Security Policy

This Security Policy describes the information security management system (ISMS) PT UNIT GLOBAL SYSTEM operates to protect merchant data, customer data, and the integrity of our payment services. It is aligned with BSSN Regulation 1 of 2024, Bank Indonesia information-security expectations for payment service providers, UU PDP (Law 27 of 2022), the PCI DSS attestation we hold for our cardholder data environment, and the inherited compliance posture of our infrastructure provider Amazon Web Services (Asia Pacific Jakarta region).

1. Information security management system

UnitPay maintains a documented ISMS owned by the Chief Information Security Officer (CISO). The ISMS scope covers production payment processing, merchant cabinet, KYC and AML services, and supporting back-office systems. Policies and controls within scope are reviewed at least annually and after every material incident or regulatory change. Out-of-scope corporate IT (workstations not used for production access, marketing tooling, sales CRM) is governed by a separate baseline policy that nevertheless inherits the encryption, access-control, and incident-response standards described here.

Governance ownership flows from the board through a Risk Committee that meets at least quarterly to review security posture, incidents, audit findings, and the remediation pipeline. The CISO reports security metrics monthly to the executive team.

The control framework is mapped to ISO 27001 Annex A and to the BSSN-recognised SNI ISO/IEC 27001:2022 control set so that internal audits, future external assessments, and regulator examinations can use a common language. Roles and responsibilities are documented in a RACI matrix kept current with the organisational chart, and security objectives form part of the annual planning cycle that the board approves.

2. Access control

Access to production systems is role-based and granted on a least-privilege basis. Multi-factor authentication is mandatory for every account that touches production, irrespective of role. Privileged operations (deployments, database administration, secrets rotation) require named-individual approval and are logged with full command capture.

Authentication factors permitted for production access are:

Hardware security keys (FIDO2/WebAuthn) for engineers and administrators.
Time-based one-time password (TOTP) authenticators for general staff with production touchpoints.
Single sign-on through the corporate identity provider with conditional-access policies enforcing device posture and network context.

Shared, generic, or service-team accounts are not permitted for human use; service accounts are limited to machine workflows and have their own least-privilege permission set.

Access reviews occur quarterly: each role's membership is re-attested by the role owner, and orphaned accounts are removed within seven days of detection. Departing staff lose all production access on the same business day as their last working day; recoverable artefacts (laptops, hardware tokens) are collected and rotated.

Access to merchant or customer personal data beyond the minimum required by role is treated as a privacy incident and is investigated under the same severity framework as a security incident. Just-in-time elevation is preferred over standing privilege: where a task requires elevated rights, those rights are granted for a bounded session, scoped to the task at hand, and revoked automatically when the session ends.

3. Encryption

Data in transit between clients, our edge, and internal services uses TLS 1.2 or higher with modern cipher suites; TLS 1.0 and 1.1 are disabled at the edge. HTTP Strict Transport Security is enforced at the production edge with includeSubDomains and preload. Internal service-to-service traffic uses mutual TLS where both endpoints support it; legacy traffic that does not is restricted to private network segments and is on a documented decommission path.

Data at rest is encrypted using AWS Key Management Service with customer-managed keys (CMK) provisioned in the Asia Pacific Jakarta region (ap-southeast-3). Keys are rotated at least annually. Backups are encrypted with the same KMS keys and never written to a region outside ap-southeast-3.

Application-level field encryption is applied to high-sensitivity attributes (KYC document images, biometric template hashes, banking instrument numbers) on top of the storage-level CMK, so that database-tier compromise does not expose plaintext. Key access is logged by KMS and reviewed alongside the access-control evidence described in section 2; key destruction is a controlled, multi-party operation never performed by a single individual.

4. Vulnerability management

Dependency scanning runs on every commit through our continuous integration pipeline; high or critical vulnerabilities block release until patched. Container images are rebuilt at least weekly to absorb base-image security updates. Cloud configuration is monitored continuously through AWS Config and GuardDuty, with deviations from approved baselines alerting the security team.

Patching service-level objectives are:

Critical: remediated within 7 days of disclosure or 24 hours where active exploitation is observed.
High: remediated within 30 days.
Medium: remediated within 90 days.
Low: addressed in regular release cycles.

Documented exceptions are accepted only where a compensating control is in place and the residual risk is approved by the CISO. Exception records are reviewed at least quarterly.

Internal vulnerability assessment is performed quarterly by the security team. External penetration testing is performed annually by an independent qualified third party; findings are tracked to closure with severity-based service-level objectives.

Coordinated security research is welcomed: independent researchers acting in good faith may report findings to security@unitpay.net and will receive an acknowledgement within two working days. Threat intelligence feeds covering payment-industry and Indonesian-market threats are ingested into the security operations workflow so that emerging tactics, techniques, and procedures inform our detection rules and patching priorities.

5. Incident response

UnitPay operates a Computer Incident Response Team (CIRT) structured in line with BSSN Regulation 1 of 2024. The CIRT classifies incidents by severity (low, medium, high, critical) using documented criteria covering data exposure, service availability, regulator-reportable conditions, and customer impact.

Severity-based response targets are:

Critical: 15 minutes to first responder acknowledgement, 60 minutes to mitigation start, 24-hour status updates until closure.
High: 30 minutes to acknowledgement, 4 hours to mitigation start, daily status updates.
Medium: 4 working hours to acknowledgement, mitigation within the next working day, weekly status updates.
Low: next working day acknowledgement, mitigation tracked in the regular maintenance backlog.

The CIRT operates a 24x7 on-call rotation. Incident drills are run at least twice a year covering both technical containment and external-communication scenarios so that role responsibilities are practised before they are needed in a real event.

Personal data breaches that meet the UU PDP Article 46 threshold are notified to the Personal Data Protection Authority and to affected data subjects within 3 x 24 hours of confirmed determination. Notification content includes the categories of data affected, estimated impact, immediate mitigation taken, and contact for further information. The Data Protection Officer can be reached at dpo@unitpay.net; security incidents may be reported to security@unitpay.net.

Every confirmed incident generates a written post-incident review with timeline, root cause, contributing factors, customer impact, and corrective-action plan; reviews are tracked through completion of remediation. Where a security incident has merchant-visible operational impact, affected merchants receive direct notification with the information they need to brief their own customers and regulators.

6. Business continuity and resilience

Production workloads run multi-AZ within ap-southeast-3 to absorb single-AZ failures. Recovery point objective (RPO) for transactional data is 5 minutes; recovery time objective (RTO) for production payment processing is 60 minutes. Backup retention is 30 days for operational restore plus 7 years for archive in line with Bank Indonesia audit requirements. Backups are tested by point-in-time restore at least quarterly so that retention is meaningful in practice and not only on paper.

Disaster recovery is exercised at least annually with a tabletop simulation and a partial live failover. Business continuity plans cover provider outages, regional disasters, and supply-chain compromise; runbooks are kept current and accessible to the on-call rotation.

Critical-vendor concentration risk (KYC, AML screening, CMP, infrastructure) is reviewed annually with a documented fallback plan for each, so that a single-vendor disruption does not become a single point of failure for our service. Operational status, including planned maintenance and unplanned events, is communicated to merchants through the merchant cabinet, and material disruptions are published in summary form once root-cause analysis is complete.

7. Audit logging

All production access, configuration changes, deployments, and privileged operations are logged. Audit logs are streamed to AWS CloudTrail and forwarded to immutable storage in S3 with Object Lock Compliance mode for seven years. Logs are integrity-protected, time-synchronised, and reviewed weekly for anomalies. Detection rules in our SIEM correlate authentication, configuration, and data-access events to surface lateral-movement and insider-threat patterns that any single log stream would miss.

Access to audit logs is itself logged. Production data is never queried through ad-hoc tools without compliance approval; query access uses parameterised, named-individual sessions that produce a complete audit trail.

Logs that contain personal data are subject to the same retention and deletion schedule as the underlying data category, with data-minimisation applied at log-ingestion time so that authentication and operational logs do not inadvertently store sensitive payloads. Audit-log retention beyond the seven-year baseline is applied only where law, regulator instruction, or active legal proceedings specifically require it, and is documented with the lawful basis for the extension.

8. Vendor and supply-chain management

Every vendor that processes UnitPay or customer data signs a Data Processing Agreement aligned with UU PDP and, where applicable, GDPR Article 28. Vendor due diligence at onboarding covers: home-jurisdiction adequacy, security attestations, incident history, and continuity plans. Active vendors are reviewed annually and on any material change (acquisition, jurisdiction change, public security event).

UnitPay holds an active PCI DSS attestation issued by Compliance Control covering the cardholder data environment of our payment platform. The certificate is publicly verifiable at compliance-control.eu/certs/WPYR-PG9F-VZVT/. Cloud services from AWS inherit ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, and SOC 3 attestations covering ap-southeast-3. UnitPay does not currently hold stand-alone ISO 27001 or SOC 2 attestations of its own platform beyond the AWS-inherited posture; we are conforming our processes to those frameworks and target independent attestation as part of our compliance roadmap.

Sub-processor changes that materially alter the data flow (new processor, new jurisdiction, new category of data) are notified to merchants in advance through the merchant cabinet, with a description of the change, the safeguards in place, and the merchant's right to object in line with the Data Processing Agreement. The current sub-processor list is published alongside our UU PDP Personal Data Notice.

9. Personnel security and training

All staff with production access undergo background checks at hiring (where lawful in their jurisdiction) and complete annual security awareness training, including recognition of phishing, business email compromise, and social engineering. Engineers with database or secrets access complete additional secure-coding and secrets-handling modules.

Acceptable Use of UnitPay information assets is governed by an internal staff policy aligned with this document; violations are investigated and remediated, including disciplinary action up to and including termination where warranted.

Phishing simulations are run at least quarterly with reporting back to the responsible managers; the security awareness program tracks completion and competence indicators rather than just attendance, so that training translates into observed behaviour change. Contractors and short-term staff are onboarded under the same access-control and training requirements as full-time staff for the duration of their engagement.

10. Policy ownership and contact

This policy is owned by the CISO. Reports of suspected vulnerabilities or security incidents are welcomed at security@unitpay.net. We aim to acknowledge reports within two working days. Coordinated disclosure is appreciated; we do not pursue legal action against good-faith security researchers acting consistent with widely-accepted responsible disclosure norms.

Material amendments to this policy are communicated through this page and, where they affect merchants directly, through the merchant cabinet. Merchants with security questions about their integration may contact security@unitpay.net for technical guidance, or compliance@unitpay.net for governance and policy questions; both channels are monitored during Mon-Fri 09:00-18:00 WIB.

This document supersedes earlier internal versions of UnitPay's Security Policy and is the single externally-facing reference. Merchants and regulators should rely on this page rather than excerpts circulated through other channels.

Effective date: 06 May 2026

Kebijakan Keamanan ini menjelaskan sistem manajemen keamanan informasi (ISMS) yang dijalankan PT UNIT GLOBAL SYSTEM untuk melindungi data merchant, data pelanggan, dan integritas layanan pembayaran kami. Kebijakan ini selaras dengan Peraturan BSSN Nomor 1 Tahun 2024, ekspektasi keamanan informasi Bank Indonesia bagi penyelenggara jasa pembayaran, UU PDP (UU 27 Tahun 2022), atestasi PCI DSS yang kami pegang untuk lingkungan data pemegang kartu, serta postur kepatuhan yang diwarisi dari penyedia infrastruktur kami Amazon Web Services (kawasan Asia Pacific Jakarta).

1. Sistem manajemen keamanan informasi

UnitPay memelihara ISMS terdokumentasi yang dimiliki oleh Chief Information Security Officer (CISO). Cakupan ISMS meliputi pemrosesan pembayaran produksi, kabinet merchant, layanan KYC dan AML, serta sistem back-office pendukung. Kebijakan dan kontrol dalam cakupan ditinjau setidaknya tahunan dan setelah setiap insiden material atau perubahan regulasi. TI korporat di luar cakupan (workstation yang tidak digunakan untuk akses produksi, perkakas pemasaran, CRM penjualan) diatur oleh kebijakan baseline terpisah yang tetap mewarisi standar enkripsi, kontrol akses, dan respons insiden yang dijelaskan di sini.

Kepemilikan tata kelola mengalir dari dewan melalui Komite Risiko yang bertemu setidaknya triwulanan untuk meninjau postur keamanan, insiden, temuan audit, dan saluran remediasi. CISO melaporkan metrik keamanan secara bulanan kepada tim eksekutif.

Kerangka kontrol dipetakan ke ISO 27001 Annex A dan ke kumpulan kontrol SNI ISO/IEC 27001:2022 yang diakui BSSN sehingga audit internal, penilaian eksternal di masa depan, dan pemeriksaan regulator dapat menggunakan bahasa yang sama. Peran dan tanggung jawab didokumentasikan dalam matriks RACI yang dijaga tetap mutakhir bersama bagan organisasi, dan tujuan keamanan menjadi bagian dari siklus perencanaan tahunan yang disetujui dewan.

2. Kontrol akses

Akses ke sistem produksi berbasis peran dan diberikan dengan dasar least-privilege. Otentikasi multi-faktor wajib bagi setiap akun yang menyentuh produksi, terlepas dari peran. Operasi dengan hak istimewa (deployment, administrasi basis data, rotasi rahasia) memerlukan persetujuan individu yang dinamai dan dicatat dengan capture perintah penuh.

Faktor otentikasi yang diizinkan untuk akses produksi meliputi:

Hardware security key (FIDO2/WebAuthn) untuk insinyur dan administrator.
Authenticator Time-based One-Time Password (TOTP) untuk staf umum dengan titik sentuh produksi.
Single sign-on melalui penyedia identitas korporat dengan kebijakan akses bersyarat yang menegakkan postur perangkat dan konteks jaringan.

Akun bersama, generik, atau akun tim layanan tidak diizinkan untuk penggunaan manusia; akun layanan terbatas pada alur kerja mesin dan memiliki kumpulan izin least-privilege tersendiri.

Tinjauan akses berlangsung triwulanan: keanggotaan setiap peran disahkan kembali oleh pemilik peran, dan akun yatim dihapus dalam tujuh hari sejak terdeteksi. Staf yang berhenti kehilangan seluruh akses produksi pada hari kerja yang sama dengan hari terakhirnya; artefak yang dapat dikumpulkan kembali (laptop, token perangkat keras) dikumpulkan dan dirotasi.

Akses ke data pribadi merchant atau pelanggan melebihi minimum yang diperlukan oleh peran diperlakukan sebagai insiden privasi dan diselidiki di bawah kerangka tingkat keparahan yang sama dengan insiden keamanan. Eskalasi just-in-time lebih disukai daripada hak istimewa permanen: apabila tugas memerlukan hak yang diperluas, hak tersebut diberikan untuk sesi terbatas, dilingkup pada tugas terkait, dan dicabut otomatis ketika sesi berakhir.

3. Enkripsi

Data dalam pengiriman antara klien, edge kami, dan layanan internal menggunakan TLS 1.2 atau lebih tinggi dengan cipher suite modern; TLS 1.0 dan 1.1 dinonaktifkan pada edge. HTTP Strict Transport Security ditegakkan pada edge produksi dengan includeSubDomains dan preload. Lalu lintas antar layanan internal menggunakan mutual TLS apabila kedua titik akhir mendukungnya; lalu lintas legacy yang tidak mendukungnya dibatasi pada segmen jaringan privat dan berada pada jalur dekomisioning yang terdokumentasi.

Data dalam penyimpanan dienkripsi menggunakan AWS Key Management Service dengan kunci yang dikelola pelanggan (CMK) yang disediakan di kawasan Asia Pacific Jakarta (ap-southeast-3). Kunci dirotasi setidaknya tahunan. Backup dienkripsi dengan kunci KMS yang sama dan tidak pernah ditulis ke kawasan di luar ap-southeast-3.

Enkripsi tingkat aplikasi diterapkan pada atribut sensitivitas tinggi (citra dokumen KYC, hash template biometrik, nomor instrumen perbankan) di atas CMK tingkat penyimpanan, sehingga kompromi tingkat basis data tidak mengungkap teks asli. Akses kunci dicatat oleh KMS dan ditinjau bersama bukti kontrol akses yang dijelaskan dalam bagian 2; pemusnahan kunci adalah operasi terkendali multi-pihak yang tidak pernah dilakukan oleh satu individu.

4. Manajemen kerentanan

Pemindaian dependensi berjalan pada setiap commit melalui pipeline integrasi berkelanjutan kami; kerentanan high atau critical memblokir rilis sampai ditambal. Image kontainer dibangun ulang setidaknya mingguan untuk menyerap pembaruan keamanan base-image. Konfigurasi cloud dipantau secara terus-menerus melalui AWS Config dan GuardDuty, dengan deviasi dari baseline yang disetujui memicu peringatan tim keamanan.

Sasaran tingkat layanan penambalan adalah:

Critical: diremediasi dalam 7 hari sejak pengungkapan atau 24 jam apabila eksploitasi aktif teramati.
High: diremediasi dalam 30 hari.
Medium: diremediasi dalam 90 hari.
Low: ditangani pada siklus rilis reguler.

Pengecualian terdokumentasi diterima hanya apabila kontrol kompensasi tersedia dan risiko residual disetujui CISO. Catatan pengecualian ditinjau setidaknya triwulanan.

Penilaian kerentanan internal dilakukan triwulanan oleh tim keamanan. Pengujian penetrasi eksternal dilakukan tahunan oleh pihak ketiga independen yang berkualifikasi; temuan dilacak hingga penutupan dengan sasaran tingkat layanan berbasis tingkat keparahan.

Riset keamanan terkoordinasi disambut: peneliti independen yang bertindak dengan itikad baik dapat melaporkan temuan ke security@unitpay.net dan akan menerima konfirmasi dalam dua hari kerja. Umpan intelijen ancaman yang mencakup ancaman industri pembayaran dan pasar Indonesia diserap ke dalam alur kerja operasi keamanan agar taktik, teknik, dan prosedur yang muncul memberi masukan pada aturan deteksi dan prioritas penambalan kami.

5. Respons insiden

UnitPay mengoperasikan Computer Incident Response Team (CIRT) yang terstruktur sesuai Peraturan BSSN Nomor 1 Tahun 2024. CIRT mengklasifikasi insiden berdasarkan tingkat keparahan (low, medium, high, critical) menggunakan kriteria terdokumentasi yang mencakup paparan data, ketersediaan layanan, kondisi yang wajib dilaporkan ke regulator, dan dampak pelanggan.

Sasaran respons berbasis tingkat keparahan adalah:

Critical: 15 menit untuk konfirmasi penanggap pertama, 60 menit untuk dimulainya mitigasi, pembaruan status tiap 24 jam hingga penutupan.
High: 30 menit untuk konfirmasi, 4 jam untuk dimulainya mitigasi, pembaruan status harian.
Medium: 4 jam kerja untuk konfirmasi, mitigasi pada hari kerja berikutnya, pembaruan status mingguan.
Low: konfirmasi pada hari kerja berikutnya, mitigasi dilacak pada backlog pemeliharaan reguler.

CIRT mengoperasikan rotasi on-call 24x7. Latihan insiden dijalankan setidaknya dua kali dalam setahun yang mencakup baik penahanan teknis maupun skenario komunikasi eksternal sehingga tanggung jawab peran dilatih sebelum dibutuhkan dalam peristiwa nyata.

Pelanggaran data pribadi yang memenuhi ambang Pasal 46 UU PDP diberitahukan kepada Otoritas Pelindungan Data Pribadi dan kepada subjek data terdampak dalam 3 x 24 jam sejak penentuan yang dikonfirmasi. Konten pemberitahuan meliputi kategori data yang terdampak, perkiraan dampak, mitigasi segera yang diambil, dan kontak untuk informasi lebih lanjut. Petugas Pelindungan Data dapat dihubungi di dpo@unitpay.net; insiden keamanan dapat dilaporkan ke security@unitpay.net.

Setiap insiden yang terkonfirmasi menghasilkan tinjauan pasca-insiden tertulis dengan timeline, akar penyebab, faktor pendukung, dampak pelanggan, dan rencana tindakan korektif; tinjauan dilacak hingga penyelesaian remediasi. Apabila insiden keamanan berdampak operasional yang terlihat oleh merchant, merchant terdampak menerima pemberitahuan langsung dengan informasi yang dibutuhkan untuk menjelaskan kepada pelanggan dan regulator mereka.

6. Kelangsungan bisnis dan resiliensi

Beban kerja produksi berjalan multi-AZ dalam ap-southeast-3 untuk menyerap kegagalan AZ tunggal. Recovery point objective (RPO) untuk data transaksional adalah 5 menit; recovery time objective (RTO) untuk pemrosesan pembayaran produksi adalah 60 menit. Retensi backup adalah 30 hari untuk pemulihan operasional ditambah 7 tahun untuk arsip sesuai persyaratan audit Bank Indonesia. Backup diuji dengan pemulihan point-in-time setidaknya triwulanan agar retensi bermakna dalam praktik dan tidak hanya di atas kertas.

Disaster recovery dilatih setidaknya tahunan dengan simulasi tabletop dan failover live sebagian. Rencana kelangsungan bisnis mencakup pemadaman penyedia, bencana regional, dan kompromi rantai pasok; runbook dijaga tetap mutakhir dan dapat diakses oleh rotasi on-call.

Risiko konsentrasi vendor kritis (KYC, penyaringan AML, CMP, infrastruktur) ditinjau tahunan dengan rencana fallback terdokumentasi untuk masing-masing, sehingga gangguan vendor tunggal tidak menjadi titik kegagalan tunggal bagi layanan kami. Status operasional, termasuk pemeliharaan terjadwal dan peristiwa tak terjadwal, dikomunikasikan kepada merchant melalui kabinet merchant, dan gangguan material diterbitkan dalam bentuk ringkasan setelah analisis akar penyebab selesai.

7. Pencatatan audit

Seluruh akses produksi, perubahan konfigurasi, deployment, dan operasi hak istimewa dicatat. Log audit dialirkan ke AWS CloudTrail dan diteruskan ke penyimpanan immutable di S3 dengan Object Lock Compliance mode selama tujuh tahun. Log dilindungi integritasnya, disinkronkan waktu, dan ditinjau mingguan untuk anomali. Aturan deteksi pada SIEM kami mengkorelasikan peristiwa otentikasi, konfigurasi, dan akses data untuk memunculkan pola lateral movement dan ancaman insider yang tidak akan terlihat dari satu aliran log saja.

Akses ke log audit itu sendiri dicatat. Data produksi tidak pernah ditanyakan melalui perkakas ad-hoc tanpa persetujuan kepatuhan; akses query menggunakan sesi parameterized dengan individu yang dinamai yang menghasilkan jejak audit yang lengkap.

Log yang berisi data pribadi tunduk pada jadwal retensi dan penghapusan yang sama dengan kategori data yang mendasari, dengan minimisasi data diterapkan pada saat ingest log sehingga log otentikasi dan operasional tidak menyimpan payload sensitif tanpa sengaja. Retensi log audit di luar baseline tujuh tahun diterapkan hanya apabila hukum, instruksi regulator, atau proses hukum aktif secara spesifik mewajibkan, dan didokumentasikan dengan dasar hukum perpanjangan.

8. Manajemen vendor dan rantai pasok

Setiap vendor yang memproses data UnitPay atau data pelanggan menandatangani Data Processing Agreement yang selaras dengan UU PDP dan, apabila berlaku, GDPR Pasal 28. Uji tuntas vendor pada onboarding mencakup: keadekuatan yurisdiksi asal, atestasi keamanan, riwayat insiden, dan rencana kelangsungan. Vendor aktif ditinjau tahunan dan pada perubahan material apa pun (akuisisi, perubahan yurisdiksi, peristiwa keamanan publik).

UnitPay memegang atestasi PCI DSS aktif yang diterbitkan oleh Compliance Control, mencakup lingkungan data pemegang kartu pada platform pembayaran kami. Sertifikat dapat diverifikasi secara publik di compliance-control.eu/certs/WPYR-PG9F-VZVT/. Layanan cloud dari AWS mewarisi atestasi ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, dan SOC 3 yang mencakup ap-southeast-3. UnitPay saat ini tidak memegang sertifikasi ISO 27001 atau SOC 2 yang berdiri sendiri atas platformnya di luar postur yang diwarisi dari AWS; kami menyelaraskan proses kami dengan kerangka tersebut dan menargetkan atestasi independen sebagai bagian dari peta jalan kepatuhan kami.

Perubahan sub-prosesor yang secara material mengubah aliran data (prosesor baru, yurisdiksi baru, kategori data baru) diberitahukan kepada merchant terlebih dahulu melalui kabinet merchant, dengan deskripsi perubahan, pengaman yang tersedia, dan hak merchant untuk keberatan sesuai Data Processing Agreement. Daftar sub-prosesor terkini diterbitkan bersama Pemberitahuan Data Pribadi UU PDP kami.

9. Keamanan personel dan pelatihan

Seluruh staf dengan akses produksi menjalani pemeriksaan latar belakang pada saat perekrutan (apabila sah di yurisdiksinya) dan menyelesaikan pelatihan kesadaran keamanan tahunan, termasuk pengenalan phishing, business email compromise, dan rekayasa sosial. Insinyur dengan akses basis data atau rahasia menyelesaikan modul tambahan secure-coding dan penanganan rahasia.

Penggunaan yang Dapat Diterima atas aset informasi UnitPay diatur oleh kebijakan staf internal yang selaras dengan dokumen ini; pelanggaran diselidiki dan diremediasi, termasuk tindakan disipliner hingga pemutusan hubungan kerja apabila layak.

Simulasi phishing dijalankan setidaknya triwulanan dengan pelaporan kembali kepada manajer yang bertanggung jawab; program kesadaran keamanan melacak indikator penyelesaian dan kompetensi alih-alih hanya kehadiran, agar pelatihan diterjemahkan menjadi perubahan perilaku yang teramati. Kontraktor dan staf jangka pendek di-onboard di bawah persyaratan kontrol akses dan pelatihan yang sama dengan staf penuh waktu selama masa keterlibatan mereka.

10. Kepemilikan kebijakan dan kontak

Kebijakan ini dimiliki oleh CISO. Laporan dugaan kerentanan atau insiden keamanan disambut di security@unitpay.net. Kami mengupayakan konfirmasi laporan dalam dua hari kerja. Pengungkapan terkoordinasi dihargai; kami tidak menempuh tindakan hukum terhadap peneliti keamanan beriktikad baik yang bertindak konsisten dengan norma pengungkapan bertanggung jawab yang diterima luas.

Amandemen material atas kebijakan ini dikomunikasikan melalui halaman ini dan, apabila berdampak langsung pada merchant, melalui kabinet merchant. Merchant dengan pertanyaan keamanan tentang integrasinya dapat menghubungi security@unitpay.net untuk panduan teknis, atau compliance@unitpay.net untuk pertanyaan tata kelola dan kebijakan; kedua kanal dipantau selama Mon-Fri 09:00-18:00 WIB.

Dokumen ini menggantikan versi internal sebelumnya dari Kebijakan Keamanan UnitPay dan menjadi referensi tunggal yang menghadap publik. Merchant dan regulator harus mengandalkan halaman ini ketimbang petikan yang beredar melalui kanal lain.

Tanggal berlaku: 06 May 2026