Correct Article 29

(1) Terpenuhinya fungsi penyimpanan data dan persyaratan privasi sebagaimana dimaksud dalam Pasal 28 huruf a dilakukan dengan prosedur: a. menyimpan seluruh data dan informasi yang dikecualikan hanya dalam fasilitas penyimpanan kredensial sistem; b. membatasi pertukaran data dan informasi yang dikecualikan dengan third party; c. menonaktifkan cache keyboard pada saat memasukkan data dan informasi yang dikecualikan; d. melindungi informasi yang dikecualikan saat terjadi inter process communication; dan e. melindungi data dan informasi yang dikecualikan yang dimasukkan melalui antarmuka pengguna. (2) Terpenuhinya fungsi kriptografi sebagaimana dimaksud dalam Pasal 28 huruf b dilakukan dengan prosedur: a. menghindari penggunaan kriptografi simetrik dengan hardcoded key; b. mengimplementasikan metode kriptografi yang sudah teruji sesuai kebutuhan; c. menghindari penggunaan protokol kriptografi atau algoritme kriptografi yang obsolet; d. menghindari penggunaan kunci kriptografi yang sama; dan e. menggunakan pembangkit kunci acak yang memenuhi kriteria keacakan kunci. (3) Terpenuhinya fungsi autentikasi dan manajemen sesi sebagaimana dimaksud dalam Pasal 28 huruf c dilakukan dengan prosedur: a. menerapkan autentikasi pada remote endpoint terhadap aplikasi yang menyediakan akses pengguna untuk layanan jarak jauh; b. menggunakan session identifier yang acak tanpa perlu mengirimkan kredensial pengguna apabila menggunakan stateful manajemen sesi; c. memastikan server menyediakan token yang telah ditandatangani menggunakan algoritme yang aman apabila menggunakan autentikasi stateless berbasis token; d. memastikan remote endpoint memutus sesi yang ada saat pengguna log out; e. menerapkan pengaturan sandi pada remote endpoint; f. membatasi jumlah percobaan log in pada remote endpoint; g. menentukan masa berlaku sesi dan masa kedaluwarsa token pada remote endpoint; dan h. melakukan otorisasi pada remote endpoint. (4) Terpenuhinya fungsi komunikasi jaringan sebagaimana dimaksud dalam Pasal 28 huruf d dilakukan dengan prosedur: a. menerapkan secure socket layer atau transport layer security yang tidak obsolet secara konsisten; dan b. memverifikasi sertifikat remote endpoint. (5) Terpenuhinya fungsi interaksi platform sebagaimana dimaksud dalam Pasal 28 huruf e dilakukan dengan prosedur: a. memastikan aplikasi hanya meminta akses terhadap sumber daya yang diperlukan; b. melakukan validasi terhadap seluruh input dari sumber eksternal dan pengguna; c. menghindari pengiriman fungsionalitas sensitif melalui skema custom uniform resource locator dan fasilitas inter process communication; d. menghindari penggunaan JavaScript dalam WebView; e. menggunakan protokol hypertext transfer protocol secure pada WebView; dan f. mengimplementasikan penggunaan serialisasi API yang aman. (6) Terpenuhinya fungsi kualitas kode dan pengaturan build sebagaimana dimaksud dalam Pasal 28 huruf f dilakukan dengan prosedur: a. menandatangani aplikasi dengan sertifikat yang valid; b. memastikan aplikasi dalam mode rilis; c. menghapus simbol debugging dari native binary; d. menghapus kode debugging dan kode bantuan pengembang; e. mengidentifikasi kelemahan seluruh komponen third party; f. menentukan mekanisme penanganan eror; g. mengelola memori secara aman; dan h. mengaktifkan fitur keamanan yang tersedia. (7) Terpenuhinya fungsi ketahanan sebagaimana dimaksud dalam Pasal 28 huruf g dilakukan dengan prosedur: a. mencegah aplikasi berjalan pada perangkat yang telah dilakukan modifikasi yang tidak sah; b. mendeteksi dan merespons debugger; c. mencegah executable file melakukan perubahan pada sumber daya perangkat; d. mendeteksi dan merespons keberadaan perangkat reverse engineering; e. mencegah aplikasi berjalan dalam emulator; f. mendeteksi perubahan kode dan data di ruang memori; g. menerapkan fungsi device binding dengan menggunakan property unik pada perangkat; h. melindungi seluruh file dan library pada aplikasi; dan i. menerapkan metode obfuscation.