Ketentuan Keamanan Data WhatsApp Business ("Ketentuan Keamanan Data")

29 Oktober 2020

Ketentuan Keamanan Data WhatsApp Business ini (“Ketentuan Keamanan Data”) berlaku sehubungan dengan penyediaan Layanan Bisnis WhatsApp kepada Anda sesuai dengan Ketentuan Bisnis. Istilah dalam huruf kapital yang digunakan tetapi tidak didefinisikan dalam Ketentuan Keamanan Data ini memiliki arti yang diberikan dalam Ketentuan Bisnis. Ketentuan Keamanan Data ini menjelaskan standar keamanan minimum yang dipertahankan oleh WhatsApp yang berlaku untuk Layanan Bisnis yang disediakan berdasarkan Ketentuan Bisnis, termasuk data yang Anda kirim ke WhatsApp menggunakan Layanan Bisnis (“Data Tercakup”).

1. Organisasi Keamanan Informasi. WhatsApp memiliki personel yang bertanggung jawab untuk mengawasi keamanan Layanan Bisnis.
2. Keamanan Fisik dan Lingkungan. Tindakan keamanan WhatsApp akan mencakup kontrol yang dirancang untuk memberikan jaminan yang wajar bahwa akses fisik ke fasilitas pemrosesan fisik di bawah kontrol WhatsApp yang digunakan untuk menyediakan Layanan Bisnis (“Fasilitas Pemrosesan Data”) dibatasi untuk orang yang berwenang dan bahwa kontrol lingkungan ditetapkan untuk mendeteksi, mencegah, dan mengontrol kerusakan akibat bahaya lingkungan. Kontrol ini akan mencakup:
   1. Pencatatan dan audit akses fisik ke Fasilitas Pemrosesan Data oleh karyawan dan kontraktor;
   2. Sistem pengawasan kamera di Fasilitas Pengolahan Data;
   3. Sistem yang memantau serta mengontrol suhu dan kelembapan perangkat komputer di Fasilitas Pengolahan Data;
   4. Catu daya dan generator cadangan di Fasilitas Pemrosesan Data;
   5. Prosedur penghapusan dan pembuangan data secara aman, sesuai dengan Ketentuan Bisnis; Dan
   6. Protokol yang mewajibkan kartu ID untuk masuk ke semua fasilitas WhatsApp bagi semua personel yang bekerja di Layanan Bisnis.
3. Personel
   1. Pelatihan. WhatsApp akan memastikan bahwa semua personel yang memiliki akses ke Data Tercakup menjalani pelatihan keamanan.
   2. Kerahasiaan. WhatsApp secara kontrak akan mengikat personel yang memiliki akses ke Data Tercakup dengan persyaratan kerahasiaan yang sesuai.
   3. Penyaringan dan Pemeriksaan Latar Belakang. WhatsApp akan memiliki proses untuk:
      1. memverifikasi identitas personel yang memiliki akses ke Data Tercakup; dan
      2. melakukan pemeriksaan latar belakang, jika diizinkan secara hukum, terhadap personel yang mengerjakan atau mendukung aspek terkait Layanan Bisnis sesuai dengan standar WhatsApp.
   4. Pelanggaran Keamanan Personel. WhatsApp akan mengambil tindakan disipliner jika terjadi akses tidak sah ke Data Tercakup oleh personel WhatsApp, termasuk, jika diizinkan secara hukum, hukuman hingga dan termasuk pemutusan hubungan kerja.
4. Pengujian Keamanan. WhatsApp akan melakukan pengujian keamanan dan kerentanan secara berkala untuk menilai apakah kontrol kunci diterapkan dengan benar dan efektif.
5. Kontrol Akses.
   
   1. Manajemen Kata Sandi. WhatsApp telah menetapkan dan akan mempertahankan prosedur manajemen kata sandi untuk personelnya, yang dirancang untuk memastikan kata sandi bersifat pribadi bagi setiap individu, dan tidak dapat diakses oleh orang yang tidak berhak, termasuk minimal:
      1. penyediaan kata sandi, termasuk prosedur yang dirancang untuk memverifikasi identitas pengguna sebelum membuat kata sandi baru, pengganti, atau sementara;
      2. kata sandi yang melindungi secara kriptografis saat disimpan dalam sistem komputer atau saat transit melalui jaringan;
      3. mengubah kata sandi default dari vendor;
      4. kata sandi kuat yang relatif terhadap tujuan penggunaannya; dan
      5. pendidikan tentang praktik kata sandi yang baik.
   2. Manajemen Akses. WhatsApp juga akan mengontrol dan memantau akses personelnya ke sistemnya menggunakan hal berikut:
      1. prosedur yang ditetapkan untuk mengubah dan mencabut hak akses dan ID pengguna, tanpa penundaan yang tidak semestinya;
      2. prosedur yang ditetapkan untuk melaporkan dan mencabut kredensial akses yang dibobol (kata sandi, token, dsb.);
      3. memelihara log keamanan yang sesuai termasuk jika berlaku dengan id pengguna dan cap waktu;
      4. menyinkronisasi jam dengan NTP; dan
      5. Mencatat peristiwa manajemen akses pengguna minimum berikut
         • Perubahan otorisasi;
         • Upaya autentikasi dan akses yang gagal dan berhasil; dan
         • Operasi baca dan tulis.
6. Keamanan Komunikasi
   1. Keamanan Jaringan
      1. WhatsApp akan menggunakan teknologi yang sesuai dengan standar industri untuk pemisahan jaringan.
      2. Akses jaringan jarak jauh ke sistem WhatsApp akan membutuhkan komunikasi terenkripsi melalui protokol aman dan penggunaan autentikasi multi-faktor.
   2. Perlindungan Data dalam Transit
      1. WhatsApp akan menegakkan penggunaan protokol yang sesuai yang dirancang untuk melindungi kerahasiaan data dalam transit melalui jaringan publik.
7. Manajemen Kerentanan. WhatsApp telah membentuk dan akan mempertahankan program manajemen kerentanan yang mencakup Layanan Bisnis yang meliputi definisi peran dan tanggung jawab untuk pemantauan kerentanan, penilaian risiko kerentanan, dan penerapan patch.
8. Manajemen Insiden Keamanan.
   1. Tanggapan Insiden Keamanan. WhatsApp akan mempertahankan rencana tanggapan insiden keamanan untuk memantau, mendeteksi, dan menangani kemungkinan insiden keamanan yang memengaruhi Data Tercakup. Rencana tanggapan insiden keamanan setidaknya mencakup definisi peran dan tanggung jawab, komunikasi, dan tinjauan post-mortem, termasuk analisis akar penyebab dan rencana perbaikan.
   2. Pemantauan. WhatsApp akan memantau setiap pelanggaran keamanan dan aktivitas berbahaya yang memengaruhi Data Tercakup.

Jika terjadi pertentangan yang jelas antara Ketentuan Bisnis dan Ketentuan Keamanan Data ini, Ketentuan Bisnis akan mengatur hanya sehubungan dengan penggunaan Layanan Bisnis oleh Anda dan hanya sejauh pertentangan tersebut. WhatsApp dapat memperbarui Ketentuan Keamanan Data ini dari waktu ke waktu untuk mencerminkan standar keamanan yang berkembang.