Prinsip Kerahasiaan dan Keamanan Data Layanan Cloud IBM

Transkripsi

1 Prinsip Kerahasiaan dan Keamanan Data Layanan Cloud IBM

2 2 Prinsip Kerahasiaan dan Keamanan Data: Layanan Cloud IBM Isi 2 Ikhtisar 2 Tata Kelola 3 Kebijakan Keamanan 3 Akses, Intervensi, Transfer, dan Kontrol Pemisahan 4 Kontrol Ketersediaan dan Integritas Layanan 4 Pencatatan Aktivitas dan Kontrol Input 4 Keamanan Fisik dan Kontrol Entri 4 Kontrol Susunan 4 Kepatuhan 5 Subprosesor Pihak Ketiga Ikhtisar Layanan cloud IBM mencakup tawaran infrastruktur, platform, dan tawaran perangkat lunak. Tindakan kerahasiaan dan keamanan organisasi serta teknis diterapkan untuk setiap layanan cloud sesuai dengan kebijakan IBM menurut arsitekturnya, tujuan penggunaan, dan tipe layanan yang diberikan olehnya. Gambar 1 memberikan ilustrasi tentang pembagian tanggung jawab secara umum dalam setiap tipe layanan. Layanan Cloud IBM IaaS PaaS SaaS Aplikasi Aplikasi Aplikasi Platform Platform Platform Infrastruktur Infrastruktur Infrastruktur Legenda Dikelola oleh Klien Dikelola oleh IBM Gambar 1: Tipe tawaran layanan cloud IBM Tawaran Infrastruktur sebagai Layanan (IaaS) IBM menyediakan sumber daya komputasi di mana klien dapat menyebarkan dan mengoperasikan perangkat lunak, seperti sistem operasi, runtime, middleware, dan aplikasi pilihan mereka. Klien IaaS bertanggung jawab atas aplikasi, konten, runtime, middleware, dan sistem operasi yang mereka sebarkan pada solusi IaaS, termasuk implementasi dan manajemen tindakan kerahasiaan dan keamanan data yang tidak bersifat fisik. Tawaran Platform sebagai Layanan (PaaS) IBM memungkinkan klien untuk membuat, menyebarkan, dan mengelola aplikasi cloud dengan menggunakan sistem, jaringan, penyimpanan, kerangka kerja runtime, pustaka, serta alat integrasi dan manajemen yang dapat disertakan sebagai bagian dari layanan. Klien PaaS mengelola aplikasi dan konten yang mereka sebarkan pada solusi PaaS, termasuk implementasi dan manajemen tindakan kerahasiaan dan keamanan data untuk aplikasi dan data mereka. Tawaran Perangkat Lunak sebagai Layanan (SaaS) IBM menyediakan aplikasi yang distandardisasi dari lingkungan cloud yang untuknya IBM mengelola penyebaran, administrasi, pengoperasian, pemeliharaan, dan keamanan aplikasi, termasuk middleware, platform, dan infrastruktur pokok. Klien SaaS terus mengelola akun pengguna akhir mereka, penggunaan tawaran SaaS IBM yang tepat, dan data yang mereka proses menurut syarat-syarat dalam perjanjian layanan cloud. Dengan mempertimbangkan persyaratan mereka sendiri, klien SaaS bertanggung jawab untuk menilai kesesuaian tindakan kerahasiaan dan keamanan data standar yang diterapkan oleh IBM. Tanggung jawab manajemen spesifik IBM untuk setiap layanan cloud, apa pun tipenya, ditetapkan dalam perjanjian tawaran yang relevan. Tindakan kerahasiaan dan keamanan data yang dirancang untuk, antara lain, mempertahankan layanan cloud IBM dari risiko seperti kerugian yang tidak disengaja, akses yang tidak sah, dan penggunaan data klien yang tidak sah, ditetapkan atau digabungkan ke dalam setiap uraian layanan, termasuk setiap opsi dan layanan yang dapat dikonfigurasikan yang mungkin tersedia. Dokumen Prinsip Kerahasiaan dan Keamanan Data ini menjelaskan kebijakan dan praktik IBM yang melingkupi yang digabungkan melalui referensi dalam setiap uraian layanan. Tata Kelola Kebijakan keamanan TI IBM, yang memperoleh wewenang mereka dari instruksi korporat spesifik,

3 Prinsip Kerahasiaan dan Keamanan Data: Layanan Cloud IBM 3 dibentuk dan dikelola oleh organisasi CIO IBM dan merupakan bagian integral dalam bisnis IBM. Kepatuhan terhadap kebijakan TI internal bersifat wajib dan harus diaudit. Kebijakan Keamanan Kebijakan keamanan informasi IBM ditinjau setidaknya setiap tahun dan disempurnakan sebagaimana diperlukan untuk tetap melindungi dari ancaman modern dan sesuai dengan pembaruan standar internasional yang diterima secara luas, seperti ISO/IEC dan IBM mengikuti serangkaian persyaratan verifikasi ketenagakerjaan yang diwajibkan untuk semua karyawan baru, termasuk karyawan tambahan. Standar ini juga berlaku untuk anak perusahaan dan usaha patungan yang dimiliki secara menyeluruh. Persyaratan, yang dapat diubah, termasuk, namun tidak terbatas pada, pemeriksaan latar belakang kriminal, bukti validasi identitas, dan pemeriksaan tambahan jika kandidat sebelumnya bekerja untuk badan pemerintah. Setiap perusahaan IBM bertanggung jawab untuk menerapkan persyaratan di atas dalam proses perekrutannya sebagaimana berlaku dan diizinkan menurut hukum setempat. Karyawan IBM diwajibkan untuk menyelesaikan pendidikan mengenai kerahasiaan dan keamanan secara tahunan dan menyatakan setiap tahunnya bahwa mereka akan mematuhi persyaratan keamanan, kerahasiaan, dan perilaku bisnis etis IBM, sebagaimana yang ditetapkan dalam Pedoman Perilaku Bisnis (Business Conduct Guidelines) IBM. Insiden keamanan ditangani sesuai dengan kebijakan tanggapan dan manajemen insiden IBM, dengan memperhatikan persyaratan pemberitahuan pelanggaran data menurut hukum setempat. Fungsi inti dari praktik manajemen insiden keamanan dunia maya (cybersecurity) global IBM dijalankan oleh Tim Tanggapan Insiden Keamanan Komputer IBM (Computer Security Incident Response Team - CSIRT ). CSIRT dikelola oleh Kantor Keamanan Informasi Utama IBM dan terdiri dari manajer insiden global dan analis forensik. Pedoman Institut Nasional Standar dan Teknologi, Departemen Perdagangan Amerika Serikat (NIST) untuk penanganan insiden keamanan komputer telah menginformasikan adanya pengembangan dan tetap menjadi fondasi untuk proses manajemen insiden global IBM. CSIRT bekerja sama dengan fungsi lain dalam IBM untuk menginvestigasi dugaan insiden, dan jika terbukti, menentukan dan menjalankan rencana tanggapan yang sesuai. Setelah memastikan bahwa insiden keamanan telah terjadi, IBM akan segera memberi tahu klien layanan cloud yang terpengaruh sebagaimana diperlukan. Akses, Intervensi, Transfer, dan Kontrol Pemisahan Arsitektur layanan cloud IBM menjaga pemisahan logis terhadap data klien. Tindakan dan aturan internal memisahkan pemrosesan data, seperti memasukkan, memodifikasi, menghapus, dan mentransfer data sesuai dengan tujuan dalam kontrak. Akses ke data klien, termasuk setiap data pribadi, hanya diizinkan oleh personel yang berwenang sesuai dengan prinsip pemisahan tugas (segregation of duties), yang secara tegas dikendalikan berdasarkan kebijakan manajemen akses dan identitas, dan yang dipantau sesuai dengan program pemantauan pengguna istimewa internal pengauditan IBM. Otorisasi akses istimewa IBM bersifat individual, berbasis peran, dan tunduk pada validasi rutin. Akses ke data klien dibatasi pada level yang diperlukan untuk menyediakan layanan dan dukungan kepada klien (yaitu hak istimewa yang tidak terlalu diperlukan). Transfer data dalam jaringan IBM berlangsung pada infrastruktur berkabel dan di belakang firewall, tanpa penggunaan jaringan nirkabel. Berdasarkan permintaan atau pengakhiran layanan, sesuai dengan syarat-syarat dalam perjanjian layanan cloud, data klien menjadi tidak dapat dipulihkan agar sesuai dengan pedoman NIST untuk sanitasi media.

4 4 Prinsip Kerahasiaan dan Keamanan Data: Layanan Cloud IBM Kontrol Ketersediaan dan Integritas Layanan Layanan cloud IBM melewati pengujian penetrasi dan pemindaian kerentanan sebelum rilis produksi. Selain itu, pengujian penetrasi, pemindaian kerentanan, dan peretasan etis dijalankan secara rutin oleh IBM dan pihak ketiga independen yang sah. Modifikasi terhadap sumber daya sistem pengoperasian dan perangkat lunak aplikasi diatur oleh kebijakan manajemen perubahan IBM. Perubahan pada perangkat jaringan dan aturan firewall juga diatur oleh kebijakan manajemen perubahan, dan ditinjau secara terpisah oleh staf keamanan sebelum implementasi. Layanan pusat data IBM mendukung beragam protokol penyampaian informasi untuk transmisi data melalui jaringan publik, seperti HTTPS, SFTP, dan FTPS. IBM memantau secara sistematis sumber daya pusat data produksi selama 24x7. Pemindaian kerentanan internal dan eksternal dilakukan secara rutin oleh administrator yang berwenang untuk membantu mendeteksi dan menyelesaikan pengeksposan yang potensial. Setiap layanan cloud IBM memiliki rencana keberlangsungan bisnis dan pemulihan bencana, yang dikembangkan, dipelihara, diverifikasi, dan diuji sesuai dengan ISO Kode Praktik untuk Kontrol Keamanan Informasi. Titik pemulihan dan sasaran waktu untuk setiap layanan cloud dibentuk sesuai dengan arsitektur dan tujuan penggunaannya, serta diberikan dalam uraian layanan atau dokumen transaksi lainnya. Data cadangan yang ditujukan untuk penyimpanan off-site, apabila ada, dienkripsikan sebelum dipindahkan. Aktivitas manajemen perbaikan (patch) dan konfigurasi keamanan dijalankan dan ditinjau secara rutin. Infrastruktur IBM tunduk pada konsep perencanaan darurat, seperti pemulihan bencana dan penyalinan disk (disk mirroring) yang solid. Rencana keberlangsungan bisnis untuk infrastruktur IBM didokumentasikan dan divalidasi ulang secara rutin. Pencatatan Aktivitas dan Kontrol Input Kebijakan IBM mewajibkan agar akses administratif dan aktivitas dalam lingkungan komputasi layanan cloud-nya dicatat dan dipantau, dan catatan tersebut akan diarsipkan dan disimpan sesuai dengan rencana manajemen catatan IBM di seluruh dunia. Perubahan yang dibuat pada layanan cloud produksi dicatat dan dikelola sesuai dengan kebijakan manajemen perubahan IBM. Keamanan Fisik dan Kontrol Entri IBM menjaga standar keamanan fisik yang dirancang untuk membatasi akses fisik yang tidak sah ke sumber daya pusat data. Titik entri ke dalam pusat data IBM dibatasi, dikendalikan oleh pembaca akses, dan dipantau oleh kamera pengawas. Akses hanya diizinkan oleh personel yang berwenang. Area pengiriman dan dermaga pemuatan di mana orang-orang yang tidak berwenang dapat memasuki lokasi dikendalikan secara ketat. Pengiriman dijadwalkan sebelumnya dan memerlukan persetujuan dari personel yang berwenang. Personel yang bukan bagian dari staf pengoperasian, fasilitas, atau keamanan didaftarkan pada saat memasuki lokasi dan didampingi oleh personel yang berwenang saat sedang berada di lokasi. Para karyawan yang diakhiri hubungan kerjanya dihapus dari daftar akses dan harus menyerahkan tanda pengenal untuk akses mereka. Penggunaan tanda pengenal untuk akses dicatat. Kontrol Susunan Pemrosesan data dilakukan sesuai dengan perjanjian tawaran di mana IBM menguraikan syarat-syarat, fungsionalitas, dukungan, dan pemeliharaan tawaran layanan cloud serta tindakan yang diambil untuk menjaga kerahasiaan, integritas, dan ketersediaan data klien. Kepatuhan Standar keamanan informasi dan praktik manajemen IBM untuk layanan cloud selaras dengan standar ISO/IEC untuk manajemen keamanan informasi dan sesuai dengan ISO/IEC Kode Praktik untuk Kontrol Keamanan Informasi.

5 Prinsip Kerahasiaan dan Keamanan Data: Layanan Cloud IBM 5 Penilaian dan audit dilakukan secara rutin oleh IBM untuk melacak kepatuhan terhadap standar keamanan informasinya. Selain itu, audit standar industri pihak ketiga independen dijalankan setiap tahun di semua pusat data produksi IBM. Subprosesor Pihak Ketiga Layanan cloud IBM dapat mewajibkan subprosesor pihak ketiga untuk mengakses data klien dalam kinerja normal untuk tugas-tugas kontrak mereka. Jika subprosesor pihak ketiga tersebut dilibatkan dalam penyampaian layanan cloud, subprosesor dan perannya akan disediakan berdasarkan permintaan. IBM meminta semua subprosesor tersebut untuk menjaga standar, praktik, dan kebijakan yang melindungi keseluruhan level keamanan dan kerahasiaan yang disediakan oleh IBM.

6 6 Prinsip Kerahasiaan dan Keamanan Data: Layanan Cloud IBM Hak Cipta IBM Corporation 2016 IBM Corporation Route 100 Somers, NY Diproduksi di Republik Indonesia April 2016 IBM, logo IBM, dan ibm.com adalah merek dagang dari International Business Machines Corp., yang terdaftar di berbagai yurisdiksi di seluruh dunia. Nama produk dan layanan lain dapat berupa merek dagang IBM atau perusahaan lain. Daftar merek dagang IBM terbaru tersedia dalam web di "Informasi hak cipta dan merek dagang" di ibm.com/legal/copytrade.shtml Dokumen ini berlaku per tanggal awal publikasi dan dapat diubah kapan pun oleh IBM. Produk IBM dijamin sesuai dengan syarat dan ketentuan dari perjanjian yang menjadi dasar Produk IBM tersebut diberikan. Harap Daur Ulang This Agreement is made in the English and Indonesian languages. To the extent permitted by the prevailing law, the English language of this Agreement will prevail in the case of any inconsistencies or differences of interpretation with the Indonesian language text of this Agreement. Perjanjian ini dibuat dalam Bahasa Indonesia dan Bahasa Inggris. Sepanjang diperbolehkan oleh hukum yang berlaku, dalam hal terdapat ketidaksesuaian atau perbedaan penafsiran dengan teks Bahasa Indonesia dari Perjanjian ini, maka teks dalam Bahasa Inggris yang akan berlaku.