Legal

Keamanan

Terakhir diperbarui: 01 June 2026

Keamanan data bisnis Anda adalah prioritas utama kami. Halaman ini menjelaskan langkah-langkah teknis dan operasional yang kami terapkan untuk melindungi sistem Haystech.

🔒 Enkripsi

Semua koneksi menggunakan HTTPS/TLS. Data tidak dikirim dalam teks biasa.

🛡️ Akses Kontrol

Session aman, timeout otomatis, dan pembatasan akses per peran pengguna.

📋 Audit Log

Setiap akses dan perubahan data dicatat untuk keperluan audit dan deteksi anomali.

💾 Backup

Data di-backup secara berkala untuk pemulihan cepat jika terjadi insiden.

1. Enkripsi Data

Semua komunikasi antara browser dan server dienkripsi menggunakan protokol TLS (HTTPS). Koneksi HTTP dialihkan otomatis ke HTTPS.
Password pengguna disimpan menggunakan algoritma hashing bcrypt — tidak ada penyimpanan password dalam bentuk teks biasa.
Token demo dan token sesi dibuat menggunakan generator acak yang aman secara kriptografis (random_bytes).

2. Manajemen Sesi

Cookie sesi dikonfigurasi dengan flag HttpOnly, Secure, dan SameSite=Strict untuk mencegah akses JavaScript dan serangan CSRF.
ID sesi diregenerasi setelah login berhasil untuk mencegah session fixation.
Sesi berakhir otomatis setelah periode tidak aktif.

3. Perlindungan Login

Akun dikunci sementara setelah sejumlah percobaan login yang gagal untuk mencegah serangan brute force.
Durasi kunci meningkat secara progresif sesuai jumlah percobaan gagal berturut-turut.
Semua aktivitas login (berhasil dan gagal) dicatat dalam log akses.

4. Header Keamanan HTTP

Server kami mengirimkan header keamanan HTTP berikut pada setiap respons:

X-Content-Type-Options: nosniff — mencegah MIME sniffing.
X-Frame-Options: SAMEORIGIN — mencegah clickjacking.
Referrer-Policy: strict-origin-when-cross-origin — membatasi kebocoran referrer.
Content-Security-Policy — membatasi sumber daya yang dapat dimuat halaman.
Permissions-Policy — menonaktifkan akses ke kamera, mikrofon, dan sensor perangkat yang tidak dibutuhkan.

5. Perlindungan File dan Direktori

File konfigurasi (.env, composer.json, dll.) diblokir dari akses publik.
Direktori internal seperti /includes/ dan /storage/ tidak dapat diakses langsung.
Listing direktori dinonaktifkan di seluruh server.

6. Backup dan Pemulihan

Data di-backup secara otomatis setiap hari ke penyimpanan terpisah.
Backup diuji secara berkala untuk memastikan kemampuan pemulihan.
Prosedur pemulihan data terdokumentasi dan dapat dieksekusi dalam waktu singkat.

7. Pelaporan Kerentanan

Kami menghargai kontribusi komunitas keamanan. Jika Anda menemukan kerentanan keamanan di sistem Haystech, mohon laporkan secara bertanggung jawab melalui:

Email: security@haystech.app

Jangan membagikan kerentanan secara publik sebelum kami memiliki kesempatan untuk memperbaikinya. Kami berkomitmen merespons laporan keamanan dalam 72 jam kerja.

8. Kepatuhan

Praktik keamanan kami dirancang untuk selaras dengan persyaratan UU PDP (Undang-Undang Perlindungan Data Pribadi) No. 27 Tahun 2022 dan standar keamanan informasi yang berlaku di Indonesia.