Draft Peraturan BSSN terkait VVDP versi 1.

9 – 15 Agustus 2019

PERATURAN BADAN SIBER DAN SANDI NEGARA

NOMOR XXXXXX TAHUN 2019
TENTANG
PENYELENGGARAAN PROGRAM PENGUNGKAPAN KERENTANAN SECARA
SUKARELA
(VOLUNTARY VULNERABILITY DISCLOSURE PROGRAM)
BADAN SIBER DAN SANDI NEGARA
DENGAN RAHMAT TUHAN YANG MAHA ESA
KEPALA BADAN SIBER DAN SANDI NEGARA,
Menimbang : a. bahwa bidang keamanan siber merupakan salah satu
bidang pemerintahan yang perlu didorong dan
diperkuat sebagai upaya meningkatkan pertumbuhan
ekonomi nasional dan mewujudkan keamanan
nasional;
b. bahwa untuk mewujudkan keamanan siber yang
berkesinambungan dibutuhkan peran serta seluruh
warga negara Indonesia;
c. bahwa untuk menjamin kepastian hukum atas
pengungkapan Kerentanan pada Sistem Elektronik
oleh setiap warga negara Indonesia;
d. bahwa berdasarkan pertimbangan sebagaimana
dimaksud dalam huruf a, b, dan c perlu ditetapkan
Peraturan Badan Siber dan Sandi Negara tentang
Penyelenggaraan Program Pengungkapan Kerentanan
Secara Sukarela (Voluntary Vulnerability Disclosure
Program);
Mengingat : 1. Undang-Undang Nomor 11 Tahun 2008 tentang
Informasi dan Transaksi Elektronik (Lembaran

Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019

Negara Republik Indonesia Tahun 2008 Nomor 58,

Tambahan Lembaran Negara Republik Indonesia
Nomor 4843) sebagaimana telah diubah dengan
Undang-Undang Nomor 19 Tahun 2016 tentang
Perubahan Atas Undang-Undang Nomor 11 Tahun
2008 tentang Informasi dan Transaksi Elektronik
(Lembaran Negara Republik Indonesia Tahun 2016
Nomor 251, Tambahan Lembaran Negara Republik
Indonesia Nomor 5952);
2. Peraturan Pemerintah Nomor 82 Tahun 2012 tentang
Penyelenggaraan Sistem dan Transaksi Elektronik
(Lembaran Negara Republik Indonesia Tahun 2012
Nomor 189, Tambahan Lembaran Negara Republik
Indonesia Nomor 5348);
3. Peraturan Presiden Nomor 53 Tahun 2017 tentang
Badan Siber dan Sandi Negara sebagaimana telah
diubah dengan Peraturan Presiden Nomor 133 Tahun
2017 tentang Perubahan Atas Peraturan Presiden
Nomor 53 Tahun 2017 Tentang Badan Siber dan
Sandi Negara;
4. Peraturan Presiden (Perpres) Nomor 95 Tahun 2018
tentang Sistem Pemerintahan Berbasis Elektronik
(SPBE).
MEMUTUSKAN:
Menetapkan : PERATURAN BADAN SIBER DAN SANDI NEGARA TENTANG
PENYELENGGARAAN PROGRAM PENGUNGKAPAN
KERENTANAN SECARA SUKARELA (VOLUNTARY
VULNERABILITY DISCLOSURE PROGRAM)

BAB I
KETENTUAN UMUM
Pasal 1
Dalam Peraturan Badan ini yang dimaksud dengan:

Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019

1 Sistem Elektronik adalah serangkaian perangkat dan prosedur

elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah,
menganalisis, menyimpan, menampilkan, mengumumkan,
mengirimkan, dan/atau menyebarkan Informasi Elektronik.
2 Pemilik Sistem adalah setiap Orang, penyelenggara negara, Badan
Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau
mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun
bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan
dirinya dan/atau keperluan pihak lain.
3 Kerentanan (vulnerability) adalah kelemahan pada Sistem Elektronik
yang dapat dieksploitasi.
4 Pelapor adalah setiap orang yang sudah terdaftar di BSSN dan berhasil
mengidentifikasi potensi Kerentanan pada suatu Sistem Elektronik serta
melaporkannya kepada BSSN melalui jalur komunikasi yang sudah
ditetapkan.
5 Program Pengungkapan Kerentanan secara Sukarela yang selanjutnya
disebut Program adalah mekanisme kerja sama antara Pelapor,
Koordinator, dan Pemilik Sistem Elektronik dalam menemukan solusi
yang dapat mengurangi risiko yang terkait dengan Kerentanan yang
ditemukan dan dilaporkan oleh Pelapor.
6 Remediasi adalah tambalan (patch), perbaikan, peningkatan,
konfigurasi, dan/atau perubahan dokumentasi untuk menghilangkan
atau mengurangi Kerentanan pada Sistem Elektronik.
7 Kode sumber adalah suatu rangkaian perintah, pernyataan, dan/atau
deklarasi yang ditulis dalam bahasa pemrograman komputer yang dapat
dibaca dan dipahami orang.
8 Imbauan Keamanan adalah imbauan tertulis yang berisi tentang
informasi Kerentanan, potensi risiko Kerentanan, dampak Kerentanan
dan Remediasi Kerentanan pada suatu Sistem Elektronik yang
didistribusikan berdasarkan Traffic Light Protocol (TLP).
9 Traffic Light Protocol adalah tanda pada dokumen yang digunakan untuk
memastikan bahwa informasi sensitif dibagikan atau didistribusikan
kepada penerima yang tepat.

Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019

Catatan:
Definisi dari https://www.first.org/tlp/: The Traffic Light Protocol (TLP)
was created in order to facilitate greater sharing of information. TLP is a
set of designations used to ensure that sensitive information is shared
with the appropriate audience. It employs four colors to indicate expected
sharing boundaries to be applied by the recipient(s). TLP only has four
colors; any designations not listed in this standard are not considered
valid by FIRST.
(Perlu dibuat turunan pedoman/juknisnya tentang TLP)
Pasal 2
Pengaturan Penyelenggaraan Program bertujuan untuk:
a. Memberikan acuan dalam penyelenggaraan Program.
b. Memberikan kepastian dan mekanisme hukum bagi Pelapor atas
pengelolaan informasi Kerentanan yang diungkapkan.
c. Meningkatkan keamanan siber nasional

Pasal 3 (Opsi pertama)

1 Ruang Lingkup yang berkaitan dengan penyelenggaraan Program
meliputi:
a. pemangku kepentingan
b. penerimaan laporan Kerentanan
c. verifikasi Kerentanan yang diungkapkan
d. verifikasi Pelapor
e. pertukaran informasi dan komunikasi terkait Kerentanan
f. pembuatan imbauan keamanan
g. diseminasi informasi Kerentanan
h. pemantauan tindak lanjut penanganan Kerentanan
i. pemberian apresiasi kepada Pelapor dan Pemilik Sistem

Pasal 3 (Opsi kedua)

1 Ruang Lingkup yang berkaitan dengan penyelenggaraan Program
meliputi:
a. Pemangku kepentingan

Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019

b. Tata cara Penyelenggaraan Program

c. Pengelolaan Informasi
d. Etika Pencarian Kerentanan
e. Standar Layanan
2 Asas dalam penyelenggaraan Program antara lain:
a. kesukarelaan;
b. kerahasiaan;
c. koordinasi;
d. integritas;
e. netralitas;
f. akuntabilitas;
g. objektivitas.
BAB II
PEMANGKU KEPENTINGAN
Pasal 4
1 Dalam penyelenggaraan Program, BSSN berperan sebagai Koordinator.
2 BSSN sebagai Koordinator memiliki tanggung jawab:
a. mengelola pendaftaran Pelapor yang akan berpartisipasi di dalam
Program;
b. melakukan verifikasi Kerentanan yang dilaporkan oleh Pelapor;
c. melakukan penilaian terhadap informasi Kerentanan yang
dilaporkan oleh Pelapor;
d. melakukan verifikasi identitas Pelapor;
e. melakukan diseminasi informasi Kerentanan kepada Pemilik Sistem;
f. menyusun dan menyampaikan imbauan keamanan kepada Pemilik
Sistem;
g. melakukan pemantauan terhadap tindak lanjut penanganan
Kerentanan oleh Pemilik Sistem;
h. memberikan apresiasi kepada Pelapor dan Pemilik Sistem sesuai
dengan ketentuan dan peraturan perundang-undangan yang
berlaku;
i. menjamin keamanan data pribadi Pelapor;
j. mendokumentasikan informasi laporan Kerentanan;

Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019

3 BSSN sebagai koordinator berhak:

a. menerima informasi Kerentanan dari Pelapor;
b. melakukan perekaman data pribadi Pelapor dan informasi
Kerentanan yang dilaporkan;
c. menggunakan informasi Kerentanan yang dilaporkan untuk
kepentingan penyelenggaraan Program BSSN;
d. menghentikan kerjasama dengan Pelapor dalam hal terjadi
pelanggaran terhadap peraturan perundang-undangan yang berlaku.
Pasal 5
1 Unit Kerja BSSN yang bertindak sebagai penyelenggara Program adalah
a. Deputi Bidang Proteksi BSSN;
b. Deputi Bidang Identifikasi dan Deteksi BSSN;
c. Deputi Bidang Pemantauan dan Pengendalian BSSN; dan
d. Pusat Operasi Keamanan Siber Nasional.
2 Dalam penyelenggaraan Program, Deputi Bidang Proteksi BSSN memiliki
tugas:
a. Mengkoordinasikan penyelenggaraan Program dengan Deputi Bidang
Identifikasi dan Deteksi BSSN, Deputi Bidang Pemantauan dan
Pengendalian BSSN, dan Pusat Operasi Keamanan Siber Nasional;
b. Melakukan penyampaian informasi Kerentanan kepada Pemilik
Sistem;
c. Menyusun Imbauan Keamanan;
d. Melakukan penyampaian Imbauan Keamanan kepada Pemilik
Sistem;
e. Melakukan pemantauan terhadap Remediasi oleh Pemilik Sistem;
f. Memberikan apresiasi kepada Pelapor dan Pemilik Sistem sesuai
dengan ketentuan dan peraturan perundang-undangan yang
berlaku;
g. Mensosialisasikan Program;
h. Menyusun laporan penyelenggaraan Program;
i. Mengelola pendaftaran Sistem Elektronik yang didaftarkan oleh
Pemilik Sistem ke dalam Program;

Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019

3 Dalam penyelenggaraan Program, Deputi Bidang Identifikasi dan Deteksi

BSSN memiliki tugas:
a. Melakukan verifikasi Kerentanan yang dilaporkan oleh Pelapor;
b. Melakukan penilaian terhadap informasi Kerentanan yang
dilaporkan oleh Pelapor;
(catatan: penilaian informasi Kerentanan diusulkan juga mencakup
potensi risiko Kerentanan, dan dampak Kerentanan, termasuk
apakah Kerentanan tersebut berdampak secara luas ke masyarakat),
4 Dalam penyelenggaraan Program, Pusat Operasi Keamanan Siber
Nasional BSSN memiliki tugas:
a. menerima dan memverifikasi kelengkapan informasi Kerentanan dari
Pelapor;
b. mengelola pendaftaran Pelapor;
c. menjalin komunikasi dengan Pelapor terkait Laporan Kerentanan.
5 Dalam penyelenggaraan Program, Deputi Bidang Pemantauan dan
Pengendalian BSSN memiliki tugas untuk melakukan pembinaan
terhadap Pelapor.
(catatan: koordinasi dengan stakeholder lain terkait dengan keabsahan
data pribadi Pelapor)
Pasal 6
1 Dalam Program, Pelapor wajib:
a. mendaftarkan diri kepada BSSN;
b. mematuhi peraturan Perundang-Undangan yang berlaku;
c. mematuhi kebijakan penyelenggaraan Program yang ditetapkan oleh
BSSN;
d. menjaga kerahasiaan informasi Kerentanan yang ditemukan dan
hanya mengungkapkan informasi Kerentanan kepada BSSN;
e. menggunakan informasi Kerentanan yang ditemukan sesuai dengan
tujuan Program;
f. menerima keputusan BSSN dan/atau Pemilik Sistem terkait
pemberian apresiasi atas laporan Kerentanan yang diungkapkan;
g. menyetujui bahwa publikasi atas Kerentanan hanya dapat dilakukan
setelah memperoleh izin tertulis dari Pemilik Sistem;

Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019

h. bekerja sama dengan BSSN apabila dibutuhkan informasi tambahan

berkaitan dengan Kerentanan yang dilaporkan;
i. dalam hal Pemilik Sistem yang sudah terdaftar memiliki kebijakan
program pengungkapan Kerentanan, maka Pelapor wajib mematuhi
kebijakan yang sudah ditetapkan oleh Pemilik Sistem;
2 Dalam Program, Pelapor berhak:
a. memperoleh informasi mengenai perkembangan atau tindak lanjut
laporan Kerentanan yang sudah dikirimkan kepada BSSN;
b. mendapatkan apresiasi sesuai kebijakan yang ditetapkan oleh BSSN;
c. memilih untuk mengizinkan atau tidak mengizinkan BSSN untuk
meneruskan identitas Pelapor kepada Pemilik Sistem.
Pasal 7
1 Pemilik Sistem memiliki hak untuk menerima informasi Kerentanan
yang dilaporkan oleh Pelapor.
2 Pemilik Sistem harus melakukan Remediasi terhadap temuan
Kerentanan pada Sistem Elektronik yang dimiliki.
3 Pemilik Sistem dapat bekerja sama dengan BSSN dalam rangka
perbaikan Kerentanan yang dilaporkan.
4 Pemilik Sistem dapat memperoleh informasi mengenai identitas Pelapor.
BAB III
TATA CARA
Bagian Kesatu
Pendaftaran Pelapor
Pasal 10
1 Pelapor wajib mendaftarkan dirinya untuk berpartisipasi di dalam
Program sesuai dengan ketentuan yang ditetapkan oleh BSSN.
2 Pendaftaran Pelapor sebagaimana dimaksud pada Ayat (1) bertujuan
untuk:
a. memeriksa kebenaran identitas Pelapor;
b. memastikan bahwa Pelapor telah memahami syarat dan ketentuan
hak dan kewajiban Pelapor di dalam Program sebagaimana
tercantum pada Pasal 6;
c. sebagai data dukung bagi pemberian apresiasi;

Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019

Pasal 11
1 Setelah menerima pengajuan pendaftaran dari Pelapor, Pusat Operasi
Keamanan Siber Nasional melakukan verifikasi terhadap:
a. identitas;
b. latar belakang;
c. kesediaan mematuhi syarat dan ketentuan Program.
Pasal 12
1 Setelah melakukan verifikasi, maka Pusat Operasi Keamanan Siber
Nasional memutuskan status pendaftaran dan memberitahukan kepada
Pelapor.
Bagian Kedua
Pendaftaran Sistem
Pasal 13
1 Pemilik Sistem dapat mendaftarkan Sistem Elektronik miliknya untuk
disertakan di dalam Program.
2 Mekanisme pendaftaran Sistem Elektronik sebagaimana dimaksud
dalam Ayat (1) dilakukan sesuai dengan ketentuan yang ditetapkan oleh
BSSN.
3 Mekanisme pencarian Kerentanan pada Sistem Elektronik yang terdaftar
dapat ditentukan oleh Pemilik Sistem.

Bagian Ketiga
Metode Pencarian Kerentanan
Pasal 14
1 Pencarian Kerentanan pada Sistem Elektronik dilakukan oleh Pelapor
sesuai dengan metode yang ditetapkan oleh BSSN dan/atau Pemilik
Sistem.
2 Dalam hal Sistem Elektronik sudah terdaftar di dalam Program, maka
metode pencarian Kerentanan yang diizinkan adalah mengikuti
kebijakan yang sudah ditetapkan oleh Pemilik Sistem dan/atau BSSN.
3 Dalam hal Sistem Elektronik belum terdaftar di dalam Program, maka
metode pencarian Kerentanan yang diizinkan adalah sesuai dengan yang
ditetapkan oleh BSSN.

Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019

CATATAN:
Contoh metode teknis pencarian Kerentanan
a. Menggunakan informasi yang ditemukan secara bebas dan dapat
diakses secara umum, melalui mesin pencarian daring.
b. Melakukan penelusuran halaman atau direktori atau fitur pada
sistem elektronik.
c. Pencarian Kerentanan tidak boleh dilakukan menggunakan
perkakas yang bersifat merusak dan mengganggu Sistem
Elektronik
d. Pencarian Kerentanan tidak boleh dilakukan menggunakan
perkakas yang dapat mengirimkan permintaan kepada Sistem
Elektronik secara terus menerus secara cepat.

Bagian Keempat
Pengiriman, Penerimaan, dan Pencatatan Laporan Kerentanan
Pasal 14
1 Laporan Kerentanan dikirim oleh Pelapor kepada Pusat Operasi
Keamanan Siber Nasional BSSN.
2 Pengiriman Laporan sebagaimana dimaksud ayat 1 dilakukan melalui
cara yang ditetapkan oleh BSSN
3 Laporan Kerentanan sebagaimana dimaksud ayat 1 sekurang-
kurangnya memuat informasi:
a. deskripsi Sistem Elektronik yang memiliki Kerentanan, termasuk di
dalamnya tautan lengkap dan/atau versi Sistem Elektronik;
b. penjelasan mengenai Kerentanan yang ditemukan;
c. langkah-langkah yang mendemonstrasikan serangan yang
memanfaatkan Kerentanan yang dilaporkan termasuk di dalamnnya
kode sumber yang dibutuhkan untuk melakukan pembuktian;
d. waktu yang menunjukkan proses penemuan Kerentanan;
e. Identitas Pelapor;
f. nomor unik Pelapor yang diperoleh dari proses pendaftaran;
g. alamat IP publik yang digunakan pada saat menemukan Kerentanan.

Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019

Pasal 15
1 Setelah menerima laporan Kerentanan dari Pelapor, Pusat Operasi
Keamanan Siber Nasional BSSN melakukan:
a. pemeriksaan kelengkapan laporan Kerentanan;
b. perekaman laporan Kerentanan ke dalam basis data;
c. pemberian nomor identitas unik atas laporan Kerentanan yang sudah
dinyatakan lengkap;
d. pemberian tanda terima laporan Kerentanan kepada pihak Pelapor;
2 Dalam hal laporan Kerentanan yang diterima tidak sesuai pasal 14 ayat
(3), maka Pusat Operasi Keamanan Siber Nasional wajib menghubungi
Pelapor untuk meminta kelengkapan yang dibutuhkan.
3 Dalam hal Pelapor tidak dapat melengkapi laporan Kerentanan sesuai
dengan ketentuan Pasal 14 Ayat (3) dalam kurun waktu 7 (tujuh) hari
kalendar, maka Pusat Operasi Keamanan Siber Nasional dapat
memutuskan untuk tidak menindaklanjuti penanganan laporan
Kerentanan.
Bagian Kelima
Penelaahan Laporan Kerentanan
Pasal 16
Pusat Operasi Keamanan Siber Nasional menindaklanjuti laporan
Kerentanan yang diterima dari Pelapor kepada Deputi Bidang
Identifikasi dan Deteksi BSSN dan Deputi Bidang Proteksi BSSN.
Pasal 17
1 Setelah menerima laporan Kerentanan dari Pusat Operasi Keamanan
Siber Nasional BSSN, Deputi Bidang Identifikasi dan Deteksi BSSN
melakukan verifikasi dan penilaian Kerentanan yang dilaporkan.
2 Dalam hal Kerentanan yang dilaporkan berhasil diverifikasi, Deputi
Bidang Identifikasi dan Deteksi BSSN mengirimkan hasil verifikasi dan
penilaian Kerentanan kepada Deputi Bidang Proteksi BSSN.
3 Dalam hal Kerentanan yang dilaporkan tidak berhasil diverifikasi, maka
Deputi Bidang Identifikasi dan Deteksi BSSN dapat meminta data
dukung kepada Pelapor melalui Pusat Operasi Keamanan Siber Nasional
sebagai bahan untuk melakukan verifikasi ulang.

Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019

4 Dalam hal verifikasi ulang Kerentanan yang dilaporkan tidak berhasil,

maka Deputi Bidang Identifikasi dan Deteksi BSSN dapat memutuskan
bahwa Kerentanan yang dilaporkan tidak valid dan proses penanganan
Kerentanan dihentikan.
5 Dalam hal proses penanganan Kerentanan dihentikan sebagaimana
disebutkan pada ayat (4), maka Deputi Bidang Identifikasi dan Deteksi
BSSN mengirimkan pemberitahuan kepada:
a. Pusat Operasi Keamanan Siber Nasional
b. Deputi Bidang Proteksi BSSN
Bagian Keenam
Pembuatan dan Penyampaian Imbauan Keamanan
Pasal 18
1 Setelah menerima hasil verifikasi dan penilaian Kerentanan dari Deputi
Bidang Identifikasi dan Deteksi, maka Deputi Bidang Proteksi BSSN:
a. berkoordinasi dengan Pemilik Sistem terkait temuan Kerentanan
yang dilaporkan
b. membuat Imbauan Keamanan terhadap Kerentanan yang
dilaporkan
c. menyampaikan Imbauan Keamanan kepada Pemilik Sistem
2 Imbauan keamanan yang dikirimkan oleh BSSN kepada Pemilik Sistem
bertujuan:
a. memberi informasi mengenai Kerentanan pada sistem elektronik
b. memberi panduan penanganan/perbaikan Kerentanan, dan
c. memberi pemahaman kepada Pemilik Sistem mengenai potensi
dampak dari Kerentanan
3 Imbauan Keamanan sebagaimana dimaksud pada Pasal 18 Ayat 1 huruf
b sekurang-kurangnya memuat:
a. nama atau daftar Sistem Elektronik yang memiliki Kerentanan
b. pembuktian konsep atas Kerentanan
c. nilai risiko Kerentanan
d. analisis potensi dampak dari Kerentanan
e. panduan penanganan Kerentanan

Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019

Bagian Ketujuh
Remediasi Kerentanan
Pasal 19
1 Setelah menerima Imbauan Keamanan, Pemilik Sistem wajib melakukan
Remediasi temuan Kerentanan.
2 Setelah menyampaikan imbauan keamanan kepada Pemilik Sistem,
Deputi Bidang Proteksi BSSN secara berkala melakukan pemantauan
terhadap Remediasi yang dilakukan oleh Pemilik Sistem.
3 Pemantauan Remediasi Kerentanan dilakukan dengan tujuan untuk:
a. mengetahui tingkat kesadaran Pemilik Sistem terhadap Kerentanan
dilaporkan
b. mendorong Pemilik Sistem untuk melakukan Remediasi atas
Kerentanan yang dilaporkan
c. memastikan bahwa Kerentanan sudah di-Remediasi.
d. BSSN dapat mengalokasikan sumber daya yang diperlukan guna
memberikan asistensi apabila Pemilik Sistem menghadapi kesulitan
dalam memperbaiki Kerentanan

Bagian Kedelapan
Publikasi Kerentanan
Pasal 20
1 Dalam hal Kerentanan yang dilaporkan ditemukan pada Sistem
Elektronik yang digunakan secara luas oleh masyarakat, BSSN dapat
mempublikasikan Kerentanan tersebut kepada masyarakat.
2 Publikasi sebagaimana disebutkan pada ayat 1 dilakukan oleh BSSN
setelah berkoordinasi dengan Pemilik Sistem mengenai waktu, materi,
dan cara publikasi akan dilakukan.

Bagian Kesembilan
Pemberian Apresiasi
Pasal 21

Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019

1 Pemberian apresiasi dapat diberikan kepada Pelapor dan/atau Pemilik

Sistem sebagai bentuk penghargaan atas partisipasi dan kerja sama
dalam Program
2 Pemberian apresiasi kepada Pelapor dilakukan oleh Deputi Bidang
Proteksi BSSN dan/atau Pemilik Sistem
3 Pemberian apresiasi kepada Pemilik Sistem dilakukan oleh Deputi
Bidang Proteksi BSSN
4 Pemberian apresiasi oleh BSSN kepada Pelapor dan/atau Pemilik Sistem
sebagaimana dimaksud pada Ayat (2) dan (3) ditetapkan oleh Keputusan
Kepala
5 Pemberian apresiasi oleh Pemilik Sistem kepada Pelapor dilakukan
sesuai dengan kebijakan Pemilik Sistem
Bagian Kesepuluh
Pengelolaan Informasi
Pasal 22
1 BSSN menyimpan dan mengelola seluruh informasi Kerentanan yang
diterima dari Pelapor sesuai dengan ketentuan peraturan perundang-
undangan yang berlaku
3 BSSN menyimpan dan mengelola data pribadi yang diberikan oleh
Pelapor
4 BSSN dapat memberikan data pribadi Pelapor kepada Pemilik Sistem
setelah mendapat persetujuan dari Pelapor
BSSN dapat memberikan data pribadi pelapor kepada aparat penegak
hukum jika terdapat pelanggaran hukum oleh Pelapor

Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin