Kebijakan Keamanan

Sertifikasi dan Penilaian

Kami mempertahankan sertifikasi keamanan yang diakui industri dan menjalani penilaian reguler:

• Sertifikasi SOC 2 Type II (dalam proses)
• Pengujian penetrasi pihak ketiga tahunan
• Pemindaian kerentanan berkelanjutan
• Audit keamanan reguler oleh perusahaan independen

Laporan keamanan detail tersedia di apilium.com/security

Alur Data Kode

Saat Anda menggunakan Apilium Forge IDE, kode Anda mengalir melalui infrastruktur aman kami:

• Kode Anda dienkripsi dalam transit menggunakan TLS 1.3
• Permintaan diproses melalui server backend kami yang di-hosting di AWS
• Pemrosesan AI dilakukan oleh penyedia model kami dengan perjanjian retensi nol
• Dengan Mode Privasi diaktifkan, tidak ada kode plaintext yang disimpan setelah penyelesaian permintaan

Mitra Infrastruktur

Enkripsi

Data dalam Transit: Semua data yang ditransmisikan antara Apilium Forge dan server kami dienkripsi menggunakan TLS 1.3 dengan cipher suite yang kuat

Data saat Istirahat: Semua data tersimpan dienkripsi menggunakan enkripsi AES-256-GCM

Kunci enkripsi dikelola menggunakan AWS KMS dengan rotasi otomatis setiap 90 hari

Untuk pelanggan Enterprise, kami menawarkan enkripsi end-to-end di mana hanya Anda yang memegang kunci dekripsi

Kontrol Akses

• Autentikasi multi-faktor (MFA) diperlukan untuk semua akun karyawan
• Kunci keamanan hardware (FIDO2/WebAuthn) untuk akses istimewa
• Kontrol akses berbasis peran (RBAC) dengan prinsip hak istimewa paling sedikit
• Provisioning akses just-in-time untuk sistem produksi
• Tinjauan akses kuartalan dan deprovisi segera untuk keberangkatan
• Allowlisting IP dan persyaratan VPN untuk akses administratif

Keamanan Jaringan

• Web Application Firewall (WAF) dengan ruleset khusus
• Mitigasi DDoS tingkat enterprise (Cloudflare Magic Transit)
• Segmentasi jaringan dengan subnet pribadi untuk layanan sensitif
• Sistem Deteksi/Pencegahan Intrusi (IDS/IPS)
• Pemantauan lalu lintas jaringan berkelanjutan dan deteksi anomali
• Pengujian penetrasi eksternal dan internal reguler

Keamanan Aplikasi

• Secure Software Development Lifecycle (SSDLC) dengan gerbang keamanan
• Tinjauan kode wajib dengan checklist fokus keamanan
• Static Application Security Testing (SAST) di pipeline CI/CD
• Dynamic Application Security Testing (DAST) untuk aplikasi yang di-deploy
• Software Composition Analysis (SCA) untuk kerentanan dependensi
• Pelatihan keamanan reguler untuk semua pengembang
• Perlindungan terhadap OWASP Top 10 dan SANS Top 25 vulnerabilities

Keamanan Klien (IDE)

Apilium Forge IDE dibangun dengan keamanan dalam pikiran:

• Binari yang ditandatangani kode untuk semua platform (Windows, macOS, Linux)
• Pembaruan keamanan otomatis dengan kemampuan rollback
• Lingkungan eksekusi ekstensi yang di-sandbox
• Enkripsi lokal dari data dan kredensial yang di-cache
• Akses jaringan yang dapat dikonfigurasi dengan domain allowlist
• Dukungan untuk .apiliumignore untuk mengecualikan file sensitif dari pemrosesan AI

Pelatihan Keamanan Karyawan

Semua karyawan Apilium menjalani pelatihan keamanan komprehensif:

• Pelatihan kesadaran keamanan selama orientasi
• Pembaruan dan penilaian pelatihan keamanan kuartalan
• Latihan simulasi phishing bulanan
• Pelatihan keamanan khusus peran untuk insinyur
• Latihan tabletop respons insiden tahunan

Kebijakan Keamanan

Kami mempertahankan dan menegakkan kebijakan keamanan komprehensif:

• Kebijakan dan Standar Keamanan Informasi
• Kebijakan Penggunaan yang Dapat Diterima dan Kontrol Akses
• Rencana Respons Insiden dan Komunikasi
• Rencana Kontinuitas Bisnis dan Pemulihan Bencana
• Persyaratan Penilaian Keamanan Vendor
• Pedoman Klasifikasi dan Penanganan Data
• Prosedur Manajemen Perubahan dan Rilis

Pemeriksaan Karyawan

Semua karyawan dengan akses ke data pelanggan menjalani pemeriksaan latar belakang yang sesuai dengan peran dan yurisdiksi mereka, dan menandatangani perjanjian kerahasiaan.

Opsi Privasi Enterprise

• Deployment on-premises untuk kedaulatan data lengkap
• Infrastruktur dedicated yang diisolasi dari pelanggan lain
• Persyaratan residensi data khusus (hanya UE, wilayah tertentu)
• Enkripsi bring-your-own-key (BYOK)
• Konektivitas jaringan pribadi (AWS PrivateLink, VPN)

Klasifikasi Data

Kami mengklasifikasikan semua data berdasarkan tingkat sensitivitas:

• Publik: Materi pemasaran, dokumentasi publik
• Internal: Proses internal, data bisnis non-sensitif
• Rahasia: Data akun pelanggan, komunikasi dukungan
• Terbatas: Kode pelanggan, kredensial, konfigurasi keamanan

Backup dan Pemulihan

Kami mempertahankan kemampuan backup dan pemulihan bencana yang kuat:

• Backup terenkripsi yang terdistribusi secara geografis
• Pemulihan point-in-time untuk database (hingga 35 hari)
• Recovery Time Objective (RTO): 4 jam
• Recovery Point Objective (RPO): 1 jam
• Pengujian pemulihan bencana kuartalan
• Kemampuan failover multi-region

Proses Respons Insiden

Kami mengikuti proses respons insiden terstruktur:

• Deteksi: Pemantauan dan peringatan otomatis 24/7
• Triase: Penilaian tim keamanan dalam 15 menit
• Penahanan: Isolasi segera dari sistem yang terpengaruh
• Investigasi: Analisis akar penyebab dan penilaian dampak
• Pemberantasan: Penghapusan ancaman dan penguatan sistem
• Pemulihan: Pemulihan layanan yang terkontrol
• Post-mortem: Pelajaran yang dipetik dan peningkatan proses

Notifikasi Pelanggaran

Dalam hal terjadi pelanggaran keamanan yang memengaruhi data Anda, kami berkomitmen untuk:

• Memberi tahu pengguna yang terpengaruh dalam 72 jam sejak pelanggaran dikonfirmasi
• Memberikan detail yang jelas tentang data apa yang terpengaruh
• Menjelaskan tindakan yang kami ambil untuk mengatasi insiden
• Menawarkan panduan tentang langkah-langkah yang dapat Anda ambil untuk melindungi diri sendiri
• Memberi tahu otoritas regulasi yang relevan sebagaimana diwajibkan oleh hukum
• Memberikan pembaruan reguler hingga insiden diselesaikan

Dalam Cakupan

• Apilium Forge IDE (semua platform)
• api.apilium.com dan semua subdomain
• portal.apilium.com (Portal Pelanggan)
• apilium.com (Situs Web)

Cara Melaporkan

Jika Anda menemukan kerentanan keamanan:

• Email [email protected] dengan informasi kerentanan detail
• Sertakan langkah-langkah untuk mereproduksi, dampak potensial, dan proof-of-concept apa pun
• Untuk laporan sensitif, gunakan kunci PGP kami (tersedia di halaman keamanan kami)
• Izinkan hingga 90 hari untuk remediasi sebelum pengungkapan publik

Komitmen Kami

Kami berkomitmen kepada peneliti keamanan:

• Mengakui penerimaan dalam 24 jam
• Memberikan penilaian awal dalam 5 hari kerja
• Membuat Anda informasi tentang kemajuan remediasi
• Memberikan kredit kepada Anda di pengakuan keamanan kami (kecuali jika anonimitas lebih disukai)
• Tidak mengejar tindakan hukum untuk penelitian keamanan dengan itikad baik

Kami menawarkan bounty untuk kerentanan yang memenuhi syarat. Hubungi kami untuk detail program saat ini.

Persyaratan Keamanan Vendor

Semua vendor dengan akses ke data pelanggan harus memenuhi persyaratan keamanan kami:

• Melengkapi kuesioner keamanan dan penilaian risiko
• Sertifikasi SOC 2 Type II atau setara
• Data Processing Agreement (DPA) dengan klausul yang patuh GDPR
• Tinjauan keamanan tahunan dan re-sertifikasi
• Persyaratan notifikasi pelanggaran segera

Subprocessor

Subprocessor saat ini dengan akses ke data pelanggan:

• AWS (Infrastruktur) - AS/UE
• Anthropic, OpenAI (Model AI) - AS dengan retensi nol
• Stripe (Pemrosesan Pembayaran) - AS/UE
• Cloudflare (CDN/Keamanan) - Global
• MongoDB Atlas (Database) - UE
• SendGrid (Email) - AS

Kami memberi tahu pelanggan 30 hari sebelum menambahkan subprocessor baru. Daftar saat ini tersedia di apilium.com/compliance