontrol akses yang sesuai (seperti RBAC) diimplementasikan untuk data pelanggan yang disimpan. Berikan rincian lebih lanjut dan bukti manual tentang bagaimana Anda mengontrol akses ke data. |
Ya. Kontrol akses hak istimewa paling sedikit diterapkan untuk membatasi akses ke data pelanggan. |
|
|
Keamanan Data 2.5.3 - Penyimpanan & Klasifikasi Data - Data Transaksi (Memerlukan pengesahan manual) |
Apakah rincian transaksi pelanggan (seperti informasi kartu pembayaran dan informasi tentang grup yang melakukan transaksi) disimpan di zona perimeter? |
Tentukan apakah rincian transaksi pelanggan (seperti informasi kartu pembayaran dan informasi tentang grup yang melakukan transaksi) akan disimpan di zona perimeter. Jika ya, jelaskan mengapa perlu disimpan di zona perimeter. |
Tidak |
|
|
Keamanan Data 2.5.4 - Penyimpanan & Klasifikasi Data - Klasifikasi Informasi |
Apakah data pelanggan diklasifikasikan menurut persyaratan hukum atau peraturan, nilai bisnis, dan kepekaan terhadap pengungkapan atau modifikasi yang tidak sah? |
Tentukan apakah data pelanggan diklasifikasikan berdasarkan sensitivitas. Jika ya, unggah bukti manual klasifikasi ini. |
Ya |
|
|
Keamanan Data 2.5.5 - Penyimpanan & Klasifikasi Data - Segmentasi Data (Memerlukan pengesahan manual) |
Apakah segmentasi data dan kemampuan pemisahan antara pelanggan disediakan? |
Tentukan apakah data untuk pelanggan yang berbeda tersegmentasi. Jika tidak, jelaskan mekanisme yang Anda miliki untuk melindungi data dari kontaminasi silang. |
Ya |
|
| Retensi data |
Keamanan Data 2.6.1 - Retensi Data (Memerlukan pengesahan manual) |
Berapa lama Anda menyimpan data? |
Tentukan durasi retensi data. Jika periode retensi berbeda berdasarkan klasifikasi dan sensitivitas data, dapatkah Anda memberikan detail tentang setiap periode retensi? |
6 bulan |
|
Retensi data setelah pembeli berhenti berlangganan |
Keamanan Data 2.6.2 - Retensi Data setelah Berhenti Berlangganan Klien (Memerlukan pengesahan manual) |
Berapa lama Anda menyimpan data setelah pembeli berhenti berlangganan? |
Tentukan durasi retensi data setelah pelanggan berhenti berlangganan. |
3 bulan |
Kontrol keamanan perangkat pengguna akhir
Kontrol keamanan perangkat pengguna akhir melindungi perangkat pengguna akhir portabel dan jaringan yang terhubung dari ancaman dan kerentanan. Tabel ini mencantumkan nilai dan deskripsi untuk kontrol kebijakan keamanan perangkat pengguna akhir.
| Set kontrol | Judul kontrol | Deskripsi kontrol | Detail ekstraksi bukti | Nilai sampel |
|---|---|---|---|---|
| Persediaan aset/perangkat lunak |
Keamanan Perangkat Pengguna Akhir 7.1.1 - Inventaris Aset/Perangkat Lunak - Inventaris Aset |
Apakah daftar persediaan aset diperbarui secara berkala? |
Tentukan apakah inventaris aset dipertahankan. Jika ya, seberapa sering diperbarui? |
Ya. Inventaris diperbarui setiap minggu. |
|
Keamanan Perangkat Pengguna Akhir 7.1.2 - Inventaris Aset/Perangkat Lunak - Inventaris Perangkat Lunak dan Aplikasi |
Apakah semua platform dan aplikasi perangkat lunak yang diinstal pada sistem cakupan diinventarisasi? |
Tentukan apakah inventaris semua perangkat lunak dan aplikasi yang diinstal dipertahankan. Jika ya, seberapa sering diperbarui? |
Ya. Inventaris diperbarui setiap minggu. |
|
| Keamanan aset |
Keamanan Perangkat Pengguna Akhir 7.2.1 - Keamanan Aset - Patch Keamanan |
Apakah semua patch keamanan berisiko tinggi yang tersedia diterapkan dan diverifikasi setidaknya setiap bulan di semua perangkat pengguna akhir? |
Tentukan apakah semua patch keamanan berisiko tinggi diterapkan setidaknya setiap bulan. Jika tidak, seberapa sering diterapkan? Bisakah Anda memberikan detail lebih lanjut tentang bagaimana Anda mengelola tambalan? |
Ya. Kami memiliki tim keamanan yang melakukan proses ini dua mingguan. |
|
Keamanan Perangkat Pengguna Akhir 7.2.2 - Keamanan Aset - Keamanan Titik Akhir |
Apakah Anda memiliki keamanan endpoint? |
Tentukan apakah keamanan titik akhir diinstal pada semua perangkat. Jika ya, dapatkah Anda memberikan detail lebih lanjut tentang alat ini dan bagaimana alat itu dirawat? |
Ya. Tim keamanan kami menangani dua mingguan ini menggunakan alat internal. |
|
|
Keamanan Perangkat Pengguna Akhir 7.2.3 - Keamanan Aset - Pemeliharaan dan Perbaikan Aset (Memerlukan pengesahan manual) |
Apakah pemeliharaan dan perbaikan aset organisasi dilakukan dan dicatat, dengan alat yang disetujui dan dikendalikan? |
Tentukan apakah pemeliharaan dan perbaikan aset dilakukan dan dicatat dengan alat yang dikendalikan. Jika ya, dapatkah Anda memberikan detail lebih lanjut tentang cara pengelolaannya? |
Ya. Semua pemeliharaan perangkat dicatat. Pemeliharaan ini tidak menyebabkan downtime. |
|
|
Keamanan Perangkat Pengguna Akhir 7.2.4 - Keamanan Aset - Kontrol Akses untuk Perangkat |
Apakah perangkat memiliki kontrol akses yang diaktifkan? |
Tentukan apakah perangkat memiliki kontrol akses (seperti RBAC) yang diaktifkan. |
Ya. Akses hak istimewa paling sedikit diterapkan untuk semua perangkat. |
|
| Log perangkat |
Keamanan Perangkat Pengguna Akhir 7.3.1 - Log Perangkat - Detail yang Cukup di Log (Memerlukan pengesahan manual) |
Apakah rincian yang cukup masuk ke dalam sistem operasi dan log perangkat untuk mendukung investigasi insiden? |
Tentukan apakah detail yang memadai (seperti upaya login yang berhasil dan gagal serta perubahan pada pengaturan dan file konfigurasi sensitif) disertakan dalam log untuk mendukung penyelidikan insiden. Jika tidak, berikan rincian lebih lanjut tentang bagaimana Anda menangani investigasi insiden. |
Ya |
|
Keamanan Perangkat Pengguna Akhir 7.3.2 - Log Perangkat - Akses ke Log Perangkat |
Apakah log perangkat dilindungi dari modifikasi, penghapusan, dan/atau akses yang tidak pantas? |
Tentukan apakah log perangkat dilindungi dari modifikasi, penghapusan, dan/atau akses yang tidak pantas. Jika ya, dapatkah Anda memberikan rincian tentang bagaimana Anda menegakkannya? |
Ya. Perubahan pada log diberlakukan oleh kontrol akses. Semua perubahan pada log mengarah ke peringatan. |
|
|
Keamanan Perangkat Pengguna Akhir 7.3.3 - Log Perangkat - Retensi Log (Memerlukan pengesahan manual) |
Apakah log disimpan untuk waktu yang cukup untuk menyelidiki serangan? |
Berapa lama log akan dipertahankan? |
Ya, 1 tahun. |
|
| Manajemen perangkat seluler |
Keamanan Perangkat Pengguna Akhir 7.4.1 - Manajemen Perangkat Seluler - Program Manajemen Perangkat Seluler |
Apakah ada program manajemen perangkat seluler? |
Tentukan apakah ada program manajemen perangkat seluler. Jika ya, harap tentukan alat apa yang digunakan untuk manajemen perangkat seluler. |
Ya. Kami menggunakan alat internal. |
|
Keamanan Perangkat Pengguna Akhir 7.4.2 - Manajemen Perangkat Seluler - Akses Lingkungan Produksi dari Perangkat Seluler Pribadi (Memerlukan pengesahan manual) |
Apakah staf dicegah mengakses lingkungan produksi dengan menggunakan perangkat seluler pribadi yang tidak dikelola? |
Tentukan apakah karyawan dicegah mengakses lingkungan produksi dengan menggunakan perangkat seluler pribadi yang tidak dikelola. Jika tidak, bagaimana Anda menegakkan kontrol ini? |
Ya |
|
|
Keamanan Perangkat Pengguna Akhir 7.4.3 - Manajemen Perangkat Seluler - Mengakses Data Pelanggan dari Perangkat Seluler (Memerlukan pengesahan manual) |
Apakah karyawan dicegah menggunakan perangkat seluler pribadi yang tidak dikelola untuk melihat atau memproses data pelanggan? |
Tentukan apakah karyawan dicegah mengakses data pelanggan dengan menggunakan perangkat seluler yang tidak dikelola. Jika tidak, apa kasus penggunaan untuk mengizinkan akses? Bagaimana Anda memantau akses? |
Ya |
Kontrol sumber daya manusia
Kontrol sumber daya manusia mengevaluasi divisi terkait karyawan untuk menangani data sensitif selama proses seperti mempekerjakan, membayar, dan memberhentikan karyawan. Tabel ini mencantumkan nilai dan deskripsi untuk kontrol kebijakan sumber daya manusia.
| Set kontrol | Judul kontrol | Deskripsi kontrol | Detail ekstraksi bukti | Nilai sampel |
|---|---|---|---|---|
| Kebijakan sumber daya manusia |
Sumber Daya Manusia 9.1.1 - Kebijakan Sumber Daya Manusia - Penyaringan Latar Belakang untuk Karyawan |
Apakah skrining latar belakang dilakukan sebelum bekerja? |
Tentukan apakah penyaringan latar belakang dilakukan untuk semua karyawan sebelum bekerja. |
Ya |
|
Sumber Daya Manusia 9.1.2 - Kebijakan Sumber Daya Manusia - Perjanjian Karyawan |
Apakah perjanjian kerja ditandatangani sebelum bekerja? |
Tentukan apakah perjanjian kerja ditandatangani sebelum bekerja. |
Ya |
|
|
Sumber Daya Manusia 9.1.3 - Kebijakan Sumber Daya Manusia - Pelatihan Keamanan untuk Karyawan |
Apakah semua karyawan menjalani pelatihan kesadaran keamanan secara teratur? |
Tentukan apakah karyawan menjalani pelatihan keamanan secara teratur. Jika ya, seberapa sering mereka menjalani pelatihan keamanan? |
Ya. Mereka menjalani pelatihan keamanan setiap tahun. |
|
|
Sumber Daya Manusia 9.1.4 - Kebijakan Sumber Daya Manusia - Proses Disiplin untuk Ketidakpatuhan Kebijakan |
Apakah ada proses disipliner untuk ketidakpatuhan kebijakan sumber daya manusia? |
Tentukan apakah ada proses disipliner untuk ketidakpatuhan kebijakan sumber daya manusia. |
Ya |
|
|
Sumber Daya Manusia 9.1.5 - Kebijakan Sumber Daya Manusia - Pemeriksaan Latar Belakang untuk Kontraktor/Subkontraktor (Memerlukan pengesahan manual) |
Apakah pemeriksaan latar belakang dilakukan untuk vendor, kontraktor, dan subkontraktor pihak ketiga? |
Tentukan apakah pemeriksaan latar belakang dilakukan untuk vendor, kontraktor, dan subkontraktor pihak ketiga. Jika ya, apakah pemeriksaan latar belakang dilakukan secara teratur? |
Ya. Pemeriksaan latar belakang dilakukan setiap tahun. |
|
|
Sumber Daya Manusia 9.1.6 - Kebijakan Sumber Daya Manusia - Pengembalian Aset setelah Pengakhiran |
Apakah ada proses untuk memverifikasi pengembalian aset konstituen pada saat penghentian? |
Tentukan apakah ada proses untuk memverifikasi pengembalian aset konstituen setelah pemutusan hubungan kerja karyawan. |
Ya |
Kontrol keamanan infrastruktur
Kontrol keamanan infrastruktur melindungi aset penting dari ancaman dan kerentanan. Tabel ini mencantumkan nilai dan deskripsi untuk kontrol kebijakan keamanan infrastruktur.
| Set kontrol | Judul kontrol | Deskripsi kontrol | Detail ekstraksi bukti | Nilai sampel |
|---|---|---|---|---|
| Keamanan fisik |
Keamanan Infrastruktur 8.1.1 - Keamanan Fisik - Akses Fisik ke Fasilitas |
Apakah individu yang memerlukan akses ke aset secara langsung (seperti bangunan, kendaraan, atau perangkat keras) diperlukan untuk memberikan ID dan kredensil yang diperlukan? |
Tentukan apakah individu yang memerlukan akses ke aset secara langsung (seperti bangunan, kendaraan, perangkat keras) diharuskan memberikan ID dan kredensil yang diperlukan. |
Ya |
|
Keamanan Infrastruktur 8.1.2 - Keamanan Fisik - Keamanan Fisik dan Kontrol Lingkungan di Tempat |
Apakah keamanan fisik dan kontrol lingkungan ada di pusat data dan gedung perkantoran? |
Tentukan apakah keamanan fisik dan kontrol lingkungan tersedia untuk semua fasilitas. |
Ya |
|
|
Infrastructure Security 8.1.3 - Keamanan Fisik - Akses Pengunjung (Memerlukan pengesahan manual) |
Apakah Anda merekam akses pengunjung? |
Jika pengunjung diizinkan masuk ke fasilitas, apakah log akses pengunjung dipelihara? Jika ya, berapa lama log disimpan? |
Ya. Log akan dipertahankan selama satu tahun. |
|
| Keamanan jaringan |
Keamanan Infrastruktur 8.2.1 - Keamanan Jaringan - Nonaktifkan Port dan Layanan yang Tidak Digunakan (Memerlukan pengesahan manual) |
Apakah semua port dan layanan yang tidak digunakan dinonaktifkan dari lingkungan dan sistem produksi? |
Tentukan apakah semua port dan layanan yang tidak digunakan dinonaktifkan dari lingkungan dan sistem produksi. |
Ya |
|
Keamanan Infrastruktur 8.2.2 - Keamanan Jaringan - Penggunaan Firewall |
Apakah firewall digunakan untuk mengisolasi sistem kritis dan sensitif ke dalam segmen jaringan yang terpisah dari segmen jaringan dengan sistem yang kurang sensitif? |
Tentukan apakah firewall digunakan untuk mengisolasi segmen kritis dan sensitif dari segmen dengan sistem yang kurang sensitif. |
Ya |
|
|
Keamanan Infrastruktur 8.2.3 - Keamanan Jaringan - Tinjauan Aturan Firewall |
Apakah semua aturan firewall ditinjau dan diperbarui secara berkala? |
Seberapa sering aturan firewall ditinjau dan diperbarui? |
Ya. Aturan firewall diperbarui setiap 3 bulan. |
|
|
Keamanan Infrastruktur 8.2.4 - Keamanan Jaringan - Sistem Deteksi/Pencegahan Intrusi |
Apakah sistem deteksi dan pencegahan intrusi diterapkan di semua zona jaringan sensitif dan di mana pun firewall diaktifkan? |
Tentukan apakah sistem deteksi dan pencegahan intrusi diaktifkan di semua zona jaringan sensitif. |
Ya |
|
|
Keamanan Infrastruktur 8.2.5 - Keamanan Jaringan - Standar Keamanan dan Pengerasan |
Apakah Anda memiliki standar keamanan dan pengerasan untuk perangkat jaringan? |
Tentukan apakah Anda memiliki standar keamanan dan pengerasan untuk perangkat jaringan. Jika ya, dapatkah Anda memberikan rincian lebih lanjut (termasuk rincian tentang seberapa sering standar ini diterapkan dan diperbarui)? |
Ya. Standar keamanan dan pengerasan diterapkan pada perangkat jaringan setiap bulan. |
|
| Layanan cloud |
Keamanan Infrastruktur 8.3.1 - Layanan Cloud - Platform yang Digunakan untuk Menghosting Aplikasi (Memerlukan pengesahan manual) |
Buat daftar platform cloud yang Anda gunakan untuk hosting aplikasi Anda. |
Tentukan platform cloud mana yang Anda gunakan untuk menghosting aplikasi Anda. |
AWS |
Manajemen risiko dan kontrol respons insiden
Manajemen risiko dan pengendalian respons insiden mengevaluasi tingkat risiko yang dianggap dapat diterima dan langkah-langkah yang diambil untuk menanggapi risiko dan serangan. Tabel ini mencantumkan nilai dan deskripsi untuk manajemen risiko dan kontrol kebijakan respons insiden.
| Set kontrol | Judul kontrol | Deskripsi kontrol | Detail ekstraksi bukti | Nilai sampel |
|---|---|---|---|---|
| Penilaian risiko |
Manajemen Risiko/Respon Insiden 5.1.1 - Penilaian Risiko - Mengatasi dan Mengidentifikasi Risiko |
Apakah ada proses formal yang berfokus pada identifikasi dan penanganan risiko insiden yang mengganggu organisasi? |
Tentukan apakah ada proses untuk mengidentifikasi dan mengatasi risiko yang menyebabkan insiden mengganggu bagi organisasi. |
Ya |
|
Manajemen Risiko/Respon Insiden 5.1.2 - Penilaian Risiko - Proses Manajemen Risiko |
Apakah ada program atau proses untuk mengelola pengobatan risiko yang diidentifikasi selama penilaian? |
Tentukan apakah ada program atau proses untuk mengelola risiko dan mitigasi mereka. Jika ya, dapatkah Anda memberikan rincian lebih lanjut tentang proses manajemen risiko? |
Ya. Kami secara teratur meninjau dan memulihkan masalah untuk mengatasi ketidaksesuaian. Informasi berikut diidentifikasi untuk setiap masalah yang mempengaruhi lingkungan kita: • Detail masalah diidentifikasi • Akar penyebab • Kontrol kompensasi • Keparahan • Pemilik • Jalur jangka pendek ke depan • Jalur jangka panjang ke depan |
|
|
Manajemen Risiko/Respon Insiden 5.1.3 - Penilaian Risiko - Penilaian Risiko |
Apakah penilaian risiko sering dilakukan? |
Apakah penilaian risiko sering dilakukan? Jika ya, tentukan frekuensi penilaian risiko. |
Ya. Penilaian risiko diselesaikan setiap 6 bulan. |
|
|
Manajemen Risiko/Respon Insiden 5.1.4 - Penilaian Risiko - Penilaian Risiko Vendor Pihak Ketiga |
Apakah penilaian risiko dilakukan untuk semua vendor pihak ketiga? |
Tentukan apakah penilaian risiko dilakukan untuk semua vendor pihak ketiga. Jika ya, seberapa sering? |
Tidak berlaku dalam sampel ini. |
|
|
Manajemen Risiko/Respon Insiden 5.1.5 - Penilaian Risiko - Penilaian Ulang Risiko saat Kontrak Berubah |
Apakah penilaian risiko dilakukan ketika pengiriman layanan atau perubahan kontrak terjadi? |
Tentukan apakah penilaian risiko akan dilakukan setiap kali pengiriman layanan atau kontrak berubah. |
Tidak berlaku dalam sampel ini. |
|
|
Manajemen Risiko/Respon Insiden 5.1.6 - Penilaian Risiko - Terima Risiko (Memerlukan pengesahan manual) |
Apakah ada proses bagi manajemen untuk secara sadar dan obyektif menerima risiko dan menyetujui rencana tindakan? |
Tentukan apakah ada proses bagi manajemen untuk memahami dan menerima risiko, dan untuk menyetujui rencana tindakan dan garis waktu untuk memperbaiki masalah terkait risiko. Apakah proses tersebut mencakup memberikan rincian metrik di balik setiap risiko kepada manajemen? |
Ya. Rincian tentang tingkat keparahan risiko dan potensi masalah jika tidak dikurangi diberikan kepada manajemen sebelum mereka menyetujui risiko. |
|
|
Manajemen Risiko/Respon Insiden 5.1.7 - Penilaian Risiko - Metrik Risiko (Memerlukan pengesahan manual) |
Apakah Anda memiliki langkah-langkah untuk menentukan, memantau, dan melaporkan metrik risiko? |
Tentukan apakah ada proses untuk menentukan, memantau, dan melaporkan metrik risiko. |
Ya |
|
| Manajemen insiden |
Manajemen Risiko/Respon Insiden 5.2.1 - Manajemen Insiden - Rencana Respon Insiden |
Apakah ada Rencana Respons Insiden formal? |
Tentukan apakah ada Rencana Respons Insiden formal. |
Ya |
|
Manajemen Risiko/Respon Insiden 5.2.2 - Manajemen Insiden - Kontak untuk Melaporkan Insiden Keamanan (Memerlukan pengesahan manual) |
Apakah ada proses bagi pelanggan untuk melaporkan insiden keamanan? |
Tentukan apakah ada proses bagi pelanggan untuk melaporkan insiden keamanan. Jika ya, bagaimana pelanggan dapat melaporkan insiden keamanan? |
Ya. Pelanggan dapat melaporkan insiden ke example.com. |
|
|
Management/Incident Response 5.2.3 - Incident Management - Report Incidents/KeyAktivitas Berisiko |
Apakah Anda melaporkan kegiatan utama? |
Apakah Anda melaporkan kegiatan utama? Apa SLA untuk melaporkan kegiatan utama? |
Ya. Semua kegiatan utama akan dilaporkan dalam waktu seminggu. |
|
|
Manajemen Risiko/Respon Insiden 5.2.4 - Manajemen Insiden - Pemulihan Insiden |
Apakah Anda memiliki rencana pemulihan bencana? |
Tentukan apakah Anda memiliki rencana untuk pemulihan setelah insiden terjadi. Jika ya, dapatkah Anda membagikan detail tentang rencana pemulihan? |
Ya. Setelah insiden, pemulihan akan dilakukan dalam waktu 24 jam. |
|
|
Manajemen Risiko/Respon Insiden 5.2.5 - Manajemen Insiden - Log Tersedia untuk Pembeli jika terjadi Serangan (Memerlukan pengesahan manual) |
Jika terjadi serangan, apakah sumber daya yang relevan (seperti log, laporan insiden, atau data) akan tersedia untuk pelanggan? |
Apakah sumber daya yang relevan (seperti log, laporan insiden, atau data) yang terkait dengan penggunaannya tersedia bagi pelanggan jika terjadi serangan atau insiden? |
Ya |
|
|
Manajemen Risiko/Respon Insiden 5.2.6 - Manajemen Insiden - Buletin Keamanan (Memerlukan pengesahan manual) |
Apakah Anda memiliki buletin keamanan yang menguraikan serangan dan kerentanan terbaru yang memengaruhi aplikasi Anda? |
Tentukan apakah Anda memiliki buletin keamanan yang menguraikan serangan dan kerentanan terbaru yang memengaruhi aplikasi Anda. Jika ya, dapatkah Anda memberikan detailnya? |
Ya. Pelanggan dapat melaporkan insiden ke example.com. |
|
| Deteksi insiden |
Manajemen Risiko/Respon Insiden 5.3.1 - Deteksi Insiden - Pencatatan Komprehensif |
Apakah ada penebangan komprehensif untuk mendukung identifikasi dan mitigasi insiden? |
Tentukan apakah ada logging komprehensif yang diaktifkan. Identifikasi jenis-jenis peristiwa yang dapat dicatat oleh sistem. Berapa lama log dipertahankan? |
Ya. Peristiwa berikut dicatat: aplikasi, perangkat, dan Layanan AWS semacamnya, AWS CloudTrail AWS Config, dan VPC Flow Logs. Log disimpan selama 1 tahun. |
|
Manajemen Risiko/Respon Insiden 5.3.2 - Deteksi Insiden - Pemantauan Log |
Apakah Anda memantau dan memperingatkan aktivitas yang tidak biasa atau mencurigakan menggunakan mekanisme deteksi seperti pemantauan log? |
Tentukan apakah pemantauan dan peringatan keamanan rutin dilakukan. Jika ya, apakah itu termasuk pemantauan log untuk perilaku yang tidak biasa atau mencurigakan? |
Ya. Semua log dipantau untuk perilaku yang tidak biasa seperti beberapa login gagal, login dari geolokasi yang tidak biasa, atau peringatan mencurigakan lainnya. |
|
|
Manajemen Risiko/Respon Insiden 5.3.3 - Deteksi Insiden - Pelanggaran Data Pihak Ketiga |
Apakah ada proses untuk mengidentifikasi dan mendeteksi dan mencatat masalah keamanan, privasi, atau pelanggaran data subkontraktor? |
Tentukan apakah ada proses untuk mengidentifikasi dan mendeteksi vendor atau subkontraktor pihak ketiga untuk pelanggaran data, masalah keamanan, atau masalah privasi. |
Ya |
|
|
SLA untuk pemberitahuan insiden |
Manajemen Risiko/Respon Insiden 5.4.1 - SLA untuk Pemberitahuan Insiden (Memerlukan pengesahan manual) |
Apa SLA untuk mengirim pemberitahuan tentang insiden atau pelanggaran? |
Apa SLA untuk mengirim pemberitahuan tentang insiden atau pelanggaran? |
7 hari |
Kontrol kebijakan keamanan dan konfigurasi
Kontrol kebijakan keamanan dan konfigurasi mengevaluasi kebijakan keamanan dan konfigurasi keamanan yang melindungi aset organisasi. Tabel ini mencantumkan nilai dan deskripsi untuk kontrol kebijakan keamanan dan konfigurasi.
| Set kontrol | Judul kontrol | Deskripsi kontrol | Detail ekstraksi bukti | Nilai sampel |
|---|---|---|---|---|
|
Kebijakan untuk keamanan informasi |
Kebijakan Keamanan dan Konfigurasi 10.1.1 - Kebijakan untuk Keamanan Informasi - Kebijakan Keamanan Informasi |
Apakah Anda memiliki kebijakan keamanan informasi yang dimiliki dan dikelola oleh tim keamanan? |
Tentukan apakah Anda memiliki kebijakan keamanan informasi. Jika ya, bagikan atau unggah bukti manual. |
Ya. Kami membangun kebijakan keamanan kami berdasarkan kerangka kerja NIST. |
|
Kebijakan Keamanan dan Konfigurasi 10.1.2 - Kebijakan untuk Keamanan Informasi - Tinjauan Kebijakan |
Apakah semua kebijakan keamanan ditinjau setiap tahun? |
Tentukan apakah kebijakan keamanan ditinjau setiap tahun. Jika tidak, seberapa sering kebijakan ditinjau? |
Ya. Diulas setiap tahun. |
|
|
Kebijakan untuk konfigurasi keamanan |
Kebijakan Keamanan dan Konfigurasi 10.2.1 - Kebijakan untuk Konfigurasi Keamanan - Konfigurasi Keamanan (Memerlukan pengesahan manual) |
Apakah standar konfigurasi keamanan dipertahankan dan didokumentasikan? |
Tentukan apakah semua standar konfigurasi keamanan dipertahankan dan didokumentasikan. Jika ya, bagikan atau unggah bukti manual. |
Ya |
|
Kebijakan Keamanan dan Konfigurasi 10.2.2 - Kebijakan untuk Konfigurasi Keamanan - Tinjauan Konfigurasi Keamanan (Memerlukan pengesahan manual) |
Apakah konfigurasi keamanan ditinjau setidaknya setiap tahun? |
Tentukan apakah konfigurasi keamanan ditinjau setidaknya setiap tahun. Jika tidak, tentukan frekuensi peninjauan. |
Ya. Diulas setiap 3 bulan. |
|
|
Kebijakan Keamanan dan Konfigurasi 10.2.3 - Kebijakan untuk Konfigurasi Keamanan - Perubahan Konfigurasi |
Apakah perubahan pada konfigurasi dicatat? |
Tentukan apakah perubahan konfigurasi dicatat. Jika ya, berapa lama log disimpan? |
Ya. Semua perubahan konfigurasi dipantau dan dicatat. Peringatan dinaikkan saat konfigurasi diubah. Log disimpan selama 6 bulan. |
