Kebijakan Pengungkapan Kerentanan

PT Akulaku Finance Indonesia (selanjutnya disebut Perusahaan) berkomitmen untuk menjaga keamanan informasi, sistem, dan data pelanggan. Vulnerability Disclosure Policy (VDP) ini disusun sebagai sarana resmi bagi pihak eksternal (Researcher) untuk melaporkan potensi celah keamanan secara bertanggung jawab.

Tujuan VDP

VDP ini bertujuan untuk:

Menyediakan kanal komunikasi yang aman dan terstruktur bagi pelaporan kerentanan.
Mengurangi risiko keamanan melalui perbaikan dini.
Mendorong praktik responsible disclosure.

Ruang Lingkup

1. Aset dalam Ruang Lingkup

Aset berikut termasuk dalam ruang lingkup VDP:

Domain dan subdomain resmi Perusahaan seperti *.akulakufinance.co.id, *.akulakufinance.id, *.akucredit.com
Mobile Application Android
Mobile Application iOS

2. Aset di Luar Ruang Lingkup

Sistem milik pihak ketiga (vendor) yang tidak dikelola langsung oleh Perusahaan
Serangan berbasis social engineering (phishing, vishing, smishing)
Denial of Service (DoS/DDoS) dan stress testing
Physical attack dan insider threat

Tata Cara Pelaporan

Pelaporan temuan celah keamanan dapat dilakukan melalui email resmi : vdp@akulakufinance.co.id
Laporan minimal mencakup:
1. Identitas Researcher (nama/alias dan email)
2. Aset yang terdampak
3. Deskripsi kerentanan
4. Langkah reproduksi dan/atau POC
5. Estimasi dampak
Format laporan berupa dokumen (PDF/DOC) atau teks email terstruktur.

Proses Penanganan Kerentanan

Acknowledgement: Perusahaan akan memberikan konfirmasi penerimaan laporan maksimal 5 hari kerja.
Triage & Validasi: Tim keamanan akan menilai validitas dan tingkat keparahan laporan.
Remediasi: Kerentanan valid akan diperbaiki sesuai prioritas risiko.
Closure: Researcher akan diinformasikan ketika kerentanan telah ditangani.

Aturan bagi Researcher

Researcher diharapkan untuk:

Melakukan pengujian secara etis dan tidak merusak sistem.
Tidak mengakses, mengubah, atau menghapus data pengguna.
Tidak melakukan eksploitasi berulang atau eskalasi di luar kebutuhan pembuktian.
Tidak mengungkapkan kerentanan kepada publik sebelum ada persetujuan tertulis dari Perusahaan.

Safe Harbor Policy

Perusahaan memberikan Safe Harbor kepada Researcher dengan ketentuan berikut:
1. Researcher bertindak dengan itikad baik dan mematuhi VDP ini.
2. Aktivitas pengujian dilakukan hanya pada aset dalam ruang lingkup.
3. Tidak ada upaya pemerasan, monetisasi, atau penyalahgunaan data.
Selama ketentuan di atas dipenuhi:
1. Perusahaan tidak akan menempuh tindakan hukum atau perdata terhadap Researcher.
2. Aktivitas Researcher dianggap sebagai aktivitas yang sah dan diizinkan.
Jika terjadi pelanggaran yang tidak disengaja, Researcher diharapkan segera menghentikan aktivitas dan melaporkannya.

Kerahasiaan dan Pengungkapan

Semua laporan akan diperlakukan sebagai informasi rahasia.
Pengungkapan publik (blog, media sosial, konferensi) hanya dapat dilakukan setelah ada persetujuan tertulis dari Perusahaan.

No Bug Bounty Policy

Saat ini, Program Pelaporan Kerentanan kami bersifat non-moneter dan belum menyertakan imbalan finansial (Bug Bounty). Kami sangat menghargai setiap kontribusi dari komunitas keamanan.

Kepatuhan Regulasi

VDP ini dirancang sebagai bagian dari pemenuhan standar ISO/IEC 27001, khususnya dalam aspek pengelolaan kerentanan (vulnerability management).

Perubahan Kebijakan

Perusahaan berhak untuk memperbarui dan merevisi program ini sewaktu-waktu guna meningkatkan keamanan dan efektivitasnya. Setiap perubahan yang berlaku akan segera dipublikasikan di halaman resmi ini. Researcher keamanan bertanggung jawab untuk memeriksa halaman ini secara berkala untuk mendapatkan informasi terkini.