Pertanyaan Umum (FAQ) mengenai keamanan Zoho

  • Apakah Zoho mematuhi Standar Keamanan Informasi? 

    Kami menggunakan Sistem Manajemen Keamanan Informasi (ISMS) sebagai pengganti standar ISO, yang mempertimbangkan tujuan, risiko, dan mitigasi keamanan terkait semua pihak yang terlibat. Kami memiliki sertifikasi ISO 27001, ISO27017 & ISO27018 yang menunjukkan kepatuhan kami terhadap standar 

  • Di mana data saya disimpan? Apakah saya dapat memilih lokasi akun dan data?

    Pusat Data tempat penyimpanan data akan dipilih secara otomatis berdasarkan Negara yang dipilih saat Anda mendaftar ke layanan Zoho.  Informasi mengenai Pusat Data yang dipilih akan langsung ditampilkan di bawah daftar Negara pada formulir pendaftaran.

    Anda dapat mengetahui Pusat Data mana yang berisi data Anda dengan melihat URL di browser saat masuk ke Zoho dan menggunakan aplikasi kami.

    • 1. Jika URL memiliki format *.zoho.com (dengan [tanda bintang] menunjukkan nama Aplikasi Zoho seperti crm, people, one), maka data Anda disimpan dalam DC di AS (Amerika Serikat). 
    • 2. Jika URL memiliki format *.zoho.eu, maka data Anda disimpan dalam DC di UE (Eropa).
    • 3. Jika URL memiliki format *.zoho.in, maka data Anda disimpan dalam DC di IN (India).
    • 4. Jika URL memiliki format *.zoho.com.au, maka data Anda disimpan dalam DC di AU (Australia)./li>
  • Apakah karyawan Zoho dapat mengakses data kami, dan data apa saja yang dapat mereka akses?

     Hanya sangat sedikit karyawan yang dapat mengakses server untuk melakukan pekerjaan darurat seperti pemecahan masalah. Selain itu, kami memantau, mencatat, dan mengaudit akses secara ketat untuk meminimalkan risiko pengungkapan data.

  • Apakah data yang disimpan di produk cloud Zoho akan dienkripsi?

    Kami mengenkripsi data pelanggan dalam transit maupun saat tidak aktif. Data yang tidak aktif akan dienkripsi menggunakan standar industri AES-256. Semua data pelanggan dalam transit akan dienkripsi melalui jaringan publik menggunakan Transport Layer Security (TLS) 1.2/1.3 dan Perfect Forward Secrecy (PFS) agar terlindung dari pengungkapan atau modifikasi yang tidak sah. Untuk mengetahui lebih lanjut mengenai enkripsi di Zoho, klik di sini.

  • Bagaimana cara mengelola kunci enkripsi dan apakah pelanggan dapat mengunggah kunci mereka sendiri?

    Kami memiliki dan menjaga kunci dengan Layanan Manajemen Kunci (KMS). Saat ini, pelanggan tidak perlu mengunggah kunci mereka sendiri.

  • Bagaimana cara penyimpanan kata sandi untuk layanan cloud Zoho?

    Kata sandi yang Anda gunakan untuk mengakses layanan Zoho disimpan dalam skema enkripsi yang tidak dapat dibalikkan. Kami menggunakan algoritme enkripsi bcrypt dengan salt per pengguna, sehingga jika database login kami dicuri, proses untuk merekayasa balik kata sandi sangatlah mahal

  • Bagaimana layanan cloud Zoho menerapkan segmentasi data pelanggan?

    Kerangka kerja kami mendistribusikan dan mempertahankan ruang cloud untuk pelanggan. Data beberapa pelanggan dipisahkan satu dengan lainnya secara logis, dan kerangka kerja menjamin agar data layanan pelanggan tidak dapat diakses oleh pelanggan lain.

  • Bagaimana Zoho dapat melindungi serangan DDoS?

    Kami menggunakan teknologi dari penyedia layanan yang sudah mapan dan tepercaya, dengan berbagai kemampuan mitigasi DDoS untuk mencegah gangguan akibat serangan tersebut.

  • Apakah Zoho melakukan pengujian penetrasi dan pemindaian kode?

    Ya, kami melakukan pengujian penetrasi otomatis dan manual secara rutin. Kombinasi alat pemindaian pihak ketiga bersertifikasi dan alat di kantor berfungsi untuk memindai kode.

  • Saya menemukan kerentanan di salah satu produk Anda. Bagaimana cara melaporkannya?

    Jika Anda menemukan kerentanan dalam salah satu produk kami, sebaiknya beri tahu agar kami dapat memperbaikinya secepat mungkin. Kami memiliki kebijakan pengungkapan dan program pemusnahan bug yang bertanggung jawab. Temukan detail lebih lanjut di https://bugbounty.zoho.com/

  • Apakah Zoho memiliki program respons insiden?

    Tim Respons Insiden khusus kami bertanggung jawab atas deteksi, penilaian, forensik, penahanan, dan aktivitas pemulihan insiden. Jika kami berperan sebagai pengontrol data dan terjadi insiden yang mengakibatkan pelanggaran data, maka pelanggan tersebut akan diberi tahu dalam waktu 72 jam setelah kami mengetahuinya. Jika kami berperan sebagai pemroses data dan terjadi insiden yang mengakibatkan pelanggaran data, maka pengontrol yang terkait akan langsung diberi tahu. 

    Untuk insiden umum, kami akan memberi tahu pengguna melalui blog, forum, dan media sosial kami. Untuk peristiwa khusus pengguna individu atau organisasi, kami akan memberi tahu pihak yang bersangkutan melalui email (menggunakan alamat email utama mereka). Kami akan memberikan Laporan lengkap, jika pelanggan memintanya, dalam waktu 5 hingga 7 hari kerja.

  • Apa tanggung jawab Zoho saat terjadi insiden keamanan?

    Kami memberitahukan insiden yang terjadi kepada Anda, beserta tindakan tepat yang mungkin diperlukan. Kami melacak dan menyelesaikan insiden dengan tindakan perbaikan yang tepat. Jika dibutuhkan, kami dapat menyediakan bukti yang terkait dengan insiden tersebut. Kami dapat menyediakan Analisis Penyebab Utama jika Anda memintanya.

  • Apakah Zoho mematuhi PCI DSS? 

    Layanan Zoho berikut ini mematuhi PCI DSS: Semua produk Zoho Finance Plus (mis.) Zoho Books, Zoho Invoice, Zoho Inventory, Zoho Subscription, Zoho Expense, Zoho Checkout, dan Zoho Commerce. Layanan Pembayaran yang pelanggan gunakan untuk membeli langganan Zoho juga mematuhi PCI.

    Layanan Zoho lainnya tidak pernah mengirimkan atau menyimpan detail kartu kredit Anda.

  • Apa opsi keamanan tambahan yang dapat digunakan untuk melindungi data saya sebagai pelanggan Zoho?

    Fitur keamanan tambahan yang dapat diterapkan oleh pelanggan:

    • Autentikasi Multifaktor
    • Kebijakan kata sandi yang dapat dikonfigurasi
    • Pembatasan IP
    • Kontrol akses Berbasis peran
    • Enkripsi untuk bidang kustom
    • Audit aktivitas akun
  • Berapa lama data akan disimpan setelah pelanggan berhenti dari layanan Zoho?

    Kami menyimpan data di akun Anda selama Anda memilih untuk menggunakan Layanan Zoho. Setelah Anda menutup akun pengguna Zoho Anda, data Anda pada akhirnya akan dihapus dari database aktif selama pembersihan berikutnya yang terjadi sekali dalam 6 bulan. Data yang dihapus dari database aktif akan dihapus dari cadangan setelah 3 bulan.

  • Apa rencana kelanjutan bisnis dan penanggulangan bencana Zoho?

    Kami memiliki rencana kelanjutan bisnis untuk operasi utama seperti manajemen dukungan dan infrastruktur. Untuk redundansi, Data di Pusat Data (DC) primer direplikasi di DC sekunder. Jika DC primer gagal, DC sekunder akan mengambil alih dan operasi dilakukan secara mulus tanpa atau dengan jeda waktu minimum.

  • Apa kebijakan pencadangan data Zoho?

    Kami menjalankan pencadangan penuh seminggu sekali dan pencadangan bertahap setiap hari. Data cadangan di DC disimpan di lokasi yang sama dan dienkripsi saat tidak aktif, seperti data aslinya. Kami juga memulihkan dan memvalidasi cadangan setiap minggu. Semua data cadangan memiliki waktu retensi selama 3 bulan. Kami akan memulihkan dan menyediakan data dari cadangan jika diminta oleh pelanggan tertentu.

  • Kontrol apa yang Anda miliki saat mengakses data pelanggan?

    Kami menggunakan kontrol akses teknis dan kebijakan internal kami melarang karyawan untuk mengakses data pengguna secara acak. Kami mematuhi prinsip hak istimewa terendah dan izin berbasis peran untuk meminimalkan risiko pengungkapan data.  Akses ke lingkungan produksi difasilitasi melalui jaringan terpisah dengan aturan yang lebih ketat dan perangkat yang diperkuat. Kontrol akses dijaga oleh direktori pusat serta diautentikasi dengan kombinasi kata sandi yang kuat, autentikasi dua faktor, dan kunci SSH yang dilindungi frasa sandi

  • Apa komitmen SLA ketersediaan Zoho?

    Komitmen SLA ketersediaan kami adalah 99,9% waktu aktif bulanan. Untuk mencapainya, kami menerapkan redundansi pada berbagai tingkat mulai dari Infrastruktur hingga ISP. Data dari pusat data primer direplikasi di DC sekunder, dan pusat data sekunder selalu menyediakan aplikasi Zoho dalam versi baca saja.

  • Apa proses penilaian risiko Zoho? Seberapa sering penilaian risiko dilakukan?

    Kebijakan dan prosedur penilaian risiko berguna untuk mengidentifikasi, menganalisis, dan mengurangi risiko dengan menerapkan kontrol yang sesuai. Kami melakukan penilaian risiko untuk setiap perubahan besar yang terjadi di lingkungan. Kami meninjau dan memperbarui risiko secara keseluruhan setiap setahun sekali. 

  • Apa kebijakan pemeriksaan latar belakang karyawan Zoho?

    Setiap karyawan harus melalui proses verifikasi latar belakang. Kami menunjuk badan eksternal untuk melakukan pemeriksaan tersebut atas nama kami. Kami melakukan hal ini untuk memverifikasi catatan kriminal, catatan pekerjaan sebelumnya jika ada, dan latar belakang pendidikan mereka. Sebelum menyelesaikan pemeriksaan, karyawan tidak diberi tugas karena dapat menimbulkan risiko bagi pengguna.

  • Sertifikasi apa saja dimiliki Zoho untuk menunjukkan kepatuhannya terhadap standar?

    Kami memiliki sertifikasi ISO 27001, ISO 27017, dan ISO 27018.  Zoho juga mematuhi Keamanan, Kerahasiaan, Integritas Pemrosesan, Ketersediaan, dan PrivasiSOC 2 Tipe II. Kami melakukan Audit ISO dan SOC setiap tahun, mencakup semua kontrol yang penting dan utama. Zoho Corporation berpartisipasi dalam dan telah mendapatkan sertifikat atas kepatuhannya terhadap Kerangka Kerja Perlindungan Privasi UE-AS.

    Klik di sini untuk detail lebih lanjut.

  • Apakah data saya akan dibagikan untuk tujuan penegakan hukum?

    Kami selalu mengutamakan privasi pelanggan. Kami akan meninjau permintaan dari pihak penegak hukum guna mengetahui apakah kami harus menerapkan proses hukum yang berlaku diikuti untuk menerima pesanan yang valid dan mengikat. Kami akan menolak permintaan yang berlebihan atau tidak tepat. Kami memberi tahu pelanggan sebelum mengungkapkan data pelanggan, sehingga mereka dapat mencari perlindungan terhadap pengungkapan, kecuali dilarang oleh hukum.