Memahami tanggung jawab bersama dengan Zoho

Zoho bertanggung jawab untuk menciptakan produk yang aman, andal, dan tangguh. Meskipun kami menggunakan infrastruktur cloud, Anda bertanggung jawab untuk mengamankan data dan pengaturan yang Anda konfigurasikan dalam aplikasi Zoho.

Saat Anda menggunakan Zoho, keamanan dan privasi data merupakan tanggung jawab bersama antara Anda dan kami. Berikut adalah model yang menjelaskan arsitektur tingkat tinggi lingkungan cloud kami, yaitu Perangkat Lunak sebagai Layanan (SaaS), dan tanggung jawab terkait.

Diperbarui pada: 12 Juli 2020

Tanggung Jawab Pelanggan

  •   Akuntabilitas data
  •   Kata Sandi
  •  Keamanan klien dan endpoint

Tanggung Jawab Bersama

  •   Manajemen identifikasi dan akses
  •   Manajemen data
  •   Mengelola data kepada pihak lain
  •   Enkripsi
  •   Pencadangan
  •   Manajemen insiden
  •   Kesadaran dan pelatihan
  •   Kebijakan dan kepatuhan

Tanggung Jawab Zoho

  •  Keamanan data
  •  Ketersediaan
  •   Kelanjutan Bisnis
  •   Kontrol jaringan
  •   Infrastruktur host
  •   Keamanan fisik

Kami telah menyusun panduan ini untuk membantu Anda memahami apa yang Zoho lakukan untuk mengamankan akun Anda, apa yang dapat Anda lakukan untuk mengamankan data, dan bagaimana kita dapat bekerja sama untuk menciptakan lingkungan cloud yang aman.

Tanggung jawab pelanggan

Mari kita lihat tanggung jawab Anda untuk melindungi data Anda di cloud dan keamanan perangkat Anda.

Akuntabilitas data

Anda bertanggung jawab atas/untuk:

  • Data yang Anda bagikan dan terima melalui cloud. Keputusan Anda untuk membagikan data tersebut dengan siapa, periode, dan cara berbaginya.
  • Memastikan privasi data yang Anda tangani menggunakan layanan Zoho, guna menjamin bahwa Anda tidak secara tidak sengaja atau dengan sukarela membuat konten pribadi apa pun tersedia untuk umum.
  • Menjaga keakuratan data yang Anda proses dalam sistem.
  • Memastikan bahwa akun layanan Zoho Anda tidak digunakan oleh Anda atau orang lain atas nama Anda untuk spam atau aktivitas ilegal, dan bahwa layanan Zoho hanya digunakan untuk tujuan yang dimaksudkan.

Kata Sandi

Membuat kata sandi yang kuat serta menjaganya saat Anda menggunakannya untuk login dan mengakses cloud.

Keamanan klien dan endpoint

  • Penyusupan pada salah satu endpoint Anda (baik laptop, desktop, maupun ponsel cerdas Anda) akan membuat semua kontrol lain tidak efektif.
  • Anda bertanggung jawab atas keamanan endpoint dan diharapkan untuk selalu memperbarui layanan browser, sistem operasi (OS) seluler, dan aplikasi seluler Anda ke versi terbaru dan memberikan tambalan untuk kerentanan.

Tanggung jawab bersama

Tanggung jawab kontrol yang akan berlaku untuk Anda dan Zoho.

Manajemen identitas dan akses

Kami menyediakan infrastruktur untuk mengelola akun pengguna melalui layanan Manajemen Identitas dan Akses (IAM) dengan memfasilitasi:

  • Pendaftaran pengguna, opsi pembatalan registrasi, dan spesifikasi tentang cara menggunakannya.
  • Fungsionalitas untuk mengelola hak akses pengguna cloud Anda.
  • Teknik autentikasi kuat, seperti Autentikasi Multifaktor dan pembatasan alamat IP.

Anda bertanggung jawab untuk:

  • Menerapkan kontrol manajemen akses pengguna yang kuat.
  • Mengonfigurasi kata sandi yang kuat berdasarkan kebijakan organisasi dan melindunginya.
  • Mengaktifkan Autentikasi Multifaktor untuk pengguna organisasi Anda.
  • Mengelola akun dan hak pengguna—mengonfigurasi peran pengguna sesuai dengan dasar tingkat hak istimewa yang paling rendah.
  • Menentukan administrator akun organisasi dan memiliki proses yang tepat untuk transfer kepemilikan. Anda bertanggung jawab untuk melakukan langkah-langkah yang diperlukan guna memastikan bahwa organisasi Anda tidak kehilangan kontrol atas akun administrator.
  • Secara berkala meninjau daftar pengguna dengan akses ke data dan menghapus akses bagi siapa pun yang tidak seharusnya memiliki akses tersebut.
  • Secara rutin meninjau perangkat yang ditautkan ke akun pengguna organisasi dan menghapus perangkat yang tidak digunakan atau tidak diotorisasi.
  • Memantau akun pengguna organisasi Anda untuk mendeteksi akses atau penggunaan yang berbahaya.
  • Memberi tahu Zoho tentang akun organisasi Anda yang digunakan secara tidak sah.
  • Memberikan edukasi kepada pengguna Anda tentang pentingnya manajemen kata sandi yang baik, risiko penggunaan kembali kredensial, login menggunakan akun media sosial, dan serangan phishing.

Manajemen Data

Kami menyediakan platform bagi Anda untuk mengelola data dengan:

  • Fitur berbagi data untuk kontrol tingkat pengguna dan administrator.
  • Fitur audit terhadap data pelanggan untuk menyediakan transparansi tentang aktivitas penting dan melacak perubahan.
  • Interoperabilitas Data—opsi untuk mengambil cadangan data dan konfigurasi lengkap guna memindahkan semua atau sebagian data Anda ke penyedia SaaS lain.
  • Penyimpanan dan pembuangan data—kami menyimpan data di akun Anda selama Anda memilih untuk menggunakan Layanan Zoho. Setelah menutup akun pengguna Zoho, data Anda akan dihapus dari database aktif selama pembersihan berikutnya yang dilakukan setiap enam bulan sekali. Data yang dihapus dari database aktif akan dihapus dari cadangan setelah tiga bulan.
  • Fitur pembatasan akses untuk membatasi akses karyawan ke data pelanggan dan memastikan bahwa mereka hanya dapat mengaksesnya jika ada alasan tertentu.

Anda bertanggung jawab untuk:

  • Melakukan uji kelayakan saat memproses informasi yang berada dalam kategori khusus (misalnya, data pribadi/sensitif) dengan menerapkan kontrol yang tepat untuk mematuhi persyaratan undang-undang yang berlaku.
  • Mengonfigurasi izin berbagi dan izin melihat yang tepat.
  • Meninjau laporan audit secara teratur untuk mengidentifikasi aktivitas mencurigakan.
  • Memperbarui informasi kontak terkini dengan Zoho.
  • Mengeluarkan data Anda dari sistem begitu Anda berhenti menggunakan layanan kami. Jika tidak, data Anda dapat dihapus secara permanen tanpa kesempatan pemulihan apa pun.

Mengelola data kepada pihak lain

Kami berupaya untuk memiliki integrasi dan ekstensi yang aman ke aplikasi kami dengan:

  • Aplikasi Marketplace: Melakukan pengujian fungsional, pengujian keamanan, dan pengujian privasi setelah aplikasi dikirimkan kepada kami. Kami juga melakukan tinjauan terhadap produk dan konten.
  • Pengolah data pengganti: Mengevaluasi praktik keamanan dan privasi pengolah data pengganti yang ingin kami kontrak guna memastikan bahwa mereka sejalan dengan standar keamanan dan privasi informasi Zoho. Selanjutnya, kami menandatangani perjanjian perlindungan data yang sesuai dengan mereka.
  • Kami meninjau kebijakan privasi dan ketentuan layanan vendor kami dan memastikan bahwa operasi mereka sesuai dengan kebijakan tersebut.

Kami mengharapkan Anda untuk:

  • Mengaktifkan atau menonaktifkan integrasi pihak ketiga setelah mempertimbangkan data yang akan dibagikan ke lingkungan pihak ketiga. Anda harus meninjau ketentuan dan kebijakan privasi layanan pihak ketiga mengenai pengumpulan, penggunaan, atau pengungkapan data.
  • Menandai preferensi Anda mengenai apakah Anda ingin membagikan informasi Anda kepada vendor setiap kali ekstensi diinstal.
  • Menilai kesesuaian Aplikasi Marketplace dan kewajaran izin yang diminta sebelum instalasi.
  • Memberi tahu Zoho tentang perilaku berbahaya yang teridentifikasi di Aplikasi Marketplace.

Hak subjek data

Kami bertanggung jawab untuk:

  • Menyediakan fitur yang memungkinkan Anda untuk memenuhi dan melindungi hak pelanggan Anda.
  • Memberi tahu Anda tentang permintaan dari pelanggan Anda saat mereka menghubungi kami langsung karena menggunakan hak mereka.

Anda wajib:

  • Menghormati dan menangani permintaan dari pelanggan mengenai akses, perbaikan, penghapusan, dan pembatasan data dalam pemrosesan informasi pribadi mereka.

Enkripsi

Kami mengamankan data Anda menggunakan enkripsi saat transit dan saat tidak aktif dengan cara berikut:

  • Data saat transit: Kami melindungi semua data pelanggan yang dikirimkan ke server kami melalui jaringan publik menggunakan alat enkripsi yang kuat. Kami mewajibkan semua koneksi ke server kami menggunakan enkripsi Transport Layer Security (TLS 1.2/1.3) dengan penyandian yang kuat. Hal ini berlaku untuk semua koneksi, termasuk akses web, akses API, aplikasi seluler kami, dan akses IMAP/POP/SMTP.
  • Data tidak aktif: Data pelanggan yang sensitif dienkripsi saat tidak aktif menggunakan algoritme Advanced Encryption Standard (AES) 256 bit. Enkripsi data saat tidak aktif bervariasi, bergantung pada layanan yang Anda pilih. Kami memiliki dan menjaga kunci dengan Layanan Manajemen Kunci (KMS).

Kami menyarankan Anda untuk:

  • Menentukan kebutuhan enkripsi Anda. Dalam banyak kejadian saat menggunakan layanan kami, Anda mungkin bertanggung jawab untuk menentukan bidang mana yang harus dienkripsi untuk data yang tidak aktif.
  • Anda harus memastikan bahwa kontrol enkripsi yang relevan diterapkan ketika data dari cloud kami diunduh atau diekspor ke lingkungan Anda atau disinkronkan dalam integrasi di Zoho atau dengan integrasi pihak ketiga lainnya. Misalnya, mengaktifkan enkripsi disk pada perangkat Anda dan menggunakan fitur ekspor dengan mengaktifkan perlindungan kata sandi, dll.

Pencadangan

Kami memiliki sistem yang tangguh untuk:

  • Menjaga data cadangan di tingkatan sistem agar terenkripsi dengan algoritme AES-256 bit dan disimpan dengan aman. Menjalankan pemeriksaan integritas dan validasi terhadap cadangan lengkap.
  • Mengizinkan permintaan pemulihan data dan memberikan akses aman ke permintaan tersebut selama periode penyimpanan. Menyediakan fitur kepada pelanggan untuk mengekspor dan mengambil cadangan data mereka.

Anda dapat:

  • Menjadwalkan pencadangan terhadap data Anda, mengekspornya dari masing-masing layanan Zoho, dan menyimpannya secara lokal di infrastruktur Anda, jika perlu. Anda bertanggung jawab untuk menyimpannya dengan aman.

Manajemen insiden

Kami akan memastikan untuk:

  • Melaporkan semua insiden pelanggaran yang kami ketahui dan yang berlaku bagi Anda yang disertai dengan detail dampak dan tindakan yang sesuai untuk insiden tersebut. Untuk insiden khusus pengguna individu atau organisasi, kami akan memberi tahu pihak yang bersangkutan melalui email (menggunakan alamat email utama mereka).
  • Melacak dan menyelesaikan insiden tersebut.
  • Menerapkan kontrol agar situasi serupa tidak terjadi kembali.
  • Jika diminta, kami akan memberikan bukti tambahan terkait dengan insiden yang berlaku bagi Anda.

Kami mengharapkan Anda untuk:

  • Mengambil tindakan yang disarankan oleh Zoho jika terjadi pelanggaran.
  • Memenuhi persyaratan pemberitahuan dan pengungkapan pelanggaran data Anda, seperti memberi tahu pengguna akhir dan otoritas perlindungan data jika perlu.
  • Melaporkan insiden keamanan dan privasi yang Anda ketahui ke incidents@zohocorp.com.

Kesadaran dan pelatihan

Kami bertanggung jawab penuh untuk:

  • Memberikan pelatihan kepada karyawan agar sadar akan keamanan dan mematuhi standar pengembangan yang aman. Mengikutsertakan karyawan baru dalam pelatihan keamanan dan privasi wajib, di samping menerima pelatihan kesadaran keamanan secara rutin melalui email informasi, presentasi, dan sumber daya yang tersedia di intranet kami.
  • Memberikan pelatihan kepada karyawan tentang penanganan data pelanggan layanan cloud yang tepat.

Anda bertanggung jawab untuk memberikan pelatihan kepada pengguna cloud tentang:

  • Standar dan prosedur penggunaan layanan kami.
  • Pengelolaan risiko yang terkait dengan layanan kami
  • Risiko pada sistem umum dan lingkungan jaringan.
  • Pertimbangan hukum dan peraturan yang berlaku.

Kebijakan dan kepatuhan

Kami mematuhi serangkaian panduan, seperti:

  • Kami memiliki program manajemen risiko yang menyeluruh dan menjalankan kontrol secara efektif.
  • Kami beroperasi sesuai dengan hukum di berbagai yurisdiksi tempat kami beroperasi.
  • Kami memberikan bukti kepatuhan terhadap perundang-undangan yang berlaku dan berdasarkan persyaratan kontrak kami.
  • Kami akan membantu dalam penilaian DPIA pelanggan kami hingga batas yang diizinkan oleh undang-undang yang berlaku.

Kami mengharapkan Anda untuk:

  • Mengevaluasi peraturan dan undang-undang yang berlaku untuk Anda dan untuk meninjau kepatuhan kami terhadap peraturan dan standar yang diperlukan untuk bisnis Anda. Anda dapat meminta informasi tambahan yang akan digunakan sebagai bukti kepatuhan kami.
  • Memahami kebijakan, metode penilaian kebijakan, dan cara kami memproses data.
  • Melakukan DPIA sebagaimana disyaratkan berdasarkan undang-undang perlindungan data yang berlaku untuk organisasi Anda sebelum/saat memproses data
  • Menilai dasar hukum Anda sebelum memproses data pribadi/sensitif. Jika dasar hukum Anda adalah persetujuan, pastikan Anda mendapatkan persetujuan dari pelanggan Anda.
  • Menilai kesesuaian layanan berbasis cloud kami berdasarkan informasi yang kami berikan dan memastikan bahwa layanan tersebut dapat memenuhi kebutuhan kepatuhan Anda.
  • Memahami profil risiko dan sensitivitas data yang di-hosting di layanan Zoho serta menerapkan kontrol yang tepat.

Tanggung jawab Zoho

Kami bertanggung jawab atas perlindungan 'terhadap' cloud dan kontrol terkait yang menjalankan semua layanan Zoho.

Keamanan data

  • Kami bertanggung jawab untuk mengisolasi data Anda yang disimpan di layanan kami. Data layanan setiap pelanggan dipisahkan dari data pelanggan lain secara logis menggunakan serangkaian protokol kerangka kerja yang aman.
  • Kami bertanggung jawab atas kerahasiaan data Anda yang disimpan di layanan kami saat data tidak aktif, sedang dikirim, dan selama pemrosesan.
  • Kami bertanggung jawab atas integritas data dan data sistem Anda, seperti log dan data konfigurasi.
  • Kami bertanggung jawab atas pelacakan dan kontrol data Anda sehingga lokasi fisik dan pemrosesan data dapat diketahui kapan pun.

Ketersediaan

  • Kami bertanggung jawab untuk memastikan bahwa layanan kami tersedia sesuai SLA waktu aktif kami sebesar 99,9% dengan menangani kegagalan dan ancaman pada perangkat keras/perangkat lunak, seperti serangan penolakan layanan.
  • Sebagai pelanggan, Anda dapat mengunjungi status.zoho.com kapan saja untuk menampilkan status situs saat ini, serta gangguan sebelumnya.

Kelanjutan Bisnis

  • Kami bertanggung jawab untuk memiliki rencana kelanjutan bisnis untuk operasi utama, seperti manajemen dukungan dan infrastruktur.
  • Kami akan memastikan bahwa data aplikasi yang disimpan pada penyimpanan yang andal direplikasi di seluruh pusat data (DC). Data dalam DC utama direplikasi dalam DC sekunder secara hampir real time, dan kami dapat beralih ke DC sekunder jika terjadi bencana.

Kontrol jaringan

Kami bertanggung jawab untuk mengoperasikan jaringan produksi yang aman. Kami menggunakan firewall untuk mencegah jaringan ditembus oleh akses yang tidak sah dan lalu lintas yang tidak diinginkan. Akses ke jaringan produksi dikontrol dengan ketat.

Infrastruktur host

Kami bertanggung jawab untuk melindungi dan mengamankan infrastruktur host. Semua server yang ditetapkan dalam jaringan produksi diperkuat sesuai dengan standar. Kami menggunakan teknologi manajemen patch OS, konfigurasi dasar, dan deteksi penyusupan Host untuk menjaga agar infrastruktur tetap aman.

Keamanan fisik

Kami bertanggung jawab untuk memastikan bahwa infrastruktur terlindung dari akses fisik yang tidak sah, penyusupan, dan bencana.

Kesimpulan

Model tanggung jawab bersama untuk keamanan cloud memberikan kejelasan tentang ekspektasi keamanan untuk pengguna cloud dan penyedia layanan cloud. Namun, pemahaman tentang harapan tersebut hanyalah langkah pertama. Pengguna harus mengambil tindakan berdasarkan tanggung jawab ini dengan membuat kebijakan dan prosedur untuk keamanan cloud dalam porsi mereka. Zoho akan terus bekerja keras untuk menjaga keamanan data Anda—seperti yang selalu kami lakukan—dan akan berusaha menciptakan lingkungan cloud yang aman.

Untuk pertanyaan lebih lanjut mengenai topik ini, silakan hubungi kami di security@zohocorp.com