Navigation SearchNavigation ContactNavigation Products

Fokus Diferensial:
Keamanan & Integritas

Sejak didirikan, DDI menempatkan nilai tertinggi pada integritas data.  DDI berkomitmen untuk menjalankan bisnis dengan cara yang mendorong keyakinan, dan kepercayaan, yang mencakup penggunaan dan pengelolaan yang tepat atas data pribadi yang diberikan kepada kami oleh kolega, pelanggan, dan pemasok.  Setiap karyawan DDI di seluruh dunia telah dilatih dalam praktik terbaik keamanan data yang membantu melindungi data klien.

Misi Keamanan Kami

  • Sepenuhnya transparan dalam cara kami menggunakan dan mengelola data.
  • Membantu pelanggan memaksimalkan manfaat data mereka sekaligus meminimalkan potensi risiko.
  • Memanfaatkan praktik global terbaik dalam kebijakan data dan tindakan kepatuhan kami.
  • Memberikan perlindungan dan kerahasiaan data tingkat tertinggi bagi pelanggan kami.

Pendekatan Kami terhadap Keamanan Data

DDI menggunakan pendekatan Keamanan Informasi berlapis dalam melindungi data pengguna (informasi kandidat, peserta, pembelajar, administrator, dan pelanggan) dan mencegah akses, pengubahan, atau pemusnahan tanpa izin.  Kebijakan dan proses kami dirancang untuk:

  • Menentukan mekanisme untuk melindungi data dan mencegah penyalahgunaan data
  • Memberikan edukasi kepada karyawan DDI tentang pentingnya pengelolaan data secara aman dan mengenali potensi ancaman keamanan
  • Menyediakan saluran komunikasi untuk pertanyaan eksternal tentang kebijakan ini dan sistem terkait

Tata Kelola Keamanan

Untuk memastikan integritas data, DDI memiliki sumber daya, kebijakan, dan proses yang didedikasikan untuk perlindungan data, termasuk Kantor Keamanan Data (Data Security Office) dan Petugas Perlindungan Data (Data Protection Officer), yang secara rutin memantau standar global. 

Petugas Perlindungan Data (Data Protection Officer - DPO) DDI menetapkan dan memberlakukan visi dan strategi untuk program keamanan dan kepatuhan perusahaan, dengan tujuan untuk mencapai konsistensi global, sehingga memastikan bahwa risiko dikelola dengan sesuai dan tujuan tercapai.

Pelatihan Keamanan

DDI mengadakan pelatihan rutin bagi karyawan DDI untuk mempelajari tentang praktik terbaik privasi, kerahasiaan, dan keamanan data.   Pengguna akhir dilatih untuk mengenali dan menghindari serangan phishing, jebakan rekayasa sosial, serta tautan dan unduhan berbahaya.

Pemrosesan Data

DDI mengambil peran sebagai Pengontrol atau Pemroses data tergantung pada konteks bisnis.  Apabila data diambil dan diproses dalam konteks pemasaran, penjualan, atau penelitian yang dipimpin DDI, DDI beroperasi sebagai “Pengontrol Data” dan mematuhi semua akuntabilitas dan persyaratan keamanan data yang telah ditentukan dalam menjalankan peran tersebut.  Ketika data diambil dan diproses dalam konteks keterlibatan yang didanai pelanggan, pelanggan memiliki peran sebagai Pengontrol data.  DDI berperan sebagai "pemroses data" dan mematuhi semua akuntabilitas dan persyaratan keamanan data yang telah ditentukan dalam menjalankan peran tersebut. 

Keamanan dalam Kemitraan

Keamanan dan kerahasiaan data pelanggan merupakan tanggung jawab bersama antara DDI dan pelanggan kami.  DDI menyediakan platform aman di mana pelanggan bisa mengakses dan memanfaatkan data mereka.  Selain itu, DDI menyediakan alat, layanan, dukungan, dan sumber daya yang memungkinkan pelanggan untuk memastikan keamanan data mereka selama masa keterlibatan. Lihat Pernyataan Privasi DDI.

Pelanggan sama-sama bertanggung jawab atas keamanan data mereka selama dan setelah keterlibatan mereka dengan DDI.  Pelanggan harus memahami data apa yang dikumpulkan dan disimpan dalam sistem DDI dan menentukan kebijakan pembagian data yang tepat untuk memastikan bahwa data dibagikan hanya dengan orang yang diizinkan untuk mengaksesnya.  Kebijakan pembagian data harus sesuai dengan persyaratan risiko dan kepatuhan yang berkorelasi dengan kepentingan dan klasifikasi data tersebut.

Klasifikasi Data

  • Data pribadi mencakup setiap informasi yang dapat mengidentifikasi individu. Kami hanya mengumpulkan, mengakses, menggunakan, atau mengungkapkan data pribadi untuk tujuan bisnis yang sah dan layak. Kami mengamankan informasi ini dengan baik dan tidak membagikannya kepada siapa pun, baik di dalam maupun di luar Perusahaan kami, yang tidak memiliki kebutuhan bisnis yang sah.
  • Data Sensitif/Rahasia adalah setiap aset informasi di mana untuk itu terdapat persyaratan hukum untuk mencegah pengungkapan, atau jika pengungkapan informasi tersebut akan menyebabkan bahaya yang serius terhadap kerahasiaan individu yang bersangkutan.  Akses ke data rahasia dibatasi untuk pengguna internal DDI di mana data tersebut diperlukan oleh pengguna tersebut untuk memenuhi kontrak layanan bisnis dan/atau pengelolaan keamanan.  Aplikasi Perangkat Lunak sebagai Layanan (Software as a Service - SAAS) DDI tidak mendapatkan atau menyimpan aset informasi rahasia. 
  • Data Diagnostik/Kinerja diambil dalam proses memenuhi kewajiban kontraktual kepada pelanggan kami, dalam konteks yang telah ditentukan dan dimiliki oleh pelanggan.  Tempat penyimpanan data aplikasi DDI memiliki kontrol ketat yang mencegah pengungkapan data ini kepada pihak tanpa izin.  Akses ke data tersebut dibatasi untuk pengguna internal DDI yang memerlukannya untuk memenuhi kontrak layanan bisnis dan/atau pengelolaan keamanan serta pengguna yang diidentifikasi dan diizinkan oleh klien sesuai dengan kebijakan pembagian data klien.
  • Data Publik adalah informasi yang tersedia untuk disebarkan kepada publik atau yang dapat diakses dari sumber publik lainnya.  Namun demikian, sebagian besar informasi tentang individu diperlakukan sebagai Rahasia atau Sensitif bahkan jika tersedia untuk umum.

Akses dengan Hak paling sedikit (Least-rights)

Ke Data

Akses ke semua data (terlepas dari klasifikasinya) diberikan menggunakan model keamanan "Hak Paling Sedikit yang Diperlukan (Least Rights Necessary)", yaitu diberikan kepada orang-orang dengan kebutuhan bisnis sah seperti pengguna akhir, administrator klien, dan berbagai tim dukungan DDI dan klien.  Tindakan tambahan dapat digunakan untuk memastikan bahwa data diamankan sesuai dengan persyaratan untuk setiap klasifikasi.  Individu yang dapat memperoleh akses meliputi:

Pengguna Akhir

Pengguna akhir adalah orang-orang yang terlibat dalam proses online (seperti pengujian atau penilaian) atau yang membuat atau menjawab survei.

Administrator Klien

Administrator Klien adalah pengguna akhir sistem yang mengelola akun dan proses alur kerja dalam sistem aplikasi DDI, seperti manajer yang merekrut, tenaga profesional pengembangan staf, dan peran Sumber Daya Manusia lainnya.  Administrator dapat berupa karyawan klien atau karyawan DDI yang memasukkan informasi pribadi atas nama klien atau pemohon dan dapat memandu mereka melewati tahap proses yang berbeda. 

Personel Dukungan

Ketika pengguna meminta dukungan teknis dari tim Dukungan Produk DDI, pengguna tersebut dapat memberikan akses sementara ke akunnya kepada perwakilan dukungan.  Tim dukungan mungkin perlu melihat pengujian, penilaian, atau survei pengguna individu sebagai bagian dari penyelesaian insiden dukungan.

Ke Aplikasi

Aplikasi menggunakan model keamanan berbasis peran untuk menentukan hak akses. Data klien dipisahkan secara logis berdasarkan lokasi, dokumen, pengguna, dan kriteria lainnya.  Perubahan sistem dikendalikan melalui proses manajemen perubahan dengan praktik terbaik.

Ke Akun

Pengguna akhir diberikan izin 'akses dengan hak istimewa paling sedikit (least privileged access)’ untuk melakukan pekerjaan mereka secara efektif dan efisien.  Semua administrasi dan manajemen akun dikendalikan secara ketat oleh DDI. Akun pengguna harus memiliki kata sandi yang kuat dan screen saver yang dilindungi kata sandi.  Akses akun akan dinonaktifkan secara otomatis setelah kegagalan logon yang berlebihan atau pemutusan hubungan kerja.

 

Ke Database

Anggota tim rekayasa teknis (engineering team) terpilih kami memiliki akses di tingkat database. Akses ini digunakan untuk membuat cadangan di luar lokasi dan melakukan pemulihan data. Ini semua dilakukan tanpa melihat data.

Ke Pusat Data atau Pencadangan

Akses fisik ke Pusat Data dibatasi untuk daftar karyawan DDI yang namanya disebutkan. Akses fisik tidak berarti akses ke data. Media fisik disimpan di server pada lemari yang dikunci. Cadangan di luar lokasi disimpan di dalam brankas tahan api di ruangan yang aman. Akses ke ruangan ini dibatasi dan dicatat.

Transmisi Aman

Saat menggunakan aplikasi DDI, data biasanya berpindah di antara tiga pihak penting—pelanggan dan karyawan/kandidatnya, dan DDI.  Saat pengguna akhir mengakses aplikasi DDI, informasi yang mereka berikan dikirimkan melalui metode aman yang telah dienkripsi (HTTPS).  Data yang diproses oleh server aplikasi kami dikirim ke server database kami untuk disimpan. Server web/aplikasi dan database berada di jaringan logis dan fisik terpisah yang dilindungi oleh firewall.

DDI menggunakan SSL/TLS 1.2 untuk akses data aplikasi HTTPS secara aman. Teknologi SSL disediakan sebagai standar untuk semua aplikasi DDI dan semua pita cadangan (backup tape) dienkripsi menggunakan enkripsi AES 256bit. Enkripsi digunakan untuk kata sandi yang disimpan dalam database aplikasi.  Semua file (terlepas dari kerahasiaannya) tetap dienkripsi ketika disalin dari laptop DDI ke perangkat penyimpanan eksternal.

Proses Pengembangan Produk & Manajemen Code

Siklus Rilis Pengembangan (Development Release Cycle)

DDI menggunakan model pengembangan yang tangkas (agile).  Tangkas merupakan pendekatan berulang/iteratif pada pengembangan perangkat lunak dan memberikan kemampuan yang sangat cekatan yang memungkinkan DDI menanggapi kebutuhan klien kami secara cepat.  Kami memiliki siklus rilis code baru yang terencana – biasanya siklus mingguan – yang berarti bahwa kira-kira setiap minggu DDI akan merilis fitur dan pemutakhiran baru.  Model pengembangan yang tangkas memberikan banyak kesempatan untuk meningkatkan fitur yang sudah ada dan/atau menambah fitur baru. Di luar siklus ini, kami dapat membuat rilis segera ("hot fix") sesuai dengan tingkat urgensinya.

Lingkungan Pengembangan (Digital)

DDI menggunakan instance aplikasi terpisah untuk menguji code yang telah diperbarui serta instance terpisah untuk code kandidat awal (early candidate code) dan perangkat lunak kandidat rilis (release candidate software). Pendekatan ini melindungi data dari pengendalian atau akses oleh code yang masih dalam pengembangan.  Semua code pengembangan dijalankan dengan "dummy database."

Peninjauan Code

Pemrogram bekerja secara individu dan dalam tim untuk mengembangkan codee baru.  Menjelang akhir setiap siklus pengembangan, akan dilakukan peninjauan sejawat dan pengujian terhadap code dalam lingkungan jaminan kualitas (Quality Assurance - QA) yang terpisah dari lingkungan produksi.  Periode pengujian ini memungkinkan diatasinya banyak bug sebelum masuk ke produksi.  Code juga diperiksa secara terprogram untuk menemukan kerentanan yang telah dikenali, dengan menggunakan alat NTOSpider.

Pengelolaan Code

Git digunakan untuk mengelola proses pengembangan perangkat lunak dan berfungsi sebagai repositori source-code.  Alat Git dan proses-proses yang terkait memastikan bahwa tidak ada perubahan yang ditimpa karena beberapa pengembang membuat perubahan dalam modul yang sama.  Terdapat proses kontrol perubahan di berbagai tingkatan dalam pengembangan, jaminan kualitas (QA), dan implementasi termasuk:

  • Dokumentasi dan kepemilikan Permintaan Perubahan yang mencakup peninjauan, persetujuan, dan dokumentasi dari semua perubahan yang dilakukan oleh pemilik aplikasi.
  • Proses persetujuan bertahap untuk promosi kode dari: Pengembangan ke Jaminan Kualitas (QA); Jaminan Kualitas (QA) ke Staging; dan Staging ke Produksi.
  • Proses pengujian dan jaminan kualitas (QA) perangkat lunak bertahap (pengujian unit diikuti dengan pengujian sistem, diikuti dengan uji penerimaan pengguna (UAT)). Pengembangan dan pengujian unit dilakukan pada sistem pengembangan yang terpisah oleh pengembang perangkat lunak sebelum dirilis untuk pengujian sistem dan penerimaan pengguna pada sistem jaminan kualitas (QA) yang terpisah.

Keamanan dalam Infrastruktur

Fasilitas Hosting yang Aman

DDI meng-hosting aplikasi client-facing di pusat data (data center) bersertifikasi SSAE18, SOC 2 Type II, ISO/IEC 27001:2013, HIPAA/HITECH, PCI DSS 3.1 yang bersifat redundan.

Infrastruktur server DDI ditempatkan di area khusus bersangkar (caged) tertutup berukuran 8' x 16'.  Akses ke area ini terbatas untuk staf DDI yang bertanggung jawab untuk mengelola server aplikasi dan komponen jaringan. Fasilitas pusat data (data center) telah mengimplementasikan sistem yang ekstensif untuk memberikan keamanan dan perlindungan pabrik fisik (physical plant)

Karena server bisa menjadi target serangan, DDI memastikan bahwa server diamankan dengan layak.  Proses DDI untuk meningkatkan keamanan server mencakup tindakan berikut.  [Demi alasan keamanan, kami tidak dapat memberikan semua detail kontrol keamanan server kami.]

  • Penonaktifan atau penghapusan layanan, aplikasi, dan protokol jaringan yang tidak diperlukan.
  • Penonaktifan akun pengguna yang tidak diperlukan dan mengganti nama akun default.
  • Persyaratan kata sandi yang dikonfigurasi untuk mematuhi Kebijakan Kata Sandi DDI.
  • Aktivasi pencatatan server (server logging) dan jejak audit (audit trails).
  • Instalasi perangkat lunak antivirus/antimalware dengan file definisi terkini.
  • Dikonfigurasi dengan patch keamanan terkini, yang pertama kali diuji pada platform pengujian.

Keberlanjutan

Sistem hot sync parallel/redundan dari fasilitas pusat data (data center) memberikan pasokan daya redundan melalui Sistem Daya Tidak Terputus (Uninterrupted Power System - UPS) dan generator cadangan.  Terdapat koneksi ke beberapa jaringan perusahaan telekomunikasi untuk akses internet redundan dan konektivitas telah diseimbangkan bebannya dan disediakan oleh lebih dari satu ISP.

Pemulihan Bencana

DDI memiliki Rencana Pemulihan Bencana (Disaster Recovery Plan) yang terperinci untuk memulihkan layanan bisnis jika terjadi kegagalan sistem berskala besar. Rencana ini diperbarui setiap kali perubahan dilakukan pada infrastruktur sistem atau konfigurasi ladang web (web farm) produksi.

Keamanan Jaringan

Infrastruktur Jaringan kami terdiri dari sepasang perangkat dual HA yang memberikan penyeimbangan beban dan kemampuan akselerasi yang mendengarkan permintaan yang datang melalui port TCP 80 atau 443 (berdasarkan tingkat SSL) ke alamat IP eksternal dari suatu situs web.  DDI menggunakan baik sistem deteksi berbasis host maupun berbasis jaringan yang dipantau dan direspons selama 24x7x365.

 

Perlindungan Malware/Virus

Lingkungan pemantauan kami telah dikonfigurasi untuk secara otomatis mengirim peringatan kepada staf yang tepat yang bertugas selama 24/7/365.  Semua sistem yang sesuai - PC, server, sistem gateway, dan sebagainya - dilindungi oleh perangkat lunak antivirus dengan perlindungan titik akhir dan “perlindungan hari nol (zero-day protection)” dari Microsoft, yang dikelola dan diperbarui secara terpusat. 

Penyimpanan & Penghapusan Data

DDI menggunakan kebijakan penyimpanan yang komprehensif untuk mengelola dan melindungi data pribadi.  Sebagai standar praktik terbaik, DDI tidak menyimpan data pribadi selama waktu yang lebih lama dari yang diperlukan untuk memenuhi kewajiban kontraktual dan/atau hukumnya.  Kebijakan kami (1) mengharuskan agar data pribadi dihapus/dimusnahkan atau dianonimkan setelah periode penyimpanan berakhir, yang tidak melebihi 5 tahun; dan (2) memungkinkan data dalam format depersonalisasi untuk disimpan tanpa batas waktu untuk tujuan riset dan bisnis.

Sebelum 25 Mei 2018, data akan dicadangkan secara bertahap setiap malam untuk memastikan bahwa semua aplikasi dan data klien dipertahankan dan dapat dipulihkan apabila terjadi kehilangan data atau peristiwa malapetaka.  Setelah tanggal tersebut, cadangan setiap malam hanya akan disimpan selama tiga puluh (30) hari.

Jadwal Pencadangan dan Penyimpanan Data

  • Server File Fisik dan Cadangan Server DB: (Disimpan selama 35 hari pada disk)
  • Mesin Virtual Produksi: (Disimpan selama 35 hari pada disk)
  • Situs Klien SharePoint: (Disimpan selama 35 hari pada disk)
  • Salinan Bulanan ke Tape: (Disimpan selama 1 tahun pada tape)
  • Salinan Tahunan ke Tape: (Disimpan selama 5 tahun pada tape)

Tanggap Insiden Keamanan

DDI memberlakukan rencana deteksi dan tanggap insiden keamanan yang komprehensif, termasuk deteksi intrusi, pemindaian, dan metode lain yang dianggap efektif dan tepat. Meskipun insiden terkait komputer merupakan hal yang paling umum terjadi, insiden yang tidak terkait dengan komputer dapat dilaporkan melalui Hotline Insiden atau dengan menghubungi DPO atau Penasihat Hukum Perusahaan DDI.  DDI akan melaporkan setiap insiden keamanan yang diduga atau secara aktual terjadi kepada klien yang terkena dampak atau mungkin terkena dampak dan pihak berwenang yang sesuai dalam waktu 72 jam sejak menemukan pelanggaran keamanan.  Setelah insiden diatasi dan pemberitahuan yang sesuai dilakukan, DDI akan terus mengambil langkah-langkah untuk meningkatkan kontrol privasi untuk mencegah insiden terulang kembali.

Kepatuhan

Sertifikasi

SSAE-18:  DDI hanya menyimpan data di pusat data yang telah menerima audit SAS 70 Type II tahunan yang tidak memihak dan memiliki hasil yang baik. Harap diperhatikan bahwa SAS 70 telah diganti dengan Pernyataan tentang Standar Pelibatan Pengesahan (Statement on Standards for Attestation Engagements - SSAE) No. 18 dan pusat data kami disertifikasi dengan standar tersebut.

ISO 27001:  DDI mematuhi standar keamanan global yang diadopsi secara luas ini yang dikembangkan oleh Organisasi Standardisasi Internasional dan hanya menggunakan pusat data yang sudah menunjukkan kepatuhan mereka melalui penilaian berkala dan sertifikasi tahunan.

SOC 1/ SOC 2 – DDI tidak bersertifikat SOC 1 maupun SOC 2.  Namun demikian, penyedia hosting data DDI terus mengikuti sertifikasi SOC 2. 

Informasi Rahasia

Setelah direkrut, semua karyawan DDI diwajibkan untuk menandatangani perjanjian kerahasiaan yang membahas secara khusus permasalahan dan risiko dalam menangani informasi rahasia.  Setiap karyawan yang kedapatan melanggar kebijakan ini akan dikenakan pemutusan hubungan dengan segera atau tindakan hukum yang berlaku.

Pemeriksaan Latar Belakang

DDI umumnya akan menggunakan agen pihak ketiga untuk melakukan pemeriksaan latar belakang pada pelamar pekerjaan dalam tahap pemberian tawaran dari proses seleksi. Jenis informasi yang mungkin dikumpulkan oleh agen ini meliputi, namun tidak terbatas pada, data yang terkait dengan pekerjaan di masa lampau, pendidikan, karakter, keuangan, reputasi, dll. dari individu yang bersangkutan. Semua pemeriksaan latar belakang dilakukan dengan mematuhi undang-undang federal dan negara bagian yang berlaku.

Verifikasi SSN

Semua karyawan yang berlokasi di AS merupakan pekerja AS yang sah dan telah diverifikasi, dan Nomor Jaminan Sosial atau izin kerjanya telah diverifikasi.

Peraturan Perlindungan Data UE

DDI berkantor pusat di Amerika Serikat dan melayani pelanggan di seluruh dunia serta telah menerapkan mekanisme untuk memastikan bahwa transfer data dari UE ke AS memberikan perlindungan hukum yang diwajibkan oleh Peraturan Perlindungan Data UE, termasuk Privacy Shield (pengganti Safe Harbor), klausul Kontrak Model UE, dan persetujuan pengguna akhir.  Sertifikasi DDI berdasarkan program Privacy Shield dapat dilihat di situs Privacy Shield: https://www.privacyshield.gov/

Klausul Model UE

Klausul Model UE adalah adendum kontrak standar antara penyedia layanan seperti DDI dan pelanggannya, yang dirancang untuk memastikan bahwa setiap data pribadi yang meninggalkan Wilayah Ekonomi Eropa akan ditransfer sesuai dengan undang-undang perlindungan data UE dan memenuhi persyaratan Perintah Perlindungan Data UE 95/46/EC.

Peraturan Perlindungan Data Umum

Pada 25 Mei 2018, mandat privasi baru yang disebut Peraturan Perlindungan Data Umum (General Data Protection Regulation - GDPR) mulai berlaku.  GDPR memperluas hak privasi dari individu UE dan memberlakukan kewajiban baru pada penyedia layanan seperti DDI yang menyimpan dan memproses data pribadi UE.  DDI melihat GDPR sebagai kesempatan untuk memperdalam komitmen kami terhadap praktik terbaik privasi dan perlindungan data secara internal dan dengan pelanggan.

Sama seperti persyaratan hukum lainnya, kepatuhan terhadap GDPR mewajibkan adanya kemitraan antara DDI, sub-pemroses, dan pelanggan. DDI akan mematuhi GDPR dalam pelaksanaan layanan kepada pelanggan kami dan kami juga berdedikasi untuk membantu pelanggan kami mematuhinya. Kami telah menganalisis persyaratan GDPR dengan teliti dan pada saat ini sedang bekerja untuk melakukan penyempurnaan terhadap produk, kontrak, dan dokumentasi kami untuk mendukung kepatuhan DDI dan pelanggan kami terhadap GDPR.   

Penyedia Pihak Ketiga

DDI menggunakan penyedia pihak ketiga untuk menyediakan Layanan kami kepada Anda sebagaimana yang diuraikan dalam perjanjian kami.  Kami menggunakan proses permohonan, pemeriksaan, dan audit yang ketat untuk memastikan kesesuaian yang berkelanjutan dengan parameter dan persyaratan pemrosesan data kami.  Semua penyedia pihak ketiga diwajibkan untuk mematuhi standar pemrosesan, perlindungan, dan keamanan data DDI.

Untuk daftar sub-pemroses, silakan lihat https://www.ddiworld.com/thirdpartyproviders

Talk to an Expert: GISP
* Denotes required field
 *
 *
 *
 *
 *
 *
 *
 *
Consent to DDI Marketing *

Saya mengizinkan DDI mengumpulkan dan mengolah data pribadi saya dalam penyediaan layanannya kepada saya dan untuk tujuan pemasaran dan penelitian. Saya memahami hak-hak saya serta berbagai kemungkinan penggunaan data saya sebagaimana dijelaskan dalam Kebijakan Privasi Data DDI. Saya mengetahui bahwa saya memiliki hak untuk mencabut persetujuan ini kapan saja.

Enter security code:
 Security code