Correct Article 27

PERBAN Nomor 4 Tahun 2021 | Peraturan Badan Nomor 4 Tahun 2021 tentang PEDOMAN MANAJEMEN KEAMANAN INFORMASI SISTEM PEMERINTAHAN BERBASIS ELEKTRONIK DAN STANDAR TEKNIS DAN PROSEDUR KEAMANAN SISTEM PEMERINTAHAN BERBASIS ELEKTRONIK

Source PDF

100%

Pg. 1

Current Text

(1) Terpenuhinya fungsi autentikasi sebagaimana dimaksud dalam Pasal 26 huruf a dilakukan dengan prosedur: a. menggunakan manajemen kata sandi untuk proses autentikasi; b. menerapkan verifikasi kata sandi pada sisi server; c. mengatur jumlah karakter, kombinasi jenis karakter, dan masa berlaku dari kata sandi; d. mengatur jumlah maksimum kesalahan dalam pemasukan kata sandi; e. mengatur mekanisme pemulihan kata sandi; f. menjaga kerahasiaan kata sandi yang disimpan melalui mekanisme kriptografi; dan g. menggunakan jalur komunikasi yang diamankan untuk proses autentikasi. (2) Terpenuhinya fungsi manajemen sesi sebagaimana dimaksud dalam Pasal 26 huruf b dilakukan dengan prosedur: a. menggunakan pengendali sesi untuk proses manajemen sesi; b. menggunakan pengendali sesi yang disediakan oleh kerangka kerja aplikasi; c. mengatur pembuatan dan keacakan token sesi yang dihasilkan oleh pengendali sesi; d. mengatur kondisi dan jangka waktu habis sesi; e. validasi dan pencantuman session id; f. pelindungan terhadap lokasi dan pengiriman token untuk sesi terautentikasi; dan g. pelindungan terhadap duplikasi dan mekanisme persetujuan pengguna. (3) Terpenuhinya fungsi persyaratan kontrol akses sebagaimana dimaksud dalam Pasal 26 huruf c dilakukan dengan prosedur: a. MENETAPKAN otorisasi pengguna untuk membatasi kontrol akses; b. mengatur peringatan terhadap bahaya serangan otomatis apabila terjadi akses yang bersamaan atau akses yang terus-menerus pada fungsi; c. mengatur antarmuka pada sisi administrator; dan d. mengatur verifikasi kebenaran token ketika mengakses data dan informasi yang dikecualikan. (4) Terpenuhinya fungsi validasi input sebagaimana dimaksud dalam Pasal 26 huruf d dilakukan dengan prosedur: a. menerapkan fungsi validasi input pada sisi server; b. menerapkan mekanisme penolakan input jika terjadi kesalahan validasi; c. memastikan runtime environment aplikasi tidak rentan terhadap serangan validasi input; d. melakukan validasi positif pada seluruh input; e. melakukan filter terhadap data yang tidak dipercaya; f. menggunakan fitur kode dinamis; g. melakukan pelindungan terhadap akses yang mengandung konten skrip; dan h. melakukan pelindungan dari serangan injeksi basis data. (5) Terpenuhinya fungsi kriptografi pada verifikasi statis sebagaimana dimaksud dalam Pasal 26 huruf e dilakukan dengan prosedur: a. menggunakan algoritma kriptografi, modul kriptografi, protokol kriptografi, dan kunci kriptografi sesuai dengan ketentuan peraturan perundang-undangan; b. melakukan autentikasi data yang dienkripsi; c. menerapkan manajemen kunci kriptografi; dan d. membuat angka acak yang menggunakan generator angka acak kriptografi. (6) Terpenuhinya fungsi penanganan eror dan pencatatan log sebagaimana dimaksud dalam Pasal 26 huruf f dilakukan dengan prosedur: a. mengatur konten pesan yang ditampilkan ketika terjadi kesalahan; b. menggunakan metode penanganan eror untuk mencegah kesalahan terprediksi dan tidak terduga serta menangani seluruh pengecualian yang tidak ditangani; c. tidak mencantumkan informasi yang dikecualikan dalam pencatatan log; d. mengatur cakupan log yang dicatat untuk mendukung upaya penyelidikan ketika terjadi insiden; e. mengatur pelindungan log aplikasi dari akses dan modifikasi yang tidak sah; f. melakukan enkripsi pada data yang disimpan untuk mencegah injeksi log; dan g. melakukan sinkronisasi sumber waktu sesuai dengan zona waktu dan waktu yang benar. (7) Terpenuhinya fungsi proteksi data sebagaimana dimaksud dalam Pasal 26 huruf g dilakukan dengan prosedur: a. melakukan identifikasi dan penyimpanan salinan informasi yang dikecualikan; b. melakukan pelindungan dari akses yang tidak sah terhadap informasi yang dikecualikan yang disimpan sementara dalam aplikasi; c. melakukan pertukaran, penghapusan, dan audit informasi yang dikecualikan; d. melakukan penentuan jumlah parameter; e. memastikan data disimpan dengan aman; f. menentukan metode untuk menghapus dan mengekspor data sesuai permintaan pengguna; dan g. membersihkan memori setelah tidak diperlukan. (8) Terpenuhinya fungsi keamanan komunikasi sebagaimana dimaksud dalam Pasal 26 huruf h dilakukan dengan prosedur: a. menggunakan komunikasi terenkripsi; b. mengatur koneksi masuk dan keluar yang aman dan terenkripsi dari sisi pengguna; c. mengatur jenis algoritma yang digunakan dan alat pengujiannya; dan d. mengatur aktivasi dan konfigurasi sertifikat elektronik yang diterbitkan oleh penyelenggara sertifikasi elektronik. (9) Terpenuhinya fungsi pengendalian kode berbahaya sebagaimana dimaksud dalam Pasal 26 huruf i dilakukan dengan prosedur: a. menggunakan analisis kode dalam kontrol kode berbahaya; b. memastikan kode sumber aplikasi dan pustaka tidak mengandung kode berbahaya dan fungsionalitas lain yang tidak diinginkan; c. mengatur izin terkait fitur atau sensor terkait privasi; d. mengatur pelindungan integritas; dan e. mengatur mekanisme fitur pembaruan. (10) Terpenuhinya fungsi logika bisnis sebagaimana dimaksud dalam Pasal 26 huruf j dilakukan dengan prosedur: a. memproses alur logika bisnis dalam urutan langkah dan waktu yang realistis; b. memastikan logika bisnis memiliki batasan dan validasi; c. memonitor aktivitas yang tidak biasa; d. membantu dalam kontrol antiotomatisasi; dan e. memberikan peringatan ketika terjadi serangan otomatis atau aktivitas yang tidak biasa. (11) Terpenuhinya fungsi file sebagaimana dimaksud dalam Pasal 26 huruf k dilakukan dengan prosedur: a. mengatur jumlah file untuk setiap pengguna dan kuota ukuran file yang diunggah; b. melakukan validasi file sesuai dengan tipe konten yang diharapkan; c. melakukan pelindungan terhadap metadata input dan metadata file; d. melakukan pemindaian file yang diperoleh dari sumber yang tidak dipercaya; dan e. melakukan konfigurasi server untuk mengunduh file sesuai ekstensi yang ditentukan. (12) Terpenuhinya fungsi keamanan API dan web service sebagaimana dimaksud dalam Pasal 26 huruf l dilakukan dengan prosedur: a. melakukan konfigurasi layanan web; b. memverifikasi uniform resource identifier API tidak menampilkan informasi yang berpotensi sebagai celah keamanan; c. membuat keputusan otorisasi; d. menampilkan metode RESTful hypertext transfer protocol apabila input pengguna dinyatakan valid; e. menggunakan validasi skema dan verifikasi sebelum menerima input; f. menggunakan metode pelindungan layanan berbasis web; dan g. menerapkan kontrol antiotomatisasi. (13) Terpenuhinya fungsi keamanan konfigurasi sebagaimana dimaksud dalam Pasal 26 huruf m dilakukan dengan prosedur: a. mengonfigurasi server sesuai rekomendasi server aplikasi dan kerangka kerja aplikasi yang digunakan; b. mendokumentasi, menyalin konfigurasi, dan semua dependensi; c. menghapus fitur, dokumentasi, sampel, dan konfigurasi yang tidak diperlukan; d. memvalidasi integritas aset jika aset aplikasi diakses secara eksternal; dan e. menggunakan respons aplikasi dan konten yang aman.

Your Correction

d. mengatur kondisi dan jangka waktu habis sesi;
e. validasi dan pencantuman session id;
f. pelindungan terhadap lokasi dan pengiriman token untuk sesi terautentikasi; dan
g. pelindungan terhadap duplikasi dan mekanisme persetujuan pengguna.
(3) Terpenuhinya fungsi persyaratan kontrol akses sebagaimana dimaksud dalam Pasal 26 huruf c dilakukan dengan prosedur:
a. MENETAPKAN otorisasi pengguna untuk membatasi kontrol akses;
b. mengatur peringatan terhadap bahaya serangan otomatis apabila terjadi akses yang bersamaan atau akses yang terus-menerus pada fungsi;
c. mengatur antarmuka pada sisi administrator; dan
d. mengatur verifikasi kebenaran token ketika mengakses data dan informasi yang dikecualikan.
(4) Terpenuhinya fungsi validasi input sebagaimana dimaksud dalam Pasal 26 huruf d dilakukan dengan prosedur:
a. menerapkan fungsi validasi input pada sisi server;
b. menerapkan mekanisme penolakan input jika terjadi kesalahan validasi;
c. memastikan runtime environment aplikasi tidak rentan terhadap serangan validasi input;
d. melakukan validasi positif pada seluruh input;
e. melakukan filter terhadap data yang tidak dipercaya;
f. menggunakan fitur kode dinamis;
g. melakukan pelindungan terhadap akses yang mengandung konten skrip; dan
h. melakukan pelindungan dari serangan injeksi basis data.
(5) Terpenuhinya fungsi kriptografi pada verifikasi statis sebagaimana dimaksud dalam Pasal 26 huruf e dilakukan dengan prosedur:
a. menggunakan algoritma kriptografi, modul kriptografi, protokol kriptografi, dan kunci

kriptografi sesuai dengan ketentuan peraturan perundang-undangan;
b. melakukan autentikasi data yang dienkripsi;
c. menerapkan manajemen kunci kriptografi; dan
d. membuat angka acak yang menggunakan generator angka acak kriptografi.
(6) Terpenuhinya fungsi penanganan eror dan pencatatan log sebagaimana dimaksud dalam Pasal 26 huruf f dilakukan dengan prosedur:
a. mengatur konten pesan yang ditampilkan ketika terjadi kesalahan;
b. menggunakan metode penanganan eror untuk mencegah kesalahan terprediksi dan tidak terduga serta menangani seluruh pengecualian yang tidak ditangani;
c. tidak mencantumkan informasi yang dikecualikan dalam pencatatan log;
d. mengatur cakupan log yang dicatat untuk mendukung upaya penyelidikan ketika terjadi insiden;
e. mengatur pelindungan log aplikasi dari akses dan modifikasi yang tidak sah;
f. melakukan enkripsi pada data yang disimpan untuk mencegah injeksi log; dan
g. melakukan sinkronisasi sumber waktu sesuai dengan zona waktu dan waktu yang benar.
(7) Terpenuhinya fungsi proteksi data sebagaimana dimaksud dalam Pasal 26 huruf g dilakukan dengan prosedur:
a. melakukan identifikasi dan penyimpanan salinan informasi yang dikecualikan;
b. melakukan pelindungan dari akses yang tidak sah terhadap informasi yang dikecualikan yang disimpan sementara dalam aplikasi;
c. melakukan pertukaran, penghapusan, dan audit informasi yang dikecualikan;
d. melakukan penentuan jumlah parameter;

e. memastikan data disimpan dengan aman;
f. menentukan metode untuk menghapus dan mengekspor data sesuai permintaan pengguna; dan
g. membersihkan memori setelah tidak diperlukan.
(8) Terpenuhinya fungsi keamanan komunikasi sebagaimana dimaksud dalam Pasal 26 huruf h dilakukan dengan prosedur:
a. menggunakan komunikasi terenkripsi;
b. mengatur koneksi masuk dan keluar yang aman dan terenkripsi dari sisi pengguna;
c. mengatur jenis algoritma yang digunakan dan alat pengujiannya; dan
d. mengatur aktivasi dan konfigurasi sertifikat elektronik yang diterbitkan oleh penyelenggara sertifikasi elektronik.
(9) Terpenuhinya fungsi pengendalian kode berbahaya sebagaimana dimaksud dalam Pasal 26 huruf i dilakukan dengan prosedur:
a. menggunakan analisis kode dalam kontrol kode berbahaya;
b. memastikan kode sumber aplikasi dan pustaka tidak mengandung kode berbahaya dan fungsionalitas lain yang tidak diinginkan;
c. mengatur izin terkait fitur atau sensor terkait privasi;
d. mengatur pelindungan integritas; dan
e. mengatur mekanisme fitur pembaruan.
(10) Terpenuhinya fungsi logika bisnis sebagaimana dimaksud dalam Pasal 26 huruf j dilakukan dengan prosedur:
a. memproses alur logika bisnis dalam urutan langkah dan waktu yang realistis;
b. memastikan logika bisnis memiliki batasan dan validasi;
c. memonitor aktivitas yang tidak biasa;
d. membantu dalam kontrol antiotomatisasi; dan
e. memberikan peringatan ketika terjadi serangan otomatis atau aktivitas yang tidak biasa.

(11) Terpenuhinya fungsi file sebagaimana dimaksud dalam Pasal 26 huruf k dilakukan dengan prosedur:
a. mengatur jumlah file untuk setiap pengguna dan kuota ukuran file yang diunggah;
b. melakukan validasi file sesuai dengan tipe konten yang diharapkan;
c. melakukan pelindungan terhadap metadata input dan metadata file;
d. melakukan pemindaian file yang diperoleh dari sumber yang tidak dipercaya; dan
e. melakukan konfigurasi server untuk mengunduh file sesuai ekstensi yang ditentukan.
(12) Terpenuhinya fungsi keamanan API dan web service sebagaimana dimaksud dalam Pasal 26 huruf l dilakukan dengan prosedur:
a. melakukan konfigurasi layanan web;
b. memverifikasi uniform resource identifier API tidak menampilkan informasi yang berpotensi sebagai celah keamanan;
c. membuat keputusan otorisasi;
d. menampilkan metode RESTful hypertext transfer protocol apabila input pengguna dinyatakan valid;
e. menggunakan validasi skema dan verifikasi sebelum menerima input;
f. menggunakan metode pelindungan layanan berbasis web; dan
g. menerapkan kontrol antiotomatisasi.
(13) Terpenuhinya fungsi keamanan konfigurasi sebagaimana dimaksud dalam Pasal 26 huruf m dilakukan dengan prosedur:
a. mengonfigurasi server sesuai rekomendasi server aplikasi dan kerangka kerja aplikasi yang digunakan;
b. mendokumentasi, menyalin konfigurasi, dan semua dependensi;
c. menghapus fitur, dokumentasi, sampel, dan konfigurasi yang tidak diperlukan;

d. memvalidasi integritas aset jika aset aplikasi diakses secara eksternal; dan
e. menggunakan respons aplikasi dan konten yang aman.

Reason for correction

Email (optional)