Pendahuluan

Zoho menyediakan produk Perangkat Lunak sebagai Layanan (SaaS) bagi jutaan pengguna di seluruh dunia untuk memecahkan masalah bisnis mereka. Keamanan adalah komponen utama yang tercermin dalam orang, proses, dan produk kami. Halaman ini membahas topik seperti keamanan data, keamanan operasional, dan keamanan fisik, untuk menjelaskan cara kami dalam menyediakan keamanan bagi pelanggan.

Diperbarui: 29 Oktober 2019

Ikhtisar

Strategi keamanan kami melibatkan komponen berikut ini

  •   Keamanan organisasi
  •   Keamanan fisik
  •   Keamanan infrastruktur
  •   Keamanan data
  •   Kontrol identitas dan akses
  •   Keamanan operasional
  •   Manajemen insiden
  •   Pengungkapan yang bertanggung jawab
  •   Manajemen vendor
  •   Kontrol pelanggan untuk keamanan

Keamanan organisasi

Sistem Manajemen Keamanan Informasi (ISMS) kami mempertimbangkan tujuan keamanan, risiko, dan mitigasi terkait dengan semua pihak yang terlibat. Kita menerapkan kebijakan dan prosedur ketat yang menekankan keamanan, ketersediaan, pemrosesan, integritas, serta kerahasiaan data pelanggan.

Pemeriksaan latar belakang karyawan

Setiap karyawan harus melalui proses verifikasi latar belakang. Kami menunjuk badan eksternal untuk melakukan pemeriksaan tersebut atas nama kami. Kami melakukan hal ini untuk memverifikasi catatan kriminal, catatan pekerjaan sebelumnya jika ada, dan latar belakang pendidikan mereka. Sebelum menyelesaikan pemeriksaan, karyawan tidak diberi tugas karena dapat menimbulkan risiko bagi pengguna. 

Kesadaran Keamanan

Setiap karyawan yang direkrut akan menandatangani perjanjian kerahasiaan dan kebijakan penggunaan yang dapat diterima, kemudian mereka akan menjalani pelatihan mengenai keamanan informasi, privasi, dan kepatuhan. Selanjutnya, kami mengevaluasi pemahaman mereka melalui pengujian dan kuis untuk menentukan topik mana yang harus dilatih lebih lanjut. Kami menyediakan pelatihan mengenai aspek keamanan tertentu, yang mungkin dibutuhkan bergantung pada jabatan mereka.

Kami terus mendidik karyawan tentang keamanan informasi, privasi, dan kepatuhan di komunitas internal, di mana karyawan dapat membacanya secara berkala untuk mendapatkan informasi terbaru mengenai praktik keamanan organisasi. Kami juga menyelenggarakan acara internal untuk meningkatkan kesadaran dan mendorong inovasi dalam bidang keamanan dan privasi.

Tim khusus keamanan dan privasi

Kami memiliki tim khusus keamanan dan privasi yang menerapkan serta mengelola program keamanan dan privasi. Mereka merancang dan memelihara sistem pertahanan, mengembangkan proses peninjauan keamanan, dan terus memantau jaringan untuk mendeteksi aktivitas yang mencurigakan. Tim menyediakan layanan dan panduan konsultasi khusus domain bagi tim teknis.

Audit dan kepatuhan internal

Kami memiliki tim kepatuhan khusus untuk meninjau prosedur dan kebijakan Zoho agar selalu selaras dengan standar, dan untuk menentukan kontrol, proses, dan sistem yang diperlukan untuk memenuhi standar tersebut. Tim juga melakukan audit internal secara berkala dan memfasilitasi audit serta penilaian independen oleh pihak ketiga.

Untuk detail selengkapnya, lihat portofolio kepatuhan kami.

Keamanan titik akhir

Semua stasiun kerja untuk karyawan Zoho menjalankan versi OS terbaru dan dikonfigurasi dengan perangkat lunak anti-virus. Konfigurasi dirancang sedemikian rupa agar sesuai dengan standar keamanan kami, yang mewajibkan semua stasiun kerja untuk memiliki konfigurasi dan patch yang benar sehingga dapat dilacak dan dipantau oleh solusi manajemen titik akhir Zoho. Stasiun kerja aman secara default karena dikonfigurasikan untuk mengenkripsi data saat tidak digunakan, memiliki kata sandi yang kuat, dan dikunci saat stasiun kerja tidak bekerja. Perangkat seluler yang digunakan untuk keperluan bisnis didaftarkan dalam sistem manajemen perangkat seluler untuk memastikan bahwa perangkat tersebut memenuhi standar keamanan kami.

Keamanan fisik

Di tempat kerja

Kami mengontrol akses ke sumber daya (bangunan, infrastruktur, dan fasilitas) yang mencakup akses konsumsi, entri, dan penggunaan, dengan bantuan kartu akses. Kami memberikan kartu akses yang berbeda bagi karyawan, kontraktor, vendor, dan pengunjung, sehingga mereka hanya dapat mengakses lokasi yang ditentukan. Tim Sumber Daya Manusia (HR) membuat dan mempertahankan tujuan khusus peran tertentu. Kami mempertahankan log akses untuk mengenali dan mengatasi anomali. 

Di Pusat Data

Di Pusat Data, penyedia lokasi bersama bertanggung jawab atas keamanan bangunan, pendinginan, daya, dan fisik, sedangkan kami bertanggung jawab atas keamanan server dan penyimpanan. Akses ke Pusat Data hanya terbatas untuk sekelompok kecil personel yang berwenang. Akses lainnya disampaikan sebagai tiket dan hanya diizinkan setelah manajer yang terkait menyetujuinya. Anda memerlukan autentikasi dua faktor dan autentikasi biometrik tambahan untuk memasuki lokasi. Log akses, catatan aktivitas, dan rekaman kamera tersedia jika terjadi insiden.

Pemantauan

Kami memantau semua gerakan masuk dan keluar di seluruh lokasi semua pusat bisnis dan pusat data kami melalui kamera CCTV yang tersebar sesuai dengan peraturan setempat. Rekaman cadangan tersedia hingga periode tertentu, bergantung pada kebutuhan lokasi tersebut.

Keamanan infrastruktur

Keamanan jaringan

Teknik keamanan jaringan serta pengawasan kami dirancang untuk memberikan lapisan perlindungan dan pertahanan berlapis-lapis. Kami menggunakan firewall untuk mencegah jaringan dari akses yang tidak sah dan lalu lintas yang tidak diinginkan. Sistem kami dibagi menjadi beberapa jaringan untuk melindungi data sensitif. Sistem yang mendukung aktivitas pengujian dan pengembangan dikelola dalam jaringan terpisah dari sistem yang mendukung infrastruktur produksi Zoho.

Kami memantau akses firewall dengan jadwal teratur yang ketat. Teknisi jaringan meninjau semua perubahan yang dibuat pada firewall setiap hari. Selain itu, perubahan ini ditinjau setiap tiga bulan sekali untuk memperbarui dan merevisi aturan. Tim khusus Pusat Operasi Jaringan akan memantau infrastruktur dan aplikasi jika ada ketidaksesuaian atau aktivitas mencurigakan. Kami terus memantau semua parameter penting terus menggunakan alat kami yang memiliki hak paten, dan memicu notifikasi jika ada aktivitas abnormal atau mencurigakan di lingkungan produksi.

Redundansi jaringan

Semua komponen platform bersifat redundan. Kami menggunakan arsitektur kisi terdistribusi untuk melindungi sistem dan layanan dari kemungkinan kegagalan server. Jika terjadi kegagalan server, pengguna dapat melanjutkan seperti biasa karena data dan layanan Zoho tetap tersedia.

Kami juga menggunakan beberapa sakelar, router, dan gateway keamanan untuk memastikan redundansi tingkat perangkat. Hal ini mencegah kegagalan satu titik pada jaringan internal.

Pencegahan DDoS

Kami menggunakan teknologi dari penyedia layanan yang mapan dan tepercaya untuk mencegah serangan DDoS pada server. Teknologi ini menawarkan beberapa kemampuan mitigasi DDoS untuk mencegah gangguan akibat lalu lintas yang buruk, sekaligus memungkinkan lalu lintas yang baik. Hal ini menjaga ketersediaan serta performa situs web, aplikasi, dan API kami.

Memperkuat server

Semua server yang ditetapkan untuk aktivitas pengembangan dan pengujian akan dikperkuat (dengan menonaktifkan port dan akun yang tidak digunakan, menghapus kata sandi default, dll.). Gambar Sistem Operasi (OS) dasar memiliki penguat server bawaan, dan gambar OS sudah ditetapkan di server untuk memastikan konsistensi di seluruh server.

Deteksi dan pencegahan intrusi

Mekanisme deteksi intrusi mencatat sinyal berbasis host pada perangkat individu dan sinyal berbasis jaringan dari titik pemantauan di dalam server kami. Kami juga mencatat akses administratif, penggunaan perintah khusus, dan panggilan sistem di semua server dalam jaringan produksi. Kecerdasan aturan dan mesin yang dibangun di atas data ini memberikan peringatan kepada teknisi keamanan mengenai insiden yang mungkin terjadi. WAF kami yang memiliki hak paten beroperasi di lapisan aplikasi dengan aturan daftar putih dan daftar hitam.

Kami menerapkan pendekatan keamanan berlapis di level Penyedia Layanan Internet (ISP) dengan scrubbing, perutean jaringan, pembatasan tarif, dan penyaringan untuk menangani serangan dari lapisan jaringan hingga lapisan aplikasi. Sistem ini menghadirkan lalu-lintas yang bersih, layanan proksi yang andal, dan pelaporan serangan yang cepat, jika ada. 

Keamanan data

Desain aman

Setiap perubahan dan fitur baru diatur oleh kebijakan manajemen perubahan yang memastikan bahwa semua perubahan aplikasi memiliki izin sebelum diterapkan ke produksi. Siklus Hidup Pengembangan Perangkat Lunak (SDLC) wajib mematuhi panduan pengodean yang aman, serta pemeriksaan perubahan kode untuk menghindari potensi masalah keamanan menggunakan alat penganalisis kode, pemindai kerentanan, dan proses peninjauan manual.

Kerangka kerja keamanan kami yang kuat memiliki basis standar OWASP ini diterapkan di lapisan aplikasi dengan fungsi untuk mengurangi ancaman seperti injeksi SQL, Skrip lintas situs, dan serangan lapisan DOS. 

Isolasi data

Kerangka kerja kami mendistribusikan dan mempertahankan ruang cloud untuk pelanggan. Data layanan setiap pelanggan dipisahkan dari data pelanggan lain secara logis menggunakan serangkaian protokol kerangka kerja yang aman. Hal ini menjamin agar data layanan pelanggan tidak dapat diakses oleh pelanggan lain.

Data layanan disimpan di server kami saat Anda menggunakan layanan. Data Anda dimiliki oleh Anda, bukan oleh Zoho. Kami tidak membagikan data kepada pihak ketiga mana pun tanpa persetujuan Anda.

Enkripsi

Dalam transit: Semua data pelanggan yang dikirimkan ke server kami melalui jaringan publik dilindungi menggunakan protokol enkripsi yang kuat. Semua koneksi ke server kami wajib menggunakan enkripsi Keamanan Lapisan Transportasi (TLS 1.2/1.3) dengan cipher yang kuat, untuk semua koneksi termasuk akses web, akses API, aplikasi seluler kami, dan akses klien email IMAP/POP/SMTP. Hal ini menjamin koneksi yang aman karena melibatkan autentikasi kedua pihak dalam koneksi, dan mengenkripsi data yang akan ditransfer. Sedangkan untuk email, layanan kami menggabungkan kesempatan TLS secara default. TLS mengenkripsi dan mengirimkan email secara aman, sehingga mengurangi penyusupan di antara server email layanan peer yang mendukung protokol ini.

Kami memiliki dukungan penuh untuk Perfect Forward Secrecy (PFS) dengan koneksi terenkripsi, yang memastikan bahwa meskipun kami mengalami gangguan di masa depan, komunikasi sebelumnya tidak akan dapat didekripsi. Kami mengaktifkan HTTP Strict Transport Security header (HSTS) ke semua koneksi web. Dengan demikian, semua browser modern hanya akan terhubung melalui koneksi terenkripsi, bahkan jika Anda memasukkan URL ke halaman yang tidak aman di situs kami. Kami juga menandai semua cookie autentikasi kami di web sebagai aman.

Saat tidak digunakan: Data pelanggan yang tidak digunakan akan dienkripsi menggunakan Advanced Encryption Standard (AES) 256-bit. Kami memiliki dan menjaga kunci menggunakan Layanan Manajemen Kunci (KMS) bawaan kami. Kami menyediakan lapisan keamanan tambahan dengan mengenkripsi kunci enkripsi data menggunakan kunci master. Kunci master dan kunci enkripsi data terpisah secara fisik serta disimpan di server yang berbeda dengan akses terbatas.

Kami mengenkripsi data pada dua tingkat utama:

  1. 1. Enkripsi lapisan aplikasi: Enkripsi database terkait, penyimpanan file, cadangan, log, dan cache
  2. 2. Enkripsi disk lengkap berbasis perangkat keras

Klik di sini untuk informasi mendetail mengenai enkripsi di Zoho.

Retensi dan pembuangan data

Kami menyimpan data di akun Anda selama Anda memilih untuk menggunakan Layanan Zoho. Setelah menutup akun pengguna Zoho, data Anda akan dihapus dari database aktif selama pembersihan berikutnya yang terjadi setiap 6 bulan sekali. Data yang dihapus dari database aktif akan dihapus dari cadangan setelah 3 bulan. Jika akun yang belum dibayar tidak aktif selama 120 hari berturut-turut, maka kami akan menghapusnya setelah memberikan peringatan dan opsi untuk mencadangkan data Anda terlebih dahulu.

Perangkat yang tidak dapat digunakan akan dibuang oleh vendor resmi dan terverifikasi. Sebelum itu, kami akan mengategorikan dan menyimpannya di lokasi yang aman. Semua informasi di dalam perangkat akan diformat sebelum dibuang. Kami akan merusak hard drive yang gagal, lalu menghancurkannya secara fisik menggunakan mesin penghancur. Kami menghapus secara kriptografis dan menghancurkan Drive Solid State (SSD) yang gagal.

Kontrol Identitas dan Akses

Akses Menyeluruh (SSO/Single Sign-On)

Zoho menawarkan akses menyeluruh (SSO) agar pengguna dapat mengakses beberapa layanan menggunakan halaman masuk dan kredensial autentikasi yang sama. Saat masuk ke layanan Zoho, ini hanya terjadi melalui layanan Manajemen Identitas dan Akses (IAM) yang terintegrasi. Kami juga mendukung SAML untuk akses menyeluruh agar pelanggan dapat mengintegrasikan penyedia identitas perusahaan seperti LDAP, ADFS saat login ke layanan Zoho

SSO menyederhanakan proses login, memastikan kepatuhan, menyediakan kontrol dan pelaporan akses yang efektif, serta mengurangi risiko kelelahan kata sandi dan kata sandi lemah.

Autentikasi Multifaktor

Verifikasi tambahan menyediakan lapisan keamanan tambahan yang harus dimiliki oleh pengguna, selain kata sandi. Hal ini dapat mengurangi risiko akses yang tidak sah secara signifikan, jika kata sandi pengguna terancam. Saat ini, sistem mendukung berbagai mode seperti ID Sentuh atau ID Wajah biometrik, Notifikasi Push, kode QR, dan OTP berbasis waktu.

Akses administratif

Kami menggunakan kontrol akses teknis dan kebijakan internal kami melarang karyawan untuk mengakses data pengguna secara acak. Kami mematuhi prinsip hak istimewa terendah dan izin berbasis peran untuk meminimalkan risiko pengungkapan data.

Akses ke lingkungan produksi dijaga oleh direktori pusat serta diautentikasi dengan kombinasi kata sandi yang kuat, autentikasi dua faktor, dan kunci SSH yang dilindungi frasa sandi. Selain itu, kami memfasilitasi akses tersebut melalui jaringan terpisah dengan aturan yang lebih ketat dan perangkat yang diperkuat. Kami juga mencatat semua operasi dan mengauditnya secara berkala.

Keamanan operasional

Pencatatan dan Pemantauan

Kami memantau dan menganalisis informasi yang dikumpulkan dari layanan, lalu lintas internal di jaringan, serta penggunaan perangkat dan terminal. Kami mencatat informasi dalam bentuk log kejadian, log audit, log kerusakan, log administrator, dan log operator. Log dimonitor dan dianalisis secara otomatis dalam batas wajar, untuk membantu mengidentifikasi anomali seperti aktivitas tak biasa dalam akun karyawan, atau percobaan untuk mengakses data pelanggan. Kami menyimpan log tersebut di server aman yang terisolasi dari akses sistem penuh, untuk mengelola kontrol akses secara terpusat dan menjamin ketersediaannya. 

Log audit detail yang mencakup semua operasi pembaruan dan penghapusan yang dilakukan oleh pengguna tersedia bagi pelanggan di setiap layanan Zoho.

Manajemen kerentanan

Kami memiliki proses manajemen kerentanan khusus yang memindai ancaman keamanan secara aktif menggunakan kombinasi alat pemindaian pihak ketiga bersertifikasi, alat internal, serta dengan upaya pengujian penetrasi otomatis dan manual. Tim keamanan kami juga meninjau laporan keamanan masuk dan memantau daftar email publik, postingan blog, dan wiki secara aktif untuk mengetahui insiden keamanan yang mungkin memengaruhi infrastruktur perusahaan.

Setelah mengidentifikasi kerentanan yang memerlukan remediasi, kami akan mencatat dan menentukan prioritas berdasarkan tingkat keparahannya, lalu menetapkannya kepada pemilik. Kami akan mengidentifikasi risiko lebih jauh dan melacak kerentanannya hingga kerentanan diselesaikan dengan memperbaiki sistem atau menerapkan kontrol yang relevan.

Perlindungan malware dan spam

Kami memindai semua file pengguna menggunakan sistem pemindaian otomatis yang dirancang untuk menghentikan penyebaran malware di ekosistem Zoho. Mesin kustom anti-malware kami menerima pembaruan sumber ancaman cerdas eksternal secara rutin, serta memindai file untuk menghindari tanda tangan daftar hitam dan pola yang berbahaya. Mesin deteksi yang memiliki hak paten dan teknik pembelajaran mesin dapat menjamin bahwa data pelanggan terlindung dari malware. 

Zoho mendukung Autentikasi, Pelaporan, dan Kepatuhan Pesan Berbasis Domain (DMARC) untuk mencegah spam. DMARC menggunakan SPF dan DKIM untuk memastikan keaslian pesan. Kami juga menggunakan mesin deteksi berhak paten untuk mengidentifikasi penyalahgunaan layanan Zoho seperti aktivitas phishing dan spam. Selain itu, kami memiliki tim khusus anti-spam untuk memantau sinyal dari perangkat lunak dan menangani keluhan penyalahgunaan. Untuk informasi selengkapnya, klik di sini

Cadangan

Kami menjalankan pencadangan lengkap setiap seminggu sekali, sedangkan pencadangan tambahan dilakukan setiap hari. Data cadangan di DC disimpan di lokasi yang sama dan dienkripsi saat tidak digunakan, seperti data aslinya. Kami juga memulihkan dan memvalidasi cadangan setiap minggu. Semua data yang dicadangkan disimpan selama tiga bulan.

Jika pelanggan meminta pemulihan data dalam periode penyimpanan, kami akan memulihkan dan menyediakan data dari cadangan.

Penanggulangan bencana dan kelanjutan bisnis

Data aplikasi disimpan dalam penyimpanan fleksibel berulang di seluruh pusat data. Data dalam DC primer diulang dalam penyimpanan sekunder hampir secara real time. Jika DC primer gagal, DC sekunder akan mengambil alih dan operasi dilakukan secara mulus tanpa atau dengan jeda waktu minimal. Kedua pusat dilengkapi dengan beberapa ISP.

Kami memiliki cadangan daya, sistem kontrol suhu, dan sistem pencegahan kebakaran merupakan langkah fisik yang menjamin kelanjutan bisnis. Langkah tersebut membantu mencapai ketahanan. Selain redundansi data, kami memiliki rencana kelanjutan bisnis untuk operasi utama seperti manajemen dukungan dan infrastruktur.

Manajemen Insiden

Pelaporan

Kami memiliki tim khusus manajemen insiden. Kami memberi tahu insiden di lingkungan yang terjadi, beserta tindakan tepat yang mungkin perlu Anda lakukan. Kami melacak dan menyelesaikan insiden dengan tindakan perbaikan yang tepat. Jika dibutuhkan, kami dapat menyediakan bukti yang terkait dengan insiden tersebut. Kami juga menerapkan kontrol agar situasi serupa tidak terjadi kembali.

Kami merespons insiden keamanan atau privasi yang Anda laporkan ke incidents@zhocorp.com, dengan prioritas tinggi. Untuk insiden umum, kami akan memberi tahu pengguna melalui blog, forum, dan media sosial kami. Untuk insiden khusus pengguna individu atau organisasi, kami akan memberi tahu pihak yang bersangkutan melalui email (menggunakan alamat email utama Administrator organisasi yang terdaftar). 

Pemberitahuan pelanggaran

Sebagai pengontrol data sesuai dengan Peraturan Perlindungan Data Umum (GDPR), kami akan menyampaikan pelanggaran terhadap Otoritas Perlindungan Data dalam waktu 72 jam setelah kami mengetahuinya. Jika perlu, kami juga akan memberi tahu pelanggan, bergantung pada persyaratan tertentu. Sebagai pengolah data, kami menginformasikan pengontrol data yang terkait tanpa penundaan. 

Pengungkapan yang Bertanggung Jawab

Kami menerapkan program pelaporan kerentanan di "Bug Bounty" untuk menjangkau komunitas peneliti, yang mengakui dan menghargai karya para peneliti keamanan. Kami berkomitmen untuk bekerja sama dengan komunitas dalam memverifikasi, mereproduksi, menanggapi, mengesahkan, dan menerapkan solusi yang tepat bagi kerentanan yang dilaporkan.

Jika Anda menemukan kerentanan apa pun, laporkan ke https://bugbounty.zoho.com/. Jika Anda ingin melaporkan kerentanan kepada kami secara langsung, kirimkan email ke security@zohocorp.com. 

Manajemen Vendor dan Pemasok pihak ketiga

Kami mengevaluasi dan memeriksa persyaratan vendor berdasarkan kebijakan manajemen vendor. Kami merekrut vendor baru setelah memahami proses pelayanannya, dan menjalankan penilaian risiko. Kami mengambil langkah yang sesuai agar status keamanan tetap terjamin dengan menetapkan perjanjian yang mewajibkan vendor untuk mematuhi komitmen kerahasiaan, ketersediaan, dan integritas kepada pelanggan kami. Kami memantau efektivitas operasional proses dan langkah keamanan organisasi dengan melakukan tinjauan kontrol secara berkala.

Kontrol pelanggan untuk keamanan

Hingga saat ini, kami telah membahas langkah keamanan dalam beragam fitur bagi pelanggan. Berikut adalah hal yang dapat dilakukan untuk memastikan keamanan Anda sebagai pelanggan:

  •   Pilih serta lindungi kata sandi yang unik dan kuat.
  •   Gunakan autentikasi multifaktor
  •   Gunakan versi browser, OS ponsel, serta aplikasi ponsel terbaru untuk memastikan bahwa versi tersebut melawan kerentanan dan menggunakan fitur keamanan terbaru
  •   Lakukan tindakan pencegahan yang wajar saat berbagi data dari lingkungan cloud.
  •   Klasifikasikan informasi Anda dengan label pribadi atau sensitif.
  •   Pantau perangkat yang ditautkan ke akun Anda, sesi web aktif, dan akses pihak ketiga untuk mengetahui anomali di akun, serta kelola peran dan hak istimewa akun Anda.
  •   Berhati-hatilah terhadap ancaman phishing dan malware dengan mengawasi email, situs web, dan tautan tidak dikenal yang mungkin mengeksploitasi informasi sensitif dengan meniru Zoho atau layanan lain yang Anda percayai.

Kesimpulan

Keamanan data merupakan hak Anda dan misi Zoho yang berkelanjutan. Kami akan selalu berusaha keras untuk menjaga keamanan data Anda. Untuk pertanyaan lebih lanjut mengenai topik ini, silakan hubungi kami di security@zohocorp.com.