Kebijakan Pengungkapan Kerentanan (Vulnerability Disclosure Policy)

Pendahuluan

Kebijakan ini bertujuan memberikan panduan yang jelas bagi peneliti keamanan independen mengenai standar yang harus diikuti saat melakukan kegiatan penemuan kerentanan, serta menjelaskan bagaimana kami ingin menerima laporan kerentanan keamanan. Dokumen ini menjabarkan sistem dan jenis penelitian yang berlaku, cara pengiriman laporan kerentanan, serta waktu tunggu yang harus dipatuhi peneliti sebelum mengungkapkan kerentanan secara publik. Kami mendorong Anda untuk menghubungi kami dan melaporkan potensi kerentanan yang mungkin terdapat dalam sistem kami.

 

Kebijakan

Kami mendorong dan menyambut penelitian keamanan yang dilakukan dengan itikad baik. Jika Anda melakukan penelitian dengan jujur, dalam batas yang diizinkan oleh hukum, dan mematuhi kebijakan ini, tindakan Anda akan dianggap sebagai kegiatan yang sah, dan kami berterima kasih atas bantuan Anda dalam meningkatkan keamanan kami. Untuk penelitian yang dilakukan dengan itikad baik dan sesuai kebijakan ini, kami tidak akan mengambil tindakan hukum atau melaporkannya kepada aparat penegak hukum, serta akan berkomunikasi secara positif dengan Anda untuk bersama-sama memperbaiki potensi masalah.

Kami juga akan menghormati dan melindungi informasi identitas Anda, dan tidak akan mengungkapkannya tanpa izin eksplisit dari Anda. Harap diperhatikan bahwa otorisasi dan perlindungan ini hanya berlaku untuk sistem dan layanan yang dioperasikan atau secara jelas diotorisasi oleh perusahaan kami, dan tidak mencakup platform pihak ketiga. Jika penelitian dilakukan di luar cakupan kebijakan ini atau melanggar hukum, kami dapat mengambil tindakan sesuai peraturan yang berlaku.

 

Panduan

1. Dilarang merusak sistem atau mencuri data: Gunakan kerentanan hanya sejauh yang diperlukan untuk memverifikasi keberadaannya. Setelah memperoleh cukup informasi untuk mengonfirmasi masalah keamanan, dilarang mencoba mempertahankan akses, melakukan enumerasi, mencuri data internal, membangun akses command line, atau memanfaatkan kerentanan untuk menyerang sistem lain. Jika menemukan data sensitif (seperti informasi pribadi, keuangan, data kepemilikan, atau rahasia dagang), segera hentikan pengujian dan hanya beri tahu kami.
2. Hormati privasi orang lain: Dilarang melanggar privasi karyawan atau pelanggan Akulaku, dilarang mengakses data yang bukan milik Anda, dilarang melakukan serangan non-teknis (seperti rekayasa sosial, phishing, akses tanpa izin ke infrastruktur atau karyawan), dilarang merusak sistem produksi atau memanipulasi data.
3. Bekerja sama: Setelah menemukan kerentanan, segera bekerja sama dengan kami melalui proses pengungkapan terkoordinasi. Laporan dapat dikirim melalui alamat email yang kami sediakan di bawah ini.
4. Beritahu tepat waktu: Segera beri tahu kami begitu menemukan masalah keamanan yang nyata atau potensial, tanpa menunda penanganannya.
5. Pengungkapan kerentanan: Setelah mengirimkan laporan, berikan kami waktu yang wajar untuk memperbaiki kerentanan sebelum mengungkapkannya secara publik. Pengakuan dan waktu pengungkapan sepenuhnya ditentukan oleh kami, dan rencana pengungkapan dapat dibatalkan sewaktu-waktu. Pengujian tidak boleh melanggar hukum.

 

Metode Pengujian

Metode pengujian berikut tidak diizinkan:

• Penolakan layanan jaringan (DoS atau DDoS) atau pengujian lain yang berpotensi merusak sistem atau data.
• Pengujian fisik (misalnya mengakses kantor, tailgating), rekayasa sosial (misalnya phishing, vishing), atau pengujian kerentanan non-teknis apa pun.

 

Cakupan

Kebijakan ini berlaku untuk sistem dan layanan berikut:

• Sistem aplikasi:
  martech.akulaku.com
  ec-vendor.akulaku.com
  ec-api.akulaku.com
  ec-mall.akulaku.com
  ec-oapi.akulaku.com
  developer.akulaku.com
  ec-console.akulaku.com
  sa.akulaku.com
  erp.akulaku.com
  crm.akulaku.com
• Aplikasi seluler:
  Aplikasi Akulaku untuk Android: https://play.google.com/store/apps/details?id=io.silvrr.installment

Harap diperhatikan bahwa beberapa sistem yang menggunakan domain “akulaku” atau subdomainnya mungkin dikelola oleh mitra, afiliasi, atau pihak ketiga independen. Aset-aset tersebut tidak termasuk dalam cakupan pengujian kebijakan ini, kecuali jika secara jelas dinyatakan sebagai target pengujian yang sah oleh tim keamanan resmi Akulaku dalam kebijakan ini atau melalui saluran resmi lainnya.

Selain aset yang secara eksplisit tercantum di atas, domain lain atau sumber daya yang dihosting oleh pihak ketiga tidak termasuk dalam cakupan kebijakan ini.

Jika Anda tidak yakin apakah suatu sistem termasuk dalam cakupan, silakan hubungi security@akulaku.com terlebih dahulu.

 

Laporan Kerentanan

Informasi yang dikirim hanya digunakan untuk tujuan defensif — memitigasi atau memperbaiki kerentanan keamanan siber. Tanpa izin tegas, kami tidak akan membagikan nama atau informasi kontak Anda.

Kami menerima laporan kerentanan lewat email: security@akulaku.com, dan akan mengonfirmasi penerimaan dalam 5 hari kerja.

Saran isi laporan:

• Deskripsikan bagian kerentanan dan potensi dampaknya.
• Berikan langkah-langkah rinci untuk mereproduksi kerentanan (skrip PoC atau tangkapan layar sangat membantu).

 

Pertanyaan dan Konsultasi

Jika Anda memiliki pertanyaan terkait kebijakan ini, silakan kirim email ke security@akulaku.com. Kami juga menyambut saran dan masukan Anda untuk perbaikan kebijakan ini.