Keamanan Platform

Seluruh data di 4bisnispro dienkripsi baik saat disimpan (at rest) maupun saat ditransmisikan (in transit):

• Data at rest: AES-256-GCM — seluruh database, file storage, dan backup dienkripsi menggunakan kunci yang dikelola secara terpusat
• Data in transit: TLS 1.2 minimum untuk semua komunikasi — browser ke server, server ke server, dan API ke integrasi pihak ketiga
• API keys & kredensial: Tidak pernah disimpan plaintext. Seluruh secret dienkripsi menggunakan library enkripsi kami
• AI provider keys: Kunci API AI tidak pernah dikirim ke client — semua pemrosesan AI dilakukan server-side

4bisnispro menggunakan arsitektur multi-tenant dengan isolasi data yang ketat:

• Database isolation: Setiap tenant beroperasi dalam schema database terpisah — tidak ada kebocoran data lintas perusahaan
• AkuntanC integration: Setiap perusahaan WAJIB menggunakan integrationCompanyId unik miliknya sendiri. ID lintas tenant adalah pelanggaran keamanan fatal dan contract breach
• Session isolation: Token autentikasi terikat pada companyId dan tidak dapat digunakan untuk mengakses data tenant lain
• API scoping: Seluruh endpoint API memiliki middleware companyId scoping — tidak ada endpoint yang mengizinkan akses lintas tenant

Setiap user memiliki role spesifik dengan permission yang严格 membatasi akses data hanya pada data yang relevan dengan peran mereka.

Setiap aksi di platform 4bisnispro tercatat dalam audit log permanen:

• Jejak lengkap: user ID, company ID, timestamp, IP address, action type, dan payload sebelum/sesudah
• Tidak bisa dihapus: audit log tidak dapat dihapus atau dimodifikasi oleh user mana pun, termasuk Super Admin
• Coverage: 100% — setiap create, update, delete, login, logout, dan perubahan permission tercatat
• Akses audit log: Hanya Super Admin dan CEO dapat mengakses audit log tingkat platform

4bisnispro dirancang untuk memenuhi kerangka regulasi Indonesia:

• UU PDP (UU No. 27/2022) — perlindungan data pribadi, hak subjek data, notifikasi pelanggaran 3×24 jam
• PDPA (UU No. 27/2022 jo. PP No. 71/2019) — standar perlindungan data di sektor privat
• UU Perpajakan — retensi dokumen keuangan 7 tahun, pajak digital
• OJK & POJK — kepatuhan GCG untuk perusahaan jasa keuangan
• Server di Indonesia — seluruh data tersimpan eksklusif di server Indonesia, sesuai ketentuan rezim data residency

• SSRF Protection: Semua user-supplied URL harus melalui validasi isUrlSafe() sebelum digunakan sebagai fetch target
• Rate limiting: Semua endpoint publik menerapkan rate limiting — mencegah brute force dan abuse
• CORS: Dikonfigurasi secara eksplisit per origin — tidak ada wildcard production
• Webhook security: Payload signature verification menggunakan HMAC-SHA256
• Dependency scanning: npm audit dan Dependabot untuk mendeteksi vulnerability di dependencies
• Input sanitization: Seluruh input user divalidasi server-side — tidak ada trust client-side validation

Keamanan 4bisnispro divalidasi secara berkala:

• Penetration test tahunan oleh pihak ketiga independen bersertifikasi
• Vulnerability disclosure program — peneliti keamanan dapat melaporkan temuan via security@parse.co.id
• Critical patches — vulnerability kritis diperbaiki dalam 24 jam sejak disclosure

AI agent di 4bisnispro memiliki safeguards khusus:

• Data scoping: i-ARDA hanya dapat mengakses data dari companyId yang sama dengan user yang memberikan instruksi
• No cross-training: Data tenant tidak digunakan untuk training model AI yang digunakan tenant lain
• Human-in-the-loop: Aksi yang berdampak signifikan (mis. penghapusan data mass, transfer keuangan) memerlukan konfirmasi eksplisit
• API key protection: Kunci API AI provider tidak pernah diekspos ke client-side
• Prompt injection prevention: Input user yang coba memanipulasi AI behavior disanitasi sebelum diproses