Template Uji Kelayakan Penyedia Jasa Pihak Ketiga (FINAL) - Ver 01 Mar 2022
Template Uji Kelayakan Penyedia Jasa Pihak Ketiga (FINAL) - Ver 01 Mar 2022
Pihak ketiga memberikan gambaran workflow proses aktivitas antara CIMB Niaga dengan Pihak Ketiga secara detil beserta IT
1 topology, platform, IP Address dan lain-lain
Hasil
Catatan Panduan <Untuk 'Satisfactory' dan 'Not
No. Kriteria Bukti Pendukung Applicable', lengkapi kolom G,
Untuk 'Not Satisfactory', lengkapi
kolom G, H, I, J & K>
1.0 IT Organisation, Functions, Policies & Procedures, Network/Data Flow Diagram & Data Centre
Satisfactory
Satisfactory
Sertifikasi/kompetensi karyawan yang mendukung aplikasi, jaringan i) Menilai bahwa Penyedia Jasa Pihak Ketiga melatih karyawan secara
keamanan, database, dan sistem operasi. memadai atau karyawan Penyedia Jasa Pihak Ketiga kompeten/terampil
dalam mendukung layanan terkait CIMB Niaga.
a. Apakah pihak ketiga memiliki metode/program kerja untuk meningkatkan
Keterampilan, Kapabilitas, Integritas & kesadaran terhadap keamanan informasi (IT Security Awareness) oleh semua ii) Periksa bahwa Penyedia Jasa Pihak Ketiga telah menetapkan proses
1.2 Pelatihan Personil IT karyawan yang menangani data CIMB Niaga? disipliner untuk karyawan yang melanggar kebijakan IT.
b. Please provide bukti pendukung: iii) Menilai bahwa karyawan Penyedia Jasa Pihak Ketiga menyadari tanggung
- Dokumentasi program security awareness dan / atau SOP 3rd Party Terkait jawab mereka untuk memelihara kontrol akses yang efektif, terutama
Security Awareness terkait keamanan password dan peralatan pengguna.
Satisfactory
Diagram jaringan untuk sistem utama, backup, dan recovery untuk komponen
IT terkait CIMB Niaga.
a. Mohon dapat dijelaskan bagaimana pemisahan data CIMB Niaga Niaga dari
data customer yang lain, seperti : folder terpisah, server/VM terpisah, hingga Periksa bahwa Penyedia Jasa Pihak Ketiga mengimplementasikan arsitektur
1.3 Diagram Jaringan segmentasi jaringan. aplikasi multi-tier yang membedakan kontrol sesi, logika presentasi, validasi
- Arsitek aplikasi multi-tier b. Mohon tunjukkan proses kendali untuk mencegah data CIMB Niaga dapat
input sisi server, logika bisnis dan akses database.
diakses oleh customer yang lain, misalnya untuk masuk ke PC khusus CIMB
Niaga harus dengan akun dan password tersendiri, dsb.
c. Apakah ada menggunakan network redundancy / high availability?
d. Apabila menggunakan network provider, mohon dapat disebutkan SLA
network provider tersebut.
Satisfactory
Satisfactory
a. Prosedur apa saja yang dimiliki oleh pihak ketiga (yang ada pada kolom D),
seperti :
- Kebijakan/SOP IT Security Policy i) Verifikasi bahwa Penyedia Jasa Pihak Ketiga memiliki program IT yang
- Kebijakan/SOP Antivirus tertulis, formal, dan komprehensif yang mencakup standar administratif dan
- Kebijakan Pengembangan Sistem teknis, kebijakan dan prosedur untuk melindungi informasi dan aset
- Kebijakan/SOP Log dan Pemantauan informasi.
- Kebijakan/SOP Insiden Keamanan Informasi
1.5 Program dan Fungsi Teknologi Informasi - Kebijakan/SOP Kontrol Akses, ii) Validasi bahwa Penyedia Jasa Pihak Ketiga memiliki fungsi keamanan
- Kebijakan/SOP IT Continuity informasi yang bertanggung jawab atas inisiatif keamanan dalam organisasi,
- Kebijakan/SOP Operasional TI yang akan memantau secara teratur untuk memastikan kepatuhan terhadap
- Kebijakan/SOP Jaringan Komunikasi standar keamanan.
b. Apakah dari seluruh kebijakan dan prosedur tersebut, dilakukan review dan iii) Validasi bahwa terdapat dokumentasi proses dan prosedur IT.
update berkala minimal setahun sekali?
xii) CCTV
Satisfactory
i) Periksa bahwa terdapat gangguan layanan (termasuk kinerja kapasitas)
sejak review uji kelayakan terakhir.
Proyeksi dan perencanaan kapasitas sistem di
1.7 Site Review
masa depan
ii) Validasi bahwa proyeksi dan perencanaan untuk kebutuhan kapasitas
sistem di masa depan telah dilakukan.
Laporan Audit IT (Internal / Eksternal) Terbaru. i) Verifikasi bahwa vendor melakukan audit IT berkala.
2.1 Review Audit Apakah hasil audit (internal/eksternal) dapat disampaikan kepada pihak Bank?
Jika tidak dapat mohon agar dapat disampaikan temuan yang mempengaruhi ii) Periksa pada tanggal terakhir review dilakukan dan nilai opini auditor,
catatan kaki, dan komentar manajemen yang disertakan.
penyediaan layanan atau data CIMB Niaga.
Satisfactory
Validasi bahwa vendor patuh pada persyaratan Payment Card Industry-Data
3.2 Standar Keamanan Informasi ISO27001, SOC2 type 2, PCI-DSS
Security Standard (PCI-DSS) atau standar lain yang ditetapkan.
Satisfactory
Validasi bahwa Penyedia Jasa Pihak Ketiga memiliki fasilitas terpisah dan
4.2 Lansekap Sistem Independen Diagram Jaringan tersendiri untuk pengembangan, pengujian dan pengoperasian layanan.
Satisfactory
Periksa bahwa waktu setempat sistem milik Penyedia Jasa Pihak Ketiga
4.3 Sikronisasi Waktu Setempat Site Review harus disinkronisasi dengan server waktu pusat untuk memastikan seluruh
komputer bekerja dengan waktu yang benar.
Satisfactory
Satisfactory
Sistem harus memberlakukan sesi timeout dibatasi pada 15 menit atau Satisfactory
4.6 System Session Timeout Checklist Hardening
kurang.
Satisfactory
Validasi bahwa Penyedia Jasa Pihak Ketiga menjalankan secara teratur
4.7 System Configuration/Hardening Checklist Hardening review konfigurasi sistem dan pemeriksaan integritas data.
Satisfactory
Satisfactory
Pemasangan perangkat deteksi-pencegahan Verifikasi bahwa Penyedia Jasa Pihak Ketiga menginstal perangkat deteksi-
5.2 intrusi Kebijakan IDS/IPS pencegahan intrusi (termasuk peralatan keamanan denial-of-service
security jika sesuai)
Satisfactory
Periksa apakah Penyedia Jasa Pihak Ketiga menggunakan jaringan Wi-Fi,
verifikasi bahwa metode enkripsi jaringan Wi-Fi diamankan dengan
5.3 Metode enkripsi jaringan Wi-Fi yang digunakan Kebijakan Wi-Fi memadai.
Lihat Item 5.4
Satisfactory
Periksa apakah Penyedia Jasa Pihak Ketiga menggunakan jaringan
Implementasi Multi-Factor Authentication Wi-FI/VPN melalui segmen/domain jaringan yang sama atau berbeda dan
5.4 Kebijakan Multi Factor nilai risiko dalam menggunakan jaringan Wi-Fi tersebut terutama jika
(MFA)
memungkinkan pengguna untuk mengakses data sensitif di server/peralatan
IT.
Satisfactory
Verifikasi bahwa Penyedia Jasa Pihak Ketiga mengimplementasikan "One-
5.5 Kontrol Akses Jarak Jauh (msial: VPN, Wi-Fi) Kebijakan Keamanan IT Time-Password" (OTP) untuk VPN/Wi-Fi.
Satisfactory
Seluruh port, protokol, dan layanan jaringan yang digunakan oleh aplikasi
5.6 Dokumentasi port dan protokol jaringan Daftar Port dan Protokol Jaringan diidentifikasi dan didokumentasikan. Seluruh layanan yang tidak diperlukan
harus dinonaktifkan.Protocol yang digunakan aman dan ter-encrypt.
Satisfactory
5.7 Konfigurasi Jaringan Checklist Hardening ii) Perangkat jaringan dikonfigurasikan secara aman sesuai dengan fungsinya
dalam zona keamanan/pengendalian (yaitu jaringan publik/tidak
terpercaya, jaringan semi-pribadi, DMZ) dan perimeter. xiv) Kebijakan
komprehensif yang menguraikan persyaratan pengguna jarak jauh tersedia
dan dikomunikasikan kepada karyawan.
Satisfactory
Pastikan perangkat jaringan yang memadai dan relevan disimpan untuk
5.8 Log Perangkat Jaringan Checklist Log Firewall
keperluan investigasi dan forensik setidaknya selama tiga tahun.
Satisfactory
Untuk kode aplikasi yang disediakan oleh pihak ketiga, prosedur telah
5.9 Kode Aplikasi Berbahaya Kebijakan Anti Virus/IPS tersedia untuk memastikan bahwa kode tersebut bebas dari kode
berbahaya.
Satisfactory
Seluruh data produksi sensitif yang digunakan dalam lingkungan
6.2 Manajemen Data Produksi Kebijakan Manajemen Perubahan pengembangan dan pengujian harus didokumentasikan, disamarkan, dan
disetujui oleh pemilik data, pemilik sistem dan diotorisasi oleh D-1 IT.
i) Validasi jenis data yang akan diproses dan disimpan oleh vendor.
Pengelolaan Data, Keamanan Data, Enkripsi Data, Diagram Jaringan, User
Access Matrix & Site Review. ii) Periksa lokasi data center jika ada.
a. Apakah staff pihak ketiga dapat mengakses sistem yang berisi data CIMB
iii) Verifikasi bahwa data nasabah CIMB diklasifikasikan sebagai
Niaga Niaga menggunakan device pribadi? bila diperbolehkan, pengamanan
data apa yang diterapkan? "Confidential" oleh skema klasifikasi data Penyedia Jasa Pihak Ketiga.
7.1 Pemeliharaan Data (Perlindungan Data CIMB b. Apakah komputer/PC/Laptop/Device yang digunakan karyawan telah
Niaga) iv) Periksa apakah Penyedia Jasa Pihak Ketiga telah memisahkan data CIMB
dilakukan setting konfigurasi keamanan seperti:
Niaga dari data klien lain.
- proteksi password, USB / removable media, email keluar,
- personal firewall di masing-masing laptop/PC karyawan, v) Tentukan apakah ada personil yang ditunjuk yang telah ditugaskan
- screen saver dengan password apabila iddle untuk waktu tertentu, menangani data CIMB Niaga.
- installasi antivirus
- dsb
Satisfactory
Media/perangkat penyimpanan removable 1) Kebijakan/prosedur removable media atau Kebijakan Keamanan IT ii) Verifikasi bahwa kebijakan penghancuran dan pembuangan catatan telah
dibuat dan ditaati untuk media komputer (kaset, disket, dll), data
7.2 media (misal: kaset, disket, USB, NAS, harddisk, 2) Kebijakan Distribusi Data melalui removable media/perangkat
dll.) penyimpanan input/output dan dokumentasi sistem.
iii) Verifikasi bahwa distribusi internal atau eksternal Penyedia Jasa Pihak
Ketiga dari segala jenis media dikontrol secara ketat. Contohnya media
dienkripsi dan dikirim melalui kurir yang aman atau metode pengiriman
lainnya yang dapat dilacak secara akurat.
Satisfactory
a. Apakah terdapat testing Backup? i) Validasi bahwa backup data statement nasbah CIMB Niaga oleh Penyedia
b. Apakah media penyimpanan data backup yang digunakan, misalnya Jasa Pihak Ketiga terenkripsi
Prosedur backup data (jika backup data eksternal hardisk, server, USB, dsb.
7.3 diperlukan) c. Apakah media backup tersebut memiliki pengelolaan keamanan yang ii) Verifikasi bahwa salinan backup sistem dan data Penyedia Jasa Pihak
memadai, seperti ruang penyimpnan akses media backup, pihak yang ditunjuk Ketiga telah diambil dan disimpan di luar lokasi dengan jarak yang memadai
untuk mengelola media backup tersebut, dsb. dari lokasi produksi dan untuk jangka waktu yang memadai.
d. Berapa lama Retensi data sensitif yang disimpan oleh Pihak ketiga
tersebut?
Satisfactory
Verifikasi bahwa seluruh media Penyedia Jasa Pihak Ketiga yang berisi data
7.4 Keamanan Data (Statis dan Dalam Transit) Data Security/ Data Encryption statement nasabah harus diamankan secara fisik saat dalam perjalanan dan
saat dalam keadaan tidak bergerak.
Satisfactory
Validasi bahwa Penyedia Jasa Pihak Ketiga memiliki kontrol keamanan untuk
7.5 Keamanan Penyalinan Data Kebijakan & Prosedur Keamanan Penyalinan Data mencegah penyalinan data melalui port USB, jaringan, CD/DVD Writer,
eMail, akses internet, dll.
Satisfactory
Identifikasi data CIMB di pihak ketiga disimpan dimana saja (data rest), ie: di ii) Verifikasi bahwa prosedur Penyedia Jasa Pihak Ketiga telah ditetapkan
server FTP, di server database, di archive email, di server aplikasi, di aplikasi, untuk semua jenis media (misal kertas, microfiche, kaset dan disket
7.6 Pemusnahan/Pembersihan/Penghancuran di USB, harddisk, Shared Folder pihak ketiga? Pastikan penghapusan secara komputer).
Data berkala sudah dilakukan di semua titik data
iii) Pemusnahan laporan yang tidak diinginkan (dengan data nasabah CIMB
Tambahan bukti pendukung: Niaga). Review proses bagaimana laporan yang tidak diinginkan dengan
-diagram flow proses pengiriman / pengolahan data bank di pihak ketiga data nasabah CIMB Niaga dimusnahkan. Laporan yang diinginkan harus
-berita acara pemusnahan data dimusnahkan/dihancurkan tepat waktu.
8.0 ログ管理
Satisfactory
i) Periksa bahwa sistem yang berisi data CIMB Niaga dapat memberikan
audit trail kegiatan pengguna dan tugas administratif (hak istimewa) dan file
audit tahan terhadap gangguan/tamper resistant.
v) Verifikasi bahwa untuk audit trail, cap tanggal dan waktu pada seluruh
event yang dapat diaudit disinkronisasi menggunaan tanggal dan jam sistem.
vi) Validasi bahwa sistem yang berisi data CIMB Niaga harus didesain untuk
menangkap, memelihara dan mencegah tampering atau perubahan catatan
yang tidak sah.
Satisfactory
Validasi bahwa masuk ke dalam kegiatan pengguna/tugas hak istimewa
8.2 Review Kegiatan Pengguna Kebijakan Log dan Pemantauan administratif Penyedia Jasa Pihak Ketiga harus dibuat, dipantau, dan di-
review tepat waktu.
Satisfactory
Pemeliharaan dan peningkatan logs untuk Periksa apakah pemeliharaan da upgrade logs disimpan untuk perangkat
8.3 Kebijakan Log dan Pemantauan
perangkat keras dan/atau perangkat lunak keras dan/atau perangkat lunak.
Satisfactory
i) Log akses sistem disimpan dengan cara yang aman dengan akses terbatas
dan dilindungi dari perubahan atau penghapusan
8.4 Keamanan dan pemeliharaan log akses sistem Kebijakan Log dan Pemantauan
ii) Log akses sistem dipelihara dalam untuk jangka waktu yang sesuai (baik
online maupun diarsipkan)
Satisfactory
Pastikan bahwa setiap pengapusan file/folder pada tingkat OS harus
8.5 System-Level Objects Kebijakan Log dan Pemantauan
dimonitor dan kegiatan tersebut direkam dalam log sistem.
9.0 Patch 管理
Satisfactory
Satisfactory
i) 詳細な出来事を管理し、検出できること
ii) 不足なところは何でも報告すること
iii) 画面にある第3社業者のネットワークアクティビティを定期的に見
出来事監視
ログ方針及び管理、ログ管理リスト (OS, アプリ & ネットワークも含め 直して(マニュアル・自動ツール)検証すること
10.1 - ネットワークアクティビティの管理
)
- 安全事件管理
iv) 権限を持っていない社員のアクティビティ・不審なアクティビテ
ィ・社内詐欺・安全違反等で、第3社業者の安全事件を管理すること
v) 多動性ないアクセスの試用に対して、調査し検出できること
Satisfactory
危険コード拡大を予防する為の第3社業者の管理があることを検証す
10.2 危険侵入予防 Anti Virus & IDS/IPS 方針
ること。適正値やリストがある。
Satisfactory
11.0 事件管理
Satisfactory
i) CIMB Niagaへの安全事件のエスカレーションプロセス
ii) 第3社業者が事件に対する反応及び対応を決定するか記録を残す
か確認
11.1 事件検出・反応対応 情報安全事件方針
iii) CallTreeといった事件反応要件を含み、第3社業者のファシリティ
ー処理の指示書を確認する。間違い対応方法、再起動・回復システム
、特別な出力対応等を確認する。
Satisfactory
Periksa apakah vendor menguji rencana respons yang ditentukan sebelumnya
11.2 反応計画 情報安全事件方針 terkait dengan insiden keamanan?
Satisfactory
i) Periksa apakah prosedur pengelolaan ancaman Penyedia Jasa Pihak Ketiga
telah diterapkan.
11.3 脅威対応手続き 情報安全事件方針
ii) Metode potensi kerentanan teknis diperoleh, dievaluasi, dan ditanggapi.
ii) Akses keamanan yaitu sistem bawaan dan/atau tambahan apapun untuk
mengelola password harus memastikan penggunaan password yang kuat dan
berkualitas. Pastikan kekuatan password sesuai dengan kebijakan regulator
& internal IT/persyaratan standar.
12.2 Proses Pengelolaan Akses Kebijakan Kontrol Akses iii) Menilai apakah hak akses terikat waktu yang membatasi akses ke periode
tertentu telah ditetapkan.
iv) Periksa apakah user access matrix yang menguraikan hak akses, peran,
atau kewenangan pemberi otorisasi dan pemberi persetujuan, telah dibuat.
v) Periksa apakah akses diberikan secara tepat kepada personil Penyedia Jasa
Pihak Ketiga termasuk akun/ID yang memiliki hak istimewa.
Satisfactory
Satisfactory
Access Control Matrix (ACM).
Apabila terdapat aplikasi pihak ketiga yang digunakan untuk mengolah data Menilai apakah setiap pengguna diberikan akun individu, dimana akan
12.4 Otentikasi Akun Pengguna
bank / menjalankan proses terkait bank secara ekslusif, maka agar dimintakan digunakan untuk otentikasi ke aplikasi.
bukti pendukung tambahan:
- list user ID yang terdaftar di aplikasi tersebut
Satisfactory
12.5 Larangan Berbagi ID Access Control Matrix (ACM) Batasi dan kendalikan pembagian user ID dan password.
Satisfactory
Access Control Matrix (ACM).
Alokasi hak istimewa harus dibatasi, dikontrol dan akses diberikan
12.6 Alokasi dan penggunaan hak akses istimewa
Tambahan bukti pendukung: berdasarkan tanggung jawab pekerjaan dan dasar kebutuhan untuk memiliki.
- Kebijakan/SOP terkait Pengelolaan Privileged User ID / User Administrator
Satisfactory
Pengelompokan atau profil pengguna dalam suatu sistem harus sesuai
12.7 Profil Pengguna Access Control Matrix (ACM)
dengan tugas dan tanggung jawab pekerjaan.
Satisfactory
i) Hanya karyawan ditunjuk yang memiliki akses ke layanan dan OS
Akses karyawan yang ditunjuk ke layanan aplikasi.
12.8 Access Control Matrix (ACM)
aplikasi dan OS
ii) Akses ke layanan dan OS aplikasi.
Satisfactory
Pemisahan tugas pengguna terhadap Pemisahan tugas harus dibedakan dengan jelas antara mereka yang
12.9 Access Control Matrix (ACM)
pengelolaan akses menggunakan aplikasi dan mereka yang mengelola akses.
Satisfactory
Akses Jarak Jauh. ii) Akses jarak jauh dikontrol menggunakan kontrol otentikasi
12.10 Akses Jarak Jauh
Tambahan bukti pendukung: iii) Akun pengguna akses jarak jauh direview pada frekuensi yang sesuai
- SOP /Ketentuan pihak ketiga mengenai remite access
iv) Kerahasiaan informasi sensitif dijamin selama konektivitas jarak jauh
menggunakan teknologi yang sesuai seperti enkripsi, teknologi VPN client,
dll.
Satisfactory
Satisfactory
i) Akun dan password hak istimewa harus disimpan dan dikendalikan dengan
tepat.
12.12 Pengaturan akun istimewa Kebijakan Akses Kontrol
ii) Persetujuan formal harus diperoleh sebelum menggunakan akun dengan
hak istimewa. Seluruh tindakan yang diambil oleh setiap individu dengan
akar atau administratif hak istimewa perlu dipantau dan direview.
Satisfactory
User ID sementara, umum, tamu, atau anonim terbatas penggunaannya dan
12.13 Pengguna Anonim Kebijakan Akses Kontrol
dikontrol dengan ketat.
Satisfactory
Terdapat prosedur untuk mengubah hak akses pengguna ketika pengguna
12.14 Proses perubahan dan pencabutan akses Kebijakan Akses Kontrol berubah peran dalam organisasi dan mencabut hak ketika pengguna
meninggalkan organisasi.
Pemisahan logis layanan aplikasi untuk klien Periksa apakah layanan aplikasi untuk nasabah yang berbeda dipisahkan Satisfactory
12.15 Diagram Jaringan
yang berbeda secara logis.
13.0 Kontrol Akses Fisik
Satisfactory
a. Apakah terdapat server yang berisi data CIMB Niaga yang ditempatkan
diluar Data Center? Jika ada bagaimana pengamanannya, seperti :
- Apakah terdapat akses kontrol untuk mencegah sembarang orang masuk
(restricted area)?
13.1 Lokasi Konsol Sistem - Apakah terdapat satpam 24*7? Konsol sistem terletak di area yang aman dan terkendali.
B. Bagaimana pengamanan ruang kerja staff yang mengelola dan mengakses
data CIMB niaga, seperti :
- Apakah ada dedicated area untuk mengakses data CIMB Niaga?
- Apakah area tersebut dilengkapi dengan CCTV untuk monitoring area
tersebut?
- Apakah staff diwajibkan menggunakan kartu identitas karyawan?
Satisfactory
ii) Periksa apakh akses fisik melalui kartu akses/kunci fisik dikelola dan dan
13.2 CCTV dan Kartu Akses Kebijakan Keamanan Fisik/Kebijakan CCTV
diberikan dengan tepat berdasarkan kebutuhan. Pengecekan sampel log kartu
akses untuk menentukan kecukupan.
14.0 Enkripsi
Satisfactory
Menilai bahwa kunci perangkat keras, kunci perangkat lunak, token dan
14.1 Infrastructure key encryption Kebijakan Enkripsi Data password Penyedia Jasa Pihak Ketiga yang digunakan untuk enkripsi data
harus diamankan.
Satisfactory
PIN, password dan data sensitif nasabah lainnya harus dienkripsi saat dalam
14.2 Enkripsi Data Sensitif Kebijakan Enkripsi
perjalanan dan saat dalam keadaan tidak bergerak.
Satisfactory
Metode aman untuk interface, pertukaran dan sinkronisasi antara aplikasi
14.3 Secure Interfacing Method Keamanan Data dan aplikasi/perangkat lain hanya boleh dilakukan melalui koneksi
terenkripsi misalnya HTTPS untuk berbasis web, SFTP, dll.
ii) Pastikan pengujian yang relevan (seperti integration testing, UAT dan
SDLC. application security testing) dijalankan sebelum deployment dengan prosedur
otorisasi yang tepat.
Apakah ada penggunaan data production untuk proses testing?
iii) Tentukan apakah setiap perubahan source code tunduk pada review
Serta, untuk point iii, agar dijelaskan lebih detail untuk review source code source code yang memadai.
Proses/Metodologi Pengembangan Aplikasi
16.1 yang bagaimana yang harus dipatuhi oleh pihak ketiga.
(SDLC)
iv) Pastikan Penyedia Jasa Pihak Ketiga secara fisik telah memisahkan
Tambahan panduan: lingkungan produksi dari lingkungan pengembangan dan lingkungan
- pastikan untuk setiap pengembangan / perubahan / pengembangan sistem pengujian untuk sistem kritikal. Untuk lingkungan cloud, pastikan
yang terkait dengan bank, terdapat prosedur penyampaian informasi / lingkungan-lingkungan tersebut tidak berjalan di host virtual yang sama.
permintaan approval kepada bank
v) Periksa apakah Penyedia Jasa Pihak Ketiga memiliki contingency/fallback
plan jika terjadi implementasi perubahan material yang tidak berhasil untuk
meminimalisir gangguan bisnis.
rity Questionnaire
Ya Pilih
Ya Pilih
Ya Pilih
ya Pilih
2FA Pilih
Ya Pilih
Ya Pilih
Ya Pilih
Ya Pilih
a. Tidak Pilih
b.ya
- proteksi Password, USB/Removable media,
email keluar, personal firewall,screen saver
password, dan antivirus
Ya Pilih
Ya Pilih
Ya Pilih
Ya Pilih
定期的に確認して、使用されているシス Pilih
テムのPatch 最新版が発行したら必ず更
新する
定期的に確認して、使用されているシス Pilih
テムのPatch 最新版が発行したら必ず更
新する
Pilih
はい Pilih
Antivirusで毎週自動的にスキャンす Pilih
る。PCがONすると自動的に実行される
。
Pilih
Pilih
kami pastikan untuk pembuatan password Pilih
sesuai kebijakan perusahaan, dimana
password tersebut harus kuat dan
berkualitas. l
kami
sudah membuat user akses matrix sesuai
kebijakan. dengan akses ride write, ecrypt
dan protech password. dan user tersebut
tidak semua karyawan dapat masuk.
Ya Pilih
Pilih
Ya Pilih
a. tidak, data selalu diletakan dalam data Pilih
center kami. B. area
dilengkapi dengan CCTV dan wajib
menggunakan kartu identitas karyawan.
Satpam gedung
24*7
i) Ya Pilih
ii) Ya
iii) Ya
Ya Pilih
Ya Pilih
Ya Pilih
setiap kali ada pengembangan system, kami Pilih
selalu melakukannya dalam server test. Jika
sudah baik hasilnya, maka kami terapkan
pada system production atau system utama.
UJI KELAYAKAN IT & KETAHANAN SIBER
Pihak ketiga memberikan gambaran workflow proses aktivitas antara CIMB Niaga dengan Pihak Ketiga secara detil beserta IT
1 topology, platform, IP Address dan lain-lain
Hasil
Catatan Panduan <Untuk 'Satisfactory' dan 'Not
No. Kriteria Bukti Pendukung Applicable', lengkapi kolom G,
Untuk 'Not Satisfactory', lengkapi
kolom G, H, I, J & K>
1.0 IT Organisation, Functions, Policies & Procedures, Network/Data Flow Diagram & Data Centre
Satisfactory
Satisfactory
Sertifikasi/kompetensi karyawan yang mendukung aplikasi, jaringan i) Menilai bahwa Penyedia Jasa Pihak Ketiga melatih karyawan secara
keamanan, database, dan sistem operasi. memadai atau karyawan Penyedia Jasa Pihak Ketiga kompeten/terampil
dalam mendukung layanan terkait CIMB Niaga.
a. Apakah pihak ketiga memiliki metode/program kerja untuk meningkatkan
Keterampilan, Kapabilitas, Integritas & kesadaran terhadap keamanan informasi (IT Security Awareness) oleh semua ii) Periksa bahwa Penyedia Jasa Pihak Ketiga telah menetapkan proses
1.2 Pelatihan Personil IT karyawan yang menangani data CIMB Niaga? disipliner untuk karyawan yang melanggar kebijakan IT.
b. Please provide bukti pendukung: iii) Menilai bahwa karyawan Penyedia Jasa Pihak Ketiga menyadari tanggung
- Dokumentasi program security awareness dan / atau SOP 3rd Party Terkait jawab mereka untuk memelihara kontrol akses yang efektif, terutama
Security Awareness terkait keamanan password dan peralatan pengguna.
Satisfactory
Diagram jaringan untuk sistem utama, backup, dan recovery untuk komponen
IT terkait CIMB Niaga.
a. Mohon dapat dijelaskan bagaimana pemisahan data CIMB Niaga Niaga dari
data customer yang lain, seperti : folder terpisah, server/VM terpisah, hingga Periksa bahwa Penyedia Jasa Pihak Ketiga mengimplementasikan arsitektur
1.3 Diagram Jaringan segmentasi jaringan. aplikasi multi-tier yang membedakan kontrol sesi, logika presentasi, validasi
- Arsitek aplikasi multi-tier b. Mohon tunjukkan proses kendali untuk mencegah data CIMB Niaga dapat
input sisi server, logika bisnis dan akses database.
diakses oleh customer yang lain, misalnya untuk masuk ke PC khusus CIMB
Niaga harus dengan akun dan password tersendiri, dsb.
c. Apakah ada menggunakan network redundancy / high availability?
d. Apabila menggunakan network provider, mohon dapat disebutkan SLA
network provider tersebut.
Satisfactory
Satisfactory
a. Prosedur apa saja yang dimiliki oleh pihak ketiga (yang ada pada kolom D),
seperti :
- Kebijakan/SOP IT Security Policy i) Verifikasi bahwa Penyedia Jasa Pihak Ketiga memiliki program IT yang
- Kebijakan/SOP Antivirus tertulis, formal, dan komprehensif yang mencakup standar administratif dan
- Kebijakan Pengembangan Sistem teknis, kebijakan dan prosedur untuk melindungi informasi dan aset
- Kebijakan/SOP Log dan Pemantauan informasi.
- Kebijakan/SOP Insiden Keamanan Informasi
1.5 Program dan Fungsi Teknologi Informasi - Kebijakan/SOP Kontrol Akses, ii) Validasi bahwa Penyedia Jasa Pihak Ketiga memiliki fungsi keamanan
- Kebijakan/SOP IT Continuity informasi yang bertanggung jawab atas inisiatif keamanan dalam organisasi,
- Kebijakan/SOP Operasional TI yang akan memantau secara teratur untuk memastikan kepatuhan terhadap
- Kebijakan/SOP Jaringan Komunikasi standar keamanan.
b. Apakah dari seluruh kebijakan dan prosedur tersebut, dilakukan review dan iii) Validasi bahwa terdapat dokumentasi proses dan prosedur IT.
update berkala minimal setahun sekali?
xii) CCTV
Satisfactory
i) Periksa bahwa terdapat gangguan layanan (termasuk kinerja kapasitas)
sejak review uji kelayakan terakhir.
Proyeksi dan perencanaan kapasitas sistem di
1.7 Site Review
masa depan
ii) Validasi bahwa proyeksi dan perencanaan untuk kebutuhan kapasitas
sistem di masa depan telah dilakukan.
Laporan Audit IT (Internal / Eksternal) Terbaru. i) Verifikasi bahwa vendor melakukan audit IT berkala.
2.1 Review Audit Apakah hasil audit (internal/eksternal) dapat disampaikan kepada pihak Bank?
Jika tidak dapat mohon agar dapat disampaikan temuan yang mempengaruhi ii) Periksa pada tanggal terakhir review dilakukan dan nilai opini auditor,
catatan kaki, dan komentar manajemen yang disertakan.
penyediaan layanan atau data CIMB Niaga.
Satisfactory
Validasi bahwa vendor patuh pada persyaratan Payment Card Industry-Data
3.2 Standar Keamanan Informasi ISO27001, SOC2 type 2, PCI-DSS
Security Standard (PCI-DSS) atau standar lain yang ditetapkan.
Satisfactory
Validasi bahwa Penyedia Jasa Pihak Ketiga memiliki fasilitas terpisah dan
4.2 Lansekap Sistem Independen Diagram Jaringan tersendiri untuk pengembangan, pengujian dan pengoperasian layanan.
Satisfactory
Periksa bahwa waktu setempat sistem milik Penyedia Jasa Pihak Ketiga
4.3 Sikronisasi Waktu Setempat Site Review harus disinkronisasi dengan server waktu pusat untuk memastikan seluruh
komputer bekerja dengan waktu yang benar.
Satisfactory
Satisfactory
Sistem harus memberlakukan sesi timeout dibatasi pada 15 menit atau Satisfactory
4.6 System Session Timeout Checklist Hardening
kurang.
Satisfactory
Validasi bahwa Penyedia Jasa Pihak Ketiga menjalankan secara teratur
4.7 System Configuration/Hardening Checklist Hardening review konfigurasi sistem dan pemeriksaan integritas data.
Satisfactory
Satisfactory
Pemasangan perangkat deteksi-pencegahan Verifikasi bahwa Penyedia Jasa Pihak Ketiga menginstal perangkat deteksi-
5.2 intrusi Kebijakan IDS/IPS pencegahan intrusi (termasuk peralatan keamanan denial-of-service
security jika sesuai)
Satisfactory
Periksa apakah Penyedia Jasa Pihak Ketiga menggunakan jaringan Wi-Fi,
verifikasi bahwa metode enkripsi jaringan Wi-Fi diamankan dengan
5.3 Metode enkripsi jaringan Wi-Fi yang digunakan Kebijakan Wi-Fi memadai.
Lihat Item 5.4
Satisfactory
Periksa apakah Penyedia Jasa Pihak Ketiga menggunakan jaringan
Implementasi Multi-Factor Authentication Wi-FI/VPN melalui segmen/domain jaringan yang sama atau berbeda dan
5.4 Kebijakan Multi Factor nilai risiko dalam menggunakan jaringan Wi-Fi tersebut terutama jika
(MFA)
memungkinkan pengguna untuk mengakses data sensitif di server/peralatan
IT.
Satisfactory
Verifikasi bahwa Penyedia Jasa Pihak Ketiga mengimplementasikan "One-
5.5 Kontrol Akses Jarak Jauh (msial: VPN, Wi-Fi) Kebijakan Keamanan IT Time-Password" (OTP) untuk VPN/Wi-Fi.
Satisfactory
Seluruh port, protokol, dan layanan jaringan yang digunakan oleh aplikasi
5.6 Dokumentasi port dan protokol jaringan Daftar Port dan Protokol Jaringan diidentifikasi dan didokumentasikan. Seluruh layanan yang tidak diperlukan
harus dinonaktifkan.Protocol yang digunakan aman dan ter-encrypt.
Satisfactory
5.7 Konfigurasi Jaringan Checklist Hardening ii) Perangkat jaringan dikonfigurasikan secara aman sesuai dengan fungsinya
dalam zona keamanan/pengendalian (yaitu jaringan publik/tidak
terpercaya, jaringan semi-pribadi, DMZ) dan perimeter. xiv) Kebijakan
komprehensif yang menguraikan persyaratan pengguna jarak jauh tersedia
dan dikomunikasikan kepada karyawan.
Satisfactory
Pastikan perangkat jaringan yang memadai dan relevan disimpan untuk
5.8 Log Perangkat Jaringan Checklist Log Firewall
keperluan investigasi dan forensik setidaknya selama tiga tahun.
Satisfactory
Untuk kode aplikasi yang disediakan oleh pihak ketiga, prosedur telah
5.9 Kode Aplikasi Berbahaya Kebijakan Anti Virus/IPS tersedia untuk memastikan bahwa kode tersebut bebas dari kode
berbahaya.
Satisfactory
Seluruh data produksi sensitif yang digunakan dalam lingkungan
6.2 Manajemen Data Produksi Kebijakan Manajemen Perubahan pengembangan dan pengujian harus didokumentasikan, disamarkan, dan
disetujui oleh pemilik data, pemilik sistem dan diotorisasi oleh D-1 IT.
i) Validasi jenis data yang akan diproses dan disimpan oleh vendor.
Pengelolaan Data, Keamanan Data, Enkripsi Data, Diagram Jaringan, User
Access Matrix & Site Review. ii) Periksa lokasi data center jika ada.
a. Apakah staff pihak ketiga dapat mengakses sistem yang berisi data CIMB
iii) Verifikasi bahwa data nasabah CIMB diklasifikasikan sebagai
Niaga Niaga menggunakan device pribadi? bila diperbolehkan, pengamanan
data apa yang diterapkan? "Confidential" oleh skema klasifikasi data Penyedia Jasa Pihak Ketiga.
7.1 Pemeliharaan Data (Perlindungan Data CIMB b. Apakah komputer/PC/Laptop/Device yang digunakan karyawan telah
Niaga) iv) Periksa apakah Penyedia Jasa Pihak Ketiga telah memisahkan data CIMB
dilakukan setting konfigurasi keamanan seperti:
Niaga dari data klien lain.
- proteksi password, USB / removable media, email keluar,
- personal firewall di masing-masing laptop/PC karyawan, v) Tentukan apakah ada personil yang ditunjuk yang telah ditugaskan
- screen saver dengan password apabila iddle untuk waktu tertentu, menangani data CIMB Niaga.
- installasi antivirus
- dsb
Satisfactory
Media/perangkat penyimpanan removable 1) Kebijakan/prosedur removable media atau Kebijakan Keamanan IT ii) Verifikasi bahwa kebijakan penghancuran dan pembuangan catatan telah
dibuat dan ditaati untuk media komputer (kaset, disket, dll), data
7.2 media (misal: kaset, disket, USB, NAS, harddisk, 2) Kebijakan Distribusi Data melalui removable media/perangkat
dll.) penyimpanan input/output dan dokumentasi sistem.
iii) Verifikasi bahwa distribusi internal atau eksternal Penyedia Jasa Pihak
Ketiga dari segala jenis media dikontrol secara ketat. Contohnya media
dienkripsi dan dikirim melalui kurir yang aman atau metode pengiriman
lainnya yang dapat dilacak secara akurat.
Satisfactory
a. Apakah terdapat testing Backup? i) Validasi bahwa backup data statement nasbah CIMB Niaga oleh Penyedia
b. Apakah media penyimpanan data backup yang digunakan, misalnya Jasa Pihak Ketiga terenkripsi
Prosedur backup data (jika backup data eksternal hardisk, server, USB, dsb.
7.3 diperlukan) c. Apakah media backup tersebut memiliki pengelolaan keamanan yang ii) Verifikasi bahwa salinan backup sistem dan data Penyedia Jasa Pihak
memadai, seperti ruang penyimpnan akses media backup, pihak yang ditunjuk Ketiga telah diambil dan disimpan di luar lokasi dengan jarak yang memadai
untuk mengelola media backup tersebut, dsb. dari lokasi produksi dan untuk jangka waktu yang memadai.
d. Berapa lama Retensi data sensitif yang disimpan oleh Pihak ketiga
tersebut?
Satisfactory
Verifikasi bahwa seluruh media Penyedia Jasa Pihak Ketiga yang berisi data
7.4 Keamanan Data (Statis dan Dalam Transit) Data Security/ Data Encryption statement nasabah harus diamankan secara fisik saat dalam perjalanan dan
saat dalam keadaan tidak bergerak.
Satisfactory
Validasi bahwa Penyedia Jasa Pihak Ketiga memiliki kontrol keamanan untuk
7.5 Keamanan Penyalinan Data Kebijakan & Prosedur Keamanan Penyalinan Data mencegah penyalinan data melalui port USB, jaringan, CD/DVD Writer,
eMail, akses internet, dll.
Satisfactory
Identifikasi data CIMB di pihak ketiga disimpan dimana saja (data rest), ie: di ii) Verifikasi bahwa prosedur Penyedia Jasa Pihak Ketiga telah ditetapkan
server FTP, di server database, di archive email, di server aplikasi, di aplikasi, untuk semua jenis media (misal kertas, microfiche, kaset dan disket
7.6 Pemusnahan/Pembersihan/Penghancuran di USB, harddisk, Shared Folder pihak ketiga? Pastikan penghapusan secara komputer).
Data berkala sudah dilakukan di semua titik data
iii) Pemusnahan laporan yang tidak diinginkan (dengan data nasabah CIMB
Tambahan bukti pendukung: Niaga). Review proses bagaimana laporan yang tidak diinginkan dengan
-diagram flow proses pengiriman / pengolahan data bank di pihak ketiga data nasabah CIMB Niaga dimusnahkan. Laporan yang diinginkan harus
-berita acara pemusnahan data dimusnahkan/dihancurkan tepat waktu.
i) Periksa bahwa sistem yang berisi data CIMB Niaga dapat memberikan
audit trail kegiatan pengguna dan tugas administratif (hak istimewa) dan file
audit tahan terhadap gangguan/tamper resistant.
8.1 Kapabilitas Audit Log/Trail 1) Kebijakan Log dan Pemantauan iv) Pastikan fungsi log audit diaktifkan.
2) Log Monitoring Checklist/SIEM
v) Verifikasi bahwa untuk audit trail, cap tanggal dan waktu pada seluruh
event yang dapat diaudit disinkronisasi menggunaan tanggal dan jam
sistem.
vi) Validasi bahwa sistem yang berisi data CIMB Niaga harus didesain untuk
menangkap, memelihara dan mencegah tampering atau perubahan catatan
yang tidak sah.
Satisfactory
i) Log akses sistem disimpan dengan cara yang aman dengan akses terbatas
dan dilindungi dari perubahan atau penghapusan
8.4 Keamanan dan pemeliharaan log akses sistem Kebijakan Log dan Pemantauan
ii) Log akses sistem dipelihara dalam untuk jangka waktu yang sesuai (baik
online maupun diarsipkan)
Satisfactory
Pastikan bahwa setiap pengapusan file/folder pada tingkat OS harus
8.5 System-Level Objects Kebijakan Log dan Pemantauan
dimonitor dan kegiatan tersebut direkam dalam log sistem.
Validasi bahwa patch sistem operasi dan keamanan kritikal telah diterapkan Satisfactory
9.2 Patch keamanan/sistem operasi kritikal Manajemen Patch dan up-to-date.
10.0 IT Security Monitoring / Surveillance
Satisfactory
iii) Verifikasi bahwa aktivitas jaringan Penyedia Jasa Pihak Ketiga dimonitor
Pemantauan Kejadian (secara manual dan/atau menggunakan alat otomatis) melalui review log
Kebijakan Log and Monitoring, & Log Monitoring checklist (Include OS, secara berkala.
10.1 - Pematauan Aktivitas Jaringan
- Pemantauan Insiden Keamanan Application & Network)
iv) Verifikasi bahwa insiden keamanan Penyedia Jasa Pihak Ketiga dipantau
termasuk pelanggaran keamanan, fraud internal. aktivitas karyawan yang
tidak terotorisasi/tidak dapat diterima dan aktivitas mencurigakan lainnya.
Satisfactory
Verifikasi bahwa kontrol sudah ada untuk Penyedia Jasa Pihak Ketiga untuk
10.2 Pencegahan Intrusi Berbahaya Kebijakan Anti Virus & IDS/IPS mencegah pengenalan atau penyebaran kode berbahaya. Dapatkan daftar
dan nilai kesesuaiannya.
Satisfactory
Periksa apakah ada mekanisme peringatan yang digunakan untuk
10.3 Mekanisme Peringatan Kebijakan IT / IT Security memberitahu individu yang ditunjuk tentang kejadian keamanan IT.
ii) Konfirmasi apakah Penyedia Jasa Pihak Ketiga telah menetapkan dan
mendokumentasikan respons dan penanganan insiden?
11.1 Deteksi Insiden dan Penanganan Respons Kebijakan Insiden Keamanan Informasi iii) Validasi bahwa instruksi operasi Penyedia Jasa Pihak Ketiga untuk
pengelolaan fasilitas pemrosesa termasuk persyaratan respons insiden
seperti eskalasi melalui call tree, metode untuk menangani kesalahan,
menghasilkan dan menangani output khusus serta me-restart dan me-
recover sistem.
Satisfactory
Periksa apakah vendor menguji rencana respons yang ditentukan
11.2 Rencana Respon Kebijakan Insiden Keamanan Informasi
sebelumnya terkait dengan insiden keamanan?
Satisfactory
i) Periksa apakah prosedur pengelolaan ancaman Penyedia Jasa Pihak Ketiga
11.3 Prosedur Pengelolaan Ancaman Kebijakan Insiden Keamanan Informasi telah diterapkan.
i) Apakah ada proses pengelolaan akses di Penyedia Jasa Pihak Ketiga? Misal
pendaftaran, pembuatan, penghentian, otorisasi, pemeliharaan dan proses
reset password.
ii) Akses keamanan yaitu sistem bawaan dan/atau tambahan apapun untuk
mengelola password harus memastikan penggunaan password yang kuat
dan berkualitas. Pastikan kekuatan password sesuai dengan kebijakan
regulator & internal IT/persyaratan standar.
12.2 Proses Pengelolaan Akses Kebijakan Kontrol Akses iii) Menilai apakah hak akses terikat waktu yang membatasi akses ke
periode tertentu telah ditetapkan.
iv) Periksa apakah user access matrix yang menguraikan hak akses, peran,
atau kewenangan pemberi otorisasi dan pemberi persetujuan, telah dibuat.
Satisfactory
i) Otentikasi pengguna dan administrator internal untuk akses sistem.
12.3 Otorisasi Akses Sistem Access Control Matrix (ACM) ii) Apa jenis metode otentikasi yang didukung? Review kecukupan metode
otentikasi.
Satisfactory
Access Control Matrix (ACM).
Apabila terdapat aplikasi pihak ketiga yang digunakan untuk mengolah data Menilai apakah setiap pengguna diberikan akun individu, dimana akan
12.4 Otentikasi Akun Pengguna
bank / menjalankan proses terkait bank secara ekslusif, maka agar dimintakan digunakan untuk otentikasi ke aplikasi.
bukti pendukung tambahan:
- list user ID yang terdaftar di aplikasi tersebut
Satisfactory
12.5 Larangan Berbagi ID Access Control Matrix (ACM) Batasi dan kendalikan pembagian user ID dan password.
Satisfactory
Access Control Matrix (ACM). Alokasi hak istimewa harus dibatasi, dikontrol dan akses diberikan
12.6 Alokasi dan penggunaan hak akses istimewa berdasarkan tanggung jawab pekerjaan dan dasar kebutuhan untuk
Tambahan bukti pendukung:
memiliki.
- Kebijakan/SOP terkait Pengelolaan Privileged User ID / User Administrator
Satisfactory
12.7 Profil Pengguna Access Control Matrix (ACM) Pengelompokan atau profil pengguna dalam suatu sistem harus sesuai
dengan tugas dan tanggung jawab pekerjaan.
Satisfactory
i) Hanya karyawan ditunjuk yang memiliki akses ke layanan dan OS aplikasi.
12.8 Akses karyawan yang ditunjuk ke layanan Access Control Matrix (ACM)
aplikasi dan OS
ii) Akses ke layanan dan OS aplikasi.
Satisfactory
12.9 Pemisahan tugas pengguna terhadap Access Control Matrix (ACM) Pemisahan tugas harus dibedakan dengan jelas antara mereka yang
pengelolaan akses menggunakan aplikasi dan mereka yang mengelola akses.
Satisfactory
Akses Jarak Jauh. ii) Akses jarak jauh dikontrol menggunakan kontrol otentikasi
12.10 Akses Jarak Jauh
Tambahan bukti pendukung: iii) Akun pengguna akses jarak jauh direview pada frekuensi yang sesuai
- SOP /Ketentuan pihak ketiga mengenai remite access
iv) Kerahasiaan informasi sensitif dijamin selama konektivitas jarak jauh
menggunakan teknologi yang sesuai seperti enkripsi, teknologi VPN client,
dll.
Satisfactory
Satisfactory
i) Akun dan password hak istimewa harus disimpan dan dikendalikan
dengan tepat.
12.12 Pengaturan akun istimewa Kebijakan Akses Kontrol ii) Persetujuan formal harus diperoleh sebelum menggunakan akun dengan
hak istimewa. Seluruh tindakan yang diambil oleh setiap individu dengan
akar atau administratif hak istimewa perlu dipantau dan direview.
User ID sementara, umum, tamu, atau anonim terbatas penggunaannya dan Satisfactory
12.13 Pengguna Anonim Kebijakan Akses Kontrol dikontrol dengan ketat.
Satisfactory
Terdapat prosedur untuk mengubah hak akses pengguna ketika pengguna
12.14 Proses perubahan dan pencabutan akses Kebijakan Akses Kontrol berubah peran dalam organisasi dan mencabut hak ketika pengguna
meninggalkan organisasi.
Pemisahan logis layanan aplikasi untuk klien Periksa apakah layanan aplikasi untuk nasabah yang berbeda dipisahkan Satisfactory
12.15 Diagram Jaringan
yang berbeda secara logis.
13.0 Kontrol Akses Fisik
Satisfactory
a. Apakah terdapat server yang berisi data CIMB Niaga yang ditempatkan
diluar Data Center? Jika ada bagaimana pengamanannya, seperti :
- Apakah terdapat akses kontrol untuk mencegah sembarang orang masuk
(restricted area)?
13.1 Lokasi Konsol Sistem - Apakah terdapat satpam 24*7? Konsol sistem terletak di area yang aman dan terkendali.
B. Bagaimana pengamanan ruang kerja staff yang mengelola dan mengakses
data CIMB niaga, seperti :
- Apakah ada dedicated area untuk mengakses data CIMB Niaga?
- Apakah area tersebut dilengkapi dengan CCTV untuk monitoring area
tersebut?
- Apakah staff diwajibkan menggunakan kartu identitas karyawan?
Satisfactory
13.2 CCTV dan Kartu Akses Kebijakan Keamanan Fisik/Kebijakan CCTV ii) Periksa apakh akses fisik melalui kartu akses/kunci fisik dikelola dan dan
diberikan dengan tepat berdasarkan kebutuhan. Pengecekan sampel log
kartu akses untuk menentukan kecukupan.
iii) Periksa apakah pengunjung selalu didampingi oleh personil Penyedia Jasa
Pihak Ketiga di kantor Penyedia Jasa Pihak Ketiga. Daftar pengunjung harus
dikelola di area yang aman untuk tujuan pelacakan.
14.0 Enkripsi
Menilai bahwa kunci perangkat keras, kunci perangkat lunak, token dan Satisfactory
14.1 Infrastructure key encryption Kebijakan Enkripsi Data password Penyedia Jasa Pihak Ketiga yang digunakan untuk enkripsi data
harus diamankan.
Satisfactory
14.2 Enkripsi Data Sensitif Kebijakan Enkripsi PIN, password dan data sensitif nasabah lainnya harus dienkripsi saat dalam
perjalanan dan saat dalam keadaan tidak bergerak.
Satisfactory
Metode aman untuk interface, pertukaran dan sinkronisasi antara aplikasi
14.3 Secure Interfacing Method Keamanan Data dan aplikasi/perangkat lain hanya boleh dilakukan melalui koneksi
terenkripsi misalnya HTTPS untuk berbasis web, SFTP, dll.
Disaster Recovery Plan. i) Verifikasi bahwa pengelolaan operasional di lokasi utama Penyedia Jasa
Pihak Ketiga sama dengan di lokasi alternatif Penyedia Jasa Pihak Ketiga
Pengelolaan operasi di situs utama dan situs
15.1 alternatif tambahan bukti pendukung:
- dokumentasi Testing DR (khusus aplikasi/ proses yang terkait dengan CIMB - ii) Verifikasi bahwa prosedur recovery data Penyedia Jasa Pihak Ketiga telah
jika ada) dibuat dan didokumentasikan.
ii) Pastikan pengujian yang relevan (seperti integration testing, UAT dan
SDLC. application security testing) dijalankan sebelum deployment dengan
prosedur otorisasi yang tepat.
Apakah ada penggunaan data production untuk proses testing?
iii) Tentukan apakah setiap perubahan source code tunduk pada review
Serta, untuk point iii, agar dijelaskan lebih detail untuk review source code source code yang memadai.
Proses/Metodologi Pengembangan Aplikasi
16.1 (SDLC) yang bagaimana yang harus dipatuhi oleh pihak ketiga.
iv) Pastikan Penyedia Jasa Pihak Ketiga secara fisik telah memisahkan
Tambahan panduan: lingkungan produksi dari lingkungan pengembangan dan lingkungan
- pastikan untuk setiap pengembangan / perubahan / pengembangan sistem pengujian untuk sistem kritikal. Untuk lingkungan cloud, pastikan
yang terkait dengan bank, terdapat prosedur penyampaian informasi / lingkungan-lingkungan tersebut tidak berjalan di host virtual yang sama.
permintaan approval kepada bank
v) Periksa apakah Penyedia Jasa Pihak Ketiga memiliki contingency/fallback
plan jika terjadi implementasi perubahan material yang tidak berhasil untuk
meminimalisir gangguan bisnis.
rity Questionnaire
Ya Pilih
Ya Pilih
Ya Pilih
ya Pilih
2FA Pilih
Ya Pilih
Ya Pilih
Ya Pilih
Ya Pilih
a. Tidak Pilih
b.ya
- proteksi Password, USB/Removable media,
email keluar, personal firewall,screen saver
password, dan antivirus
Ya Pilih
Ya Pilih
Ya Pilih
Ya Pilih
Ya Pilih
Pilih
Pilih
kami pastikan untuk pembuatan password Pilih
sesuai kebijakan perusahaan, dimana
password tersebut harus kuat dan
berkualitas. l
kami sudah
membuat user akses matrix sesuai kebijakan.
dengan akses ride write, ecrypt dan protech
password. dan user tersebut tidak semua
karyawan dapat masuk.
Ya Pilih
Ya Pilih
Pilih
Ya Pilih
a. tidak, data selalu diletakan dalam data Pilih
center kami. B. area
dilengkapi dengan CCTV dan wajib
menggunakan kartu identitas karyawan.
Satpam gedung
24*7
i) Ya ii) Ya Pilih
iii) Ya
Ya Pilih
Ya Pilih
Ya Pilih
setiap kali ada pengembangan system, kami Pilih
selalu melakukannya dalam server test. Jika
sudah baik hasilnya, maka kami terapkan
pada system production atau system utama.
workflow:
pemindahan data
- Transfer data via ftp (server ftp bisa dari kami juga bisa dari pihak CIMB)
1.
- Transfer data via email jika di mungkinkan
- ip address : 103.138.46.35
Upload data
2. - setelah data di pindahkan ke server kami, selanjutnya data tersebut akan kami upload
kedalam system.
Collect
3.
- Agent kami, akan langsung melakukan collect setelah data masuk ke dalam system
folder terpisah dan Akses terbatas pada sharing folder dalam server.
1.3
1.4
Antivirus
IT Security Policy
Alur Permintaan Pengembangan System
1.5
SOP TI
Pintu Ruang Server
Rak Server 1
1.6
Rak Server 2
User Access Policy
4.1
4.2
4.3
4.3
System Session Timeout
4.6
Diagram jaringan
5.1
5.2
One-Time-Password" (OTP) untuk VPN
5.5
5.6
Konfigurasi Jaringan
5.7
Kebijakan Anti Virus/IPS
5.8
5.9
7.1 &
7.2
7.1 &
7.2
User acces matrix
Backup Server
7.3
Keamanan Data
data fisik tersimpan aman dalam mobile rack dan tidak semua orang bisa
masuk. Pintu ruang juga sudah di lengkapi dengan kunci akses.
7.4
7.5
Pemusnahan/Pembersihan/Penghancuran Data
Mesin penghancur
7.6
7.6
8.1
semua log dan pemantauan sudah di atur dan ditetapkan dalam SOP
perusahan. Pemeliharaan perangkat keras dan lunak (hardware&Software)
sudah terjaga dan tersimpan dengan aman.
IT Security Monitoring / Surveillance
Monitoring agent
10.1
Pemantauan Aktivitas Jaringan
Pencegahan Intrusi Berbahaya
10.2
13.0
Bagian dari sensor suhu
1.6 detector api