Ketika kebanyakan perusahaan rintisan atau startup hanya peduli ekspansi bisnis dan pemasaran, PrivyID justru fokus membenahi sistem keamanan datanya. Keseriusan dan kemampuan PrivyID dalam menjaga keamanan serta kerahasiaan data penggunanya terbukti dengan diberikannya sertifikat ISO/IEC 27001:2013 kepada PrivyID pada 29 Januari 2018 lalu. Di Indonesia, hanya perusahaan besar seperti bank, operator telekomunikasi, dan perusahaan asing yang berhasil mendapatkan sertifikasi ini. PrivyID menjadi perusahaan rintisan langka di Indonesia yang lolos audit ISO 27001.
Sebagai perusahaan yang menyediakan layanan tanda tangan digital, keamanan data menjadi fokus utama dari layanan PrivyID. PrivyID menjamin keamanan dan kerahasiaan data pengguna beserta seluruh isi dokumen hukum yang diunggah ke aplikasi PrivyID. Teknologi enkripsi dari PrivyID memberikan jaminan legalitas dokumen yang di-tanda-tangani oleh PrivyID sah berdasarkan UU Informasi dan Transaksi Elektronik (UU ITE).
Sertifikat ISO/IEC 27001:2013 adalah sebuah standar keamanan informasi yang diluncurkan pada September 2013 sebagai pembaruan dari versi terdahulu di tahun 2005. Sertifikasi ini ditetapkan oleh International Organization for Standardization (ISO) dan International Elecrotechnical Commission (IEC). Kedua lembaga ini menetapkan sebuah standar sistem manajemen keamanan informasi atau yang biasa disebut dengan ISMS (Information Security Management System).
Perusahaan-perusahaan yang mendapatkan sertifikat ISO/IEC 27001:2013 berarti sudah teruji dan terbukti sukses memberlakukan standar ISMS dalam menjaga keamanan data perusahaannya. Tentu saja, hanya perusahaan yang lolos pengujian ketat oleh tim independen yang bisa memperoleh sertifikat ISO/IEC 27001:2013.
3 Aspek Mendapatkan Sertifikat ISO/IEC 27001:2013
Perlu diketahui, ada tiga aspek yang wajib dimiliki oleh suatu perusahaan sebelum bisa mendapatkan sertifikat ISO/IEC 27001:2013. Pertama, perusahaan mampu mengawasi secara sistematis risiko keamanan informasi. Kedua, perusahaan mampu merancang dan mengimplementasikan kontrol keamanan. Ketiga, perusahaan memiliki proses manajemen yang menjamin kontrol keamanan informasi berjalan secara berkelanjutan seiring dengan kebutuhan dan perkembangan perusahaan.
Sebagaimana dijelaskan oleh Krishna Chandra selaku EVP Security PrivyID, “Secara total, ada 14 annex yang terbagi menjadi 140 poin kontrol yang ditetapkan oleh ISO dan IEC. PrivyID harus bisa memahami seluruh poin yang ditetapkan, kemudian melakukan gap analysis untuk menemukan poin mana saja yang sudah dilaksanakan oleh sistem PrivyID yang sudah ada, dan poin mana saja yang belum dipenuhi”. Setelahnya, Krishna menentukan berbagai standard operating procedure (SOP) untuk PrivyID guna memenuhi seluruh poin kontrol tersebut. “Prosedur dimulai dari penyusunan struktur organisasi perusahaan”, ujar Krishna lebih lanjut.
Proses pengujiannya sendiri berlangsung selama 20 minggu dan terbagi menjadi 4 tahapan. Setelah melaksanakan gap analysis dan menyusun SOP, PrivyID menjalankan internal audit untuk mencari pembuktian bahwa SOP yang dibuat sudah benar dan sesuai standar. Kemudian, pengujian dilanjutkan dengan 2 fase external audit yang dilaksanakan oleh TUV Rheinland Indonesia, sebuah organisasi swasta bertaraf internasional yang bergerak di bidang jasa teknikal inspeksi, pengujian, dan sertifikasi.
Ajisatria Suleiman, Direktur Eksekutif Asosiasi Fintech Indonesia, membenarkan bahwa proses audit ISO 27001 tidak mudah. “Ya, sejak beberapa bulan terakhir memang ada upaya dari Otoritas Jasa Keuangan agar perusahaan fintech yang bergerak di bidang lending segera mendapatkan ISO 27001, namun praktiknya sulit karena butuh banyak perombakan di proses bisnis dan struktur perusahaan,” menurut Aji. “PrivyID seyogyanya dapat menjadi contoh perusahaan startup yang menjadikan keamanan informasi sebagai prioritas utama” tutupnya.
TENTANG PRIVY.ID:
PrivyID didirikan di Jakarta pada tahun 2016 dengan misi menghadirkan teknologi yang memberikan identitas tunggal yang terintegrasi secara universal di dunia digital bagi penggunanya. Sebagai perusahaan yang telah terdaftar dan diakui oleh pemerintah Indonesia melalui Kementerian Komunikasi dan Informatika (Kominfo), PrivyID memiliki otoritas untuk menerima pendaftaran, memverifikasi, serta menerbitkan sertifikat elektronik dan tanda tangan elektronik bagi warga negara Indonesia. Seluruh tanda tangan elektronik yang dibuat dengan aplikasi PrivyID memiliki kekuatan dan akibat hukum yang sah selayaknya tanda tangan basah. Keamanan informasi data pengguna aplikasi PrivyID terjamin melalui penggunaan teknologi asymmetric cyrptography.
SITUS:
CONTACT PERSON:
Anggi Sitorus – Head of Marcomm
Bima Marzuki – PR Consultant
e: bima.marzuki@mediabuffet.co
