Publik kembali dihebohkan dengan temuan masyarakat tentang kebocoran data yang berisi informasi penting seputar kependudukan. Kali ini data tersebut disinyalir bersumber dari BPJS Kesehatan – termasuk didasarkan pada sampel data yang kini sudah diperjual-belikan di pasar gelap, strukturnya identik dengan basis data kelolaan BPJS Kesehatan, terdiri dari Nama, NIK, No. Kartu, No. Telp, Email, NPWP, Gaji, dll.
Ini bukan kali pertama, sebelumnya pertengahan tahun lalu ramai diperbincangkan jutaan data kependudukan yang berasal dari Daftar Pemilih Tetap Pemilu 2014. Jika merujuk pada klasifikasi data dalam Peraturan Pemerintah, maka data yang bocor tersebut masuk dalam kategori “data elektronik strategis”, level tertinggi yang bahkan peletakan servernya pun tidak boleh di luar Indonesia.
Menanggapi hal ini, BPJS Kesehatan dan pemerintah [dalam hal ini diwakili Kominfo] menyatakan sedang melakukan penelusuran dan pendalaman.
Bahaya penyalahgunaan
Jika kemudahan yang dihadirkan dari layanan digital itu bagai pisau bermata dua, ancaman penyalahgunaan data dapat menjadi salah satu ujung negatifnya. Dampaknya bisa dirasakan secara langsung oleh masyarakat. Misalnya digunakan untuk pemalsuan identitas, melakukan transaksi finansial digital secara ilegal, atau dipelajari guna menemukan pola-pola tertentu untuk tujuan buruk.
Faktanya masih banyak celah di berbagai layanan digital yang saat ini banyak digunakan oleh konsumen Indonesia. Seperti kurang ketatnya sistem verifikasi dari berbagai platform – ada kejadian orang mencetak kartu identitas palsu dengan NIK dan nama yang mungkin benar untuk melewati proses e-KYC dengan swafoto KTP. Untungnya beberapa pengembang kini mulai meningkatkan sekuriti seperti dengan mengimplementasikan tanda tangan digital berbasis biometrik.
Dengan sifatnya yang strategis, jelas data itu harusnya memiliki sistem keamanan dan privasi yang tinggi. Idealnya juga menjadi hak masyarakat untuk mendapatkan perlindungan dari data-data terkait dirinya. Karena sudah terjadi, lantas siapa yang harus bertanggung jawab? Apa langkah represif yang harus dilakukan?
Pertanyaan ini sekarang masih cukup sulit dicari jawabannya. Berangkat dari pengalaman sebelumnya, kami tidak pernah mendengar bagaimana tindak lanjut [sanksi] pemerintah terhadap kebocoran data konsumen yang sempat mencederai beberapa layanan digital dengan pengguna masif di Indonesia, padahal di dalamnya juga terdapat berbagai data penting terkait identitas pengguna. Pasalnya memang tidak ada satu pun kewajiban hukum yang bisa dikenakan karena regulasinya belum ada.
Apa kabar UU PDP?
Kabarnya, masih belum juga selesai. Rancangan beleid yang masuk dalam Program Legislasi Nasional Prioritas 2021 sempat dikatakan rampung sebelum lebaran tahun ini, nyatanya masih belum juga selesai.
Berdasarkan draf per Desember 2019, regulasi tersebut memuat 72 pasal dan 15 bab mengatur tentang definisi data pribadi, jenis, hak kepemilikan, pemrosesan, pengecualian, pengendali dan prosesor, pengiriman, lembaga berwenang yang mengatur data pribadi, dan penyelesaian sengketa. Selain itu, mengatur kerja sama internasional hingga sanksi yang dikenakan atas penyalahgunaan data pribadi.
Dari analisis kami berbincang dengan narasumber, kala itu memang masih banyak potensi celah yang masih mengancam hak privasi data pribadi – dengan harapan draf tersebut kini telah disempurnakan. Padahal jika disahkan banyak hak konsumen yang akan difasilitasi lewat aturan, misalnya pengguna boleh meminta perusahaan pengelola data untuk menghapus datanya dan tidak menggunakan lagi [termasuk untuk kepentingan komersial].
Termasuk denda dengan nominal sangat besar yang konon akan dijadikan kewajiban hukum kepada penyelenggara sistem elektronik apabila terbukti data konsumennya bocor. Diharapkan langkah ini memaksa pengembang untuk menaruh perhatian lebih kepada strategi dan langkah preventif dalam mengamankan data-data penting mereka.
Lalu dengan rentetan kasus yang terus terjadi, masihkah regulator ingin menunda-nunda pengesahan Undang-Undang Perlindungan Data Pribadi? Dua ratus juta lebih data kependudukan di pasar gelap harusnya menjadi sebuah tamparan keras bagi pihak-pihak terkait.
Masyarakat hanya bisa pasrah?
Sayangnya di kondisi tertentu: IYA. Apa yang bisa kita lakukan untuk memberikan perlindungan lebih kepada data BPJS Kesehatan. Bahkan, untuk aplikasi yang dikembangkan perusahaan digital, langkah-langkah yang mungkin bisa diambil baru seputar rutin mengganti kata sandi, mengaktifkan autentikasi dua faktor, atau memperhatikan kredibilitas layanan. Belum ada mekanisme formal yang dijalankan untuk permintaan penghapusan data atau sejenisnya.
Keadaan ini benar-benar menjadikan urgensi penegakan UU PDP makin krusial. Perlindungan hukum akan menjadi payung penting yang memberikan kenyamanan kepada masyarakat atas data-data yang mereka miliki. Karena data satu orang pun memiliki nilai yang sangat mahal dan harus dilindungi hak-hak privasinya.
Kemanan dan privasi data menjadi sorotan penting beberapa waktu terakhir. Beberapa platform di Indonesia memiliki isu di area ini yang berdampak bagi puluhan juta data pengguna. Tentu ini menjadi kabar kurang baik bagi ekosistem digital yang tengah berkembang, terlebih layanan yang akhir-akhir ini bocor cenderung dari perusahaan teknologi yang cukup besar – dari sisi skala bisnis maupun cakupan penggunanya.
Aspek keamanan dan privasi data (idealnya) menjadi komponen yang harus ada dalam sebuah proses pengembangan produk digital. Diskusi mengenai langkah antisipasi dari isu tersebut menjadi menarik – terlebih bagi ekosistem startup di Indonesia yang sebagian besar produknya digital dan melibatkan data-data pribadi pengguna.
Untuk mengulas seputar hal tersebut, DailySocial berkesempatan berbincang bersama AVP Information Security Blibli Ricky Setiadi.
DailySocial (DS): Isu data breach sebenarnya bukan hal baru di Indonesia, namun menjadi buah bibir ketika melibatkan platform B2C/C2C dengan basis pengguna besar. Dari pengalaman Pak Ricky sebagai praktisi di bidang keamanan siber, bisa dijelaskan sebagai besar kejadian tersebut diakibatkan karena faktor apa?
Ricky Setiadi (RS): Risiko terhadap ancaman kebocoran data pada digital platform senantiasa dalam rentang yang sangat tinggi. Jika menggunakan matriks risiko, kebocoran terhadap data bisa dikategorikan ke dalam high to critical. Nilai ini akan didapatkan dari kombinasi dampak dari frekuensi (seberapa sering terjadi) dan skala (seberapa besar dampak) kejadian kebocoran data.
Ruang lingkup kebocoran data dalam skala besar biasanya dilakukan karena terdapatnya celah atau vulnerability dari sistem yang dibuat oleh sebuah organisasi. Celah disebabkan oleh berbagai macam faktor, namun secara umum menjadi tiga kelompok besar, yakni People, Process, dan Technology.
(1) People — Kebocoran data terjadi karena human error atau kelalaian manusia, bisa dari sisi pengembang atau pengguna. Pengguna kadang terlampau percaya kepada pengembang. Padahal keamanan data merupakan tanggung jawab bersama, sehingga keterlibatan dari sisi pengguna pun masih diperlukan. Beberapa penerapan keamanan dasar yang bisa dilakukan dari sisi pengguna antara lain adalah penggunaan password yang baik (kombinasi karakter password, menggunakan password yang berbeda untuk setiap platform, serta menggantinya secara berkala). Pengguna juga perlu memiliki kesadaran atau pengetahuan terhadap ancaman social engineering (seperti phishing).
Tidak dimungkiri banyak kejadian yang juga terjadi karena kesalahan pada proses pengembangan atau maintenance sebuah produk digital. Sebagai contoh, pengembang tidak menerapkan enkripsi untuk penggunaan variable username dan password, dan penyimpanan private key yang tidak aman, atau terdapatnya penggunaan account default untuk setiap sistem yang digunakan. Contoh lainnya adalah kelalaian dalam melakukan maintenance seperti pengembang menggunakan sertifikat digital yang sudah kedaluwarsa, penggunaan database yang tidak terproteksi, hingga kelalaian dalam melakukan design system (tidak mengindahkan kaidah standard practice berdasarkan risiko dalam pembagian sistem yang bisa diakses secara publik dan sistem yang hanya bisa diakses oleh internal).
(2) Process — Eksploitasi terhadap business proses. Terkadang pelaku tindak kejahatan memanfaatkan kesalahan atau kelalaian proses yang dimiliki sebuah organisasi (logic flaw exploitation). Paradigma bahwa security adalah tameng atau sebagai pelindung terakhir sebuah produk, bisa menjadi salah satu faktor utama kebocoran data. Di Blibli, kami selalu berusaha menguji produk kami dari fase awal pengembangannya untuk menghindari serangan pada setiap tahapan. Ketidakhadiran pengujian terhadap sistem dalam proses pengembangan juga merupakan salah satu kesalahan yang memberikan dampak terhadap terjadinya kebocoran data.
Pengembang juga harus ingat untuk menerapkan proteksi pada perangkat keras. Beberapa kasus kebocoran data juga terjadi karena eksploitasi perangkat keras yang berisikan data pelanggan, contohnya seperti keamanan server atau hard disk yang menyimpan data secara offline.
Technology – Pelaku kejahatan menemukan celah dari teknologi yang diterapkan pengembang. Teknologi merupakan hasil dari sebuah pengembangan produk logika manusia. Melalui pendekatan logika yang berbeda (terbalik), banyak para pelaku tindakan kejahatan memanfaatkan celah ini untuk kemudian dijadikan sebagai pintu dalam pengambilan data-data dari sebuah organisasi. Sebagai salah satu contoh adalah adopsi protokol keamanan data TLS 1.0, pada tahun 1999 teknologi ini banyak dimanfaatkan untuk mendukung layanan transaksi online. Namun seiringnya waktu, ditemukan satu celah keamanan pada TLS 1.0 ini yang memungkinkan terjadinya “Man in The Middle” attack. Dengan adanya celah ini, pelaku dapat melakukan intercept terhadap transaksi yang dilakukan oleh korban atau targetnya.
Jika melihat kepada ketiga komponen di atas dan berdasarkan data perkembangan incident report yang dikeluarkan oleh berbagai macam penelitian (salah satunya adalah cyware.com), kecenderungan serangan dan kebocoran data saat ini banyak terjadi karena faktor People melalui social engineering. Social engineering seperti phishing, memudahkan pelaku untuk mengelabui targetnya. Pada saat yang bersamaan, phishing juga dijadikan sebagai media utama dalam menyebarkan malware. Kombinasi ini kemudian di-maintain oleh pelaku untuk sebagai serangan baru yang biasa disebut dengan Advanced Persistent Threat (APT) attack. Dengan APT attack, pelaku kemudian melakukan pengembangan dan eksploitasi data yang kemudian bisa dikomersialisasi/dijual.
Untuk itu, edukasi mengenai social engineering kepada semua pihak yang terlibat dalam sebuah proses bisnis menjadi salah satu prioritas untuk menjaga keamanan data, terutama data pelanggan. Blibli, sebagai pengembang dan penyedia jasa digital, secara aktif mengedukasi seluruh stakeholder hingga para pelanggan. Edukasi dan penyebaran informasi dilakukan secara berkala agar Blibli dapat melakukan kontrol pengamanan yang komprehensif.
DS:Ditinjau dari sisi pengembang, hal apa saja yang perlu menjadi perhatian sejak dini agar sistem senantiasa mengakomodasi keamanan data dan privasi pelanggan? Faktor-faktor apa saja yang berkaitan erat dengan keamanan dan privasi data pengguna?
RS:Keamanan data dan informasi menjadi tanggung jawab bersama. Pelanggan harus jeli guna membatasi informasi yang diberikan ke penyedia jasa digital dan memahami risiko jika informasi yang diminta terlalu sensitif dan tidak berhubungan dengan jasa.
Keterbatasan pemahaman akan keamanan data ini lah yang membuat keterlibatan tim Security di setiap fase pengembangan sangatlah penting. Tim Security dapat meminimalkan terjadinya gangguan terhadap data pelanggan terutama data yang bersifat privacy atau rahasia (personally identifiable information atau PII). Pengamanan tidak hanya sebatas dari faktor keamanan teknis saat produk digital siap dibuat, namun penerapan pengamanan bahkan harus dilakukan saat produk didesain sesuai dengan standar best practice.
Berikut adalah beberapa faktor keamanan yang perlu diperhatikan, terutama ketika melakukan pemrosesan data pribadi, yaitu:
Regulasi pemerintah. Pastikan bahwa semua aspek regulasi yang dikeluarkan oleh pemerintah setempat sudah dijadikan sebagai salah satu referensi utama dalam proses pengambilan, pemrosesan, pengiriman, serta penyimpanan data pelanggan. Hal ini menjadi penting karena setiap wilayah akan memiliki hukum dan regulasi yang berbeda-beda.
Kebijakan keamanan. Setiap pengembang saat ini harus memiliki sebuah payung yang digunakan dalam pengamanan data terutama data pelanggan. Payung ini biasanya dibentuk dalam sebuah Kebijakan Privasi. Dalam pembuatan kebijakan ini, pastikan dibuatkan dalam format sesederhana mungkin dan dalam Bahasa yang mudah dimengerti dengan tanpa melupakan aspek transparansi dan keamanan.
Pengukuran risiko. Pertimbangan lain dalam penjagaan dan pengamanan pada saat pengembangan aplikasi adalah melalui pendekatan terhadap pengukuran untuk setiap risiko. Ada beberapa manfaat yang bisa diambil pada saat penilaian risiko yang dilakukan. Selain melakukan identifikasi terhadap setiap potensi ancaman yang akan terjadi, penggunaan kontrol yang efektif juga dapat mengurangi beban biaya dalam proses mitigasi, mengingat setiap risiko akan memiliki bobot dan nilai serta kontrol yang berbeda. Tentunya dalam pengukuran risiko ini, setiap organisasi harus menerapkan atau memiliki kriteria penerimaan (acceptance level) dan rencana penanggulangannya (risk treatment plan parameter).
PII data collection. Dalam pengembangan sebuah platform pasti akan menggunakan minimal salah satu dari data pribadi. Sebagai contoh adalah data nama lengkap, alamat email, atau nomor telpon. Pengembang harus memperhitungkan dan mempertimbangkan secara matang sejauh mana desain produk akan mengolah data tersebut. Misalnya dalam proses registrasi, apakah platform yang kita kembangkan akan membutuhkan data-data lengkap seperti nama ibu kandung padahal platform yang dikembangkan bukan untuk layanan perbankan. Contoh lainnya apakah kita membutuhkan data dalam bentuk kartu identitas atau Credit Card pada saat pengembangan sebuah fitur promo. Atau yang paling sering ditemukan dalam pengembangan produk untuk smartphone, terkadang pengembang tidak benar-benar memperhatikan kebutuhan aplikasinya, sehingga ada beberapa aplikasi yang secara default dapat mengakses contact, galeri, kamera, dan lain sebagainya. Usahakan penggunaan data pribadi dilakukan sesuai dengan kebutuhan dan pada saat menggunakan data tersebut dipastikan bahwa kita sudah memiliki kontrol yang tepat untuk setiap data yang dikumpulkan.
Fitur dan proses keamanan. Saat ini fitur keamanan adalah salah satu faktor yang akan dipertimbangkan oleh pelanggan dan calon pelanggan. Penggunaan enkripsi (https dalam mode web atau enkripsi lain dalam pengiriman data) merupakan salah satu fitur keamanan yang dapat membantu dalam keamanan data pelanggan. Selain itu fitur two factor authentication atau recovery methods lainnya adalah pendekatan pengembangan lainnya yang dapat digunakan sebagai daya tarik pelanggan dalam pengamanan data.
Selain itu dalam proses internal, pastikan terdapat aturan yang tegas dalam memberikan hak akses kepada setiap stakeholder yang terlibat. Segregation of duties atau pemisahan tugas menjadi pendekatan untuk mencegah ancaman dari dalam. Klasifikasi data merupakan pendekatan lain yang bisa dilakukan di dalam internal business process untuk menghindari terjadinya data PII terekspos keluar.
DS: Di masa pandemi ini tiba-tiba platform online groceries melonjak transaksinya. Maka startup perlu melakukan scale-up teknologi dari berbagai aspek. Menurut Pak Ricky, di masa scale-up tersebut investasi apa yang perlu digelontorkan oleh bisnis untuk menunjang keamanan sistem?
RS:Bagi kami, salah satu investasi terpenting adalah pada People dan Process. Dalam perspektif keamanan informasi, pada dasarnya setiap sistem dan teknologi adalah alat penunjang bisnis yang di dalamnya senantiasa mengandung kerentanan. Investasi pada People dan Process akan mengubah pola pikir dan kultur pada bisnis. Kedua investasi inilah yang kami coba terapkan di Blibli.
Perubahan pola pikir atau mindset memiliki sifat edukasi ke dalam dan ke luar. Seperti yang telah dijelaskan sebelumnya, organisasi juga harus terus menginformasikan bahwa keamanan data dan informasi pelanggan adalah merupakan tanggung jawab bersama dengan cakupan yang sesuai dengan porsinya masing-masing.
Prioritas lainnya adalah perubahan kultur terhadap risiko. Kultur pada sebuah bisnis dimulai dari proses implementasi, adopsi, hingga akuisisi teknologi. Jika proses ini dilakukan dengan efektif dan efisien, perusahaan dapat menurunkan profil risiko serta menerapkan kontrol pada organisasi. Organisasi pun dapat mempercepat perkembangan bisnis karena sudah dapat menentukan kontrol keamanan yang tepat dari surface attack pada saat melakukan scale-up.
DS: Ketika melakukan pengembangan, kadang engineer menemui kebimbangan. Di satu sisi, aplikasi harus didesain semulus dan secepat mungkin, dengan UX yang sangat sederhana. Di lain sisi, faktor keamanan harus menjadi perhatian. Menyebabkan beberapa pengembang mengacuhkan opsi penambahan keamanan tambahan dalam sistem. Bagaimana Pak Ricky menanggapi situasi tersebut?
RS: Permasalahan ini adalah permasalahan klasik antara tim pengembang dengan security. Beberapa startup masih menggunakan konsep konvensional dalam melakukan balancing atau penyeimbangan pada saat melakukan pengembangan aplikasi. Sehingga masalah klasik ini senantiasa terjadi dan berulang. Dalam menghadapi ini, sebenarnya kita bisa melakukan adopsi pendekatan Shifting Left. Berikut adalah penjelasan mengenai pendekatan konvensional dan Shifting Left.
Konvensional:
Jika melihat kepada beberapa tahun ke belakang, proses pengembangan sebuah aplikasi senantiasa akan menuliskan semua permintaan pada bagian awal pengembangan. Proses testing, termasuk security testing, akan dilakukan pada akhir pengembangan. Satu sisi, tahapan-tahapan ini akan menghasilkan sebuah aplikasi yang matang, namun di sisi lain akan memberikan dampak yang cukup serius pada saat terjadinya penemuan defect hasil testing yang banyak dan cukup kritis. Proses perbaikan terhadap hasil dari testing akan membutuhkan biaya tambahan baik untuk desain maupun implementasinya.
Metode ini sangat tidak efektif untuk diaplikasikan oleh organisasi startup yang senantiasa mengandalkan kepada jumlah release yang cepat. Adopsi pendekatan yang lebih agile dan shifting left bisa dilakukan untuk setiap organisasi startup dalam menghasilkan produk yang cepat tanpa meninggalkan aspek keamanan.
Shifting Left:
Metode konvensional menerapkan testing hanya di tahapan akhir (Testing and Verification). Pendekatan Shifting Left menerapkan proses pengujian mulai dari fase awal yaitu “Requirement”. Pada fase ini, Requirement tidak hanya akan melibatkan kebutuhan pelanggan dari sisi produk, bisnis, dan user experience, namun juga memasukan unsur keamanan sebagai salah satu parameter. Blibli pun telah menerapkan metode ini dalam proses pengembangan produk digitalnya.
Shifting left akan membentuk paradigma untuk melakukan pengujian semua aspek (test everything), pengujian yang dilakukan kapan pun (test everytime), pengujian yang lebih awal (test earlier), pengujian secara berkelanjutan (test continuously), dan melibatkan pihak penguji dalam setiap tahap. Tim pengembang dan security dapat berkerja sama untuk melakukan tindakan preventif daripada detective.
Metode dan pendekatan ini telah kami terapkan di Blibli sebelum kami meluncurkan produk IT. Dengan adopsi ini, proses deteksi terhadap bugs atau defect menjadi lebih cepat, meningkatkan efektifitas dari sisi waktu pengembangan dan biaya, serta meningkatkan kemudahan dan kualitas produk/aplikasi.
DS: Menurut Pak Ricky, apa urgensinya melakukan sertifikasi sistem, terkait dengan keamanan dan privasi data? Sertifikasi apa saja yang disarankan untuk diikuti?
RS:Sertifikasi akan menjadi sebuah competitive advantage. Karena melalui sertifikasi, sebuah organisasi telah menunjukkan kemampuan kinerja yang lebih tinggi dan sesuai dengan standar. Selain itu, sertifikasi juga menjadi sebuah comparative advantage dari sebuah organisasi. Proses bisnis akan menyesuaikan dengan standar sehingga mampu menghasilkan lebih banyak produk berkualitas yang efektif dan efisien serta mampu melakukan manajemen risiko.
Ada banyak sertifikasi yang bisa diterapkan untuk level organisasi dalam dunia keamanan informasi atau cybersecurity. Hal ini kembali lagi dengan kepentingan dan ranah bisnis yang dilakukan organisasi. Blibli, sebagai contoh, telah mendapatkan sertifikasi ISO/IEC 27001 tahun 2013 yang diakui secara global untuk pengelolaan sistem keamanan informasi. E-commerce merupakan bisnis yang mengolah data pelanggan, sehingga menjadi penting apabila bisnis serupa melakukan sertifikasi ini.
Proses sertifikasi juga perlu dilakukan oleh individu yang melakukan proses penerapan keamanan. Profesional yang menjalankan proses pengamanan akan senantiasa menjadi nilai tambah bagi perusahaan dalam menjalankan bisnisnya. Sertifikasi keamanan informasi ini banyak sekali untuk level individual seperti:
Audit: CISA, ISO 2700 Lead Auditor, ISO2700 Internal Auditor
DS: Dalam tim teknis sebuah startup digital, idealnya tim keamanan ini terdiri dari bagian apa -saja?
RS:Startup digital akan senantiasa melakukan pengolahan terhadap data-data dalam bentuk digital. Fokus pengamanan sebuah organisasi harus lebih jauh, bukan hanya pada pengamanan data semata, namun jauh lebih besar ke dalam hasil pengolahan data tersebut – biasanya dikenal dengan informasi.
Kebutuhan tim teknis secara umum hanya membutuhkan tiga tim yaitu Yellow (architect), Red (attacker) dan Blue (defender).
Yellow: Pada saat melakukan pengembangan sebuah aplikasi, architecture review akan senantiasa dilakukan baik dari sisi aplikasi, infrastruktur, maupun security. Tim Security Architect akan melakukan review terhadap architecture dari aplikasi berdasarkan fungsi, obyektif, rencana pengujian, serta pemantauan terhadap risiko teknis melalui proses threat modelling.
Red: Selain tim Yellow, sebuah aplikasi perlu diuji secara internal sebelum merilisnya ke publik. Pengujian ini akan dilakukan oleh tim Red. Fungsi utama dari tim ini adalah melakukan simulasi penyerangan terhadap aplikasi, platform, dan infrastruktur. Skenarionya pun tidak hanya sebatas tes keamanan semata, namun melakukan berbagai simulasi hacking dan social engineering sebagai bagian dari pengujian yang dilakukan.
Blue: Selain simulasi penyerangan dijadikan sebagai metode dalam pengamanan aplikasi atau platform, metode lain yang dibutuhkan adalah metode defensif. Tim Blue akan bertanggung jawab terhadap implementasi skenario dan kontrol pertahanan dari serangan pelaku tindak kejahatan siber atau simulasi serangan dari Tim Red seperti implementasi web application firewall, firewall, logging, SIEM, incident handling, dan sejumlah tindakan defensif lainnya.
Dalam perkembangannya, dari ketiga tim ini akan membentuk tim tambahan hasil dari campuran ketiga warna tersebut. Blibli pun menerapkan campuran ini untuk memastikan tim IT dapat beroperasi dengan maksimal. Ketiga tim tambahan tersebut adalah:
Green Team (kombinasi dari Blue dengan Yellow): Tim ini akan banyak melakukan perbaikan dari security automation dan code yang dituliskan oleh developer (programmer).
Orange Team (kombinasi dari Yellow dengan Red): Tim ini akan membantu Tim Yellow untuk meningkatkan kapasitas tentang keamanan dalam bentuk awareness atau edukasi teknis keamanan.
Purple Team (kombinasi dari Red dan Blue): Tim ini adalah sebagai tim penyeimbang untuk meningkatkan kapasitas Tim Red dalam melakukan metode ofensif atau pertahanan serta melakukan evaluasi dan perbaikan dari Tim Blue dalam melakukan pertahanan.
DS: Sebagai studi kasus, bagaimana Blibli menerapkan standar keamanan dan privasi data? Fitur apa yang disajikan untuk mengantisipasi kegagalan sistem dari sisi konsumen dan dari sisi platform?
RS: Blibli berkomitman untuk mengutamakan kepuasan pelanggan. Salah satu caranya adalah memastikan bahwa keamanan data pelanggan terlindungi dan terkelola dengan baik.
Keamanan data pelanggan merupakan subset atau bagian dari proses pengendalian keamanan informasi, sehingga dalam pelaksanaannya kami melakukan tiga metode pengendalian yang meliputi:
Preventive: Pengendalian dengan pendekatan pencegahan ini kami lakukan dengan melakukan perubahan budaya paradigma keamanan informasi. Beberapa kegiatan yang kami lakukan termasuk kampanye yang meningkatkan awaraness pelanggan akan keamanan data, menerapkan kendali terhadap akses dan teknologi sesuai kebutuhan stakeholder, serta bekerja sama dengan pihak eksternal resmi seperti Badan Sandi dan Siber Negara, komunitas Keamanan Informasi untuk meningkatkan keamanan yang lebih luas.
Detective: Dalam proses ini, pengendalian lebih ditekankan kepada aspek deteksi dengan harapan terdapatnya perbaikan terhadap peningkatan keamanan informasi dan melihat tingkat efektivitas terhadap kontrol yang kita miliki. Analisis log, pengujian keamanan, dan laporan secara berkala merupakan langkah-langkah deteksi yang kami lakukan.
Corrective: Pengendalian ini bertujuan untuk memperbaiki kondisi tingkat keamanan pada saat sebuah insiden terjadi. Pembentukan tim Computer Incident Response Team (CIRT) dan Cyber Security Incident Response Team (CSIRT), serta proses pengelolaan manajemen insiden merupakan salah satu metode yang diterapkan oleh Blibli.
Kami akui bahwa saat ini tindakan kejahatan dalam dunia siber semakin hari semakin meningkat baik secara kualitas maupun kuantitas. Dalam pengamanannya kami menerapkan banyak kontrol keamanan baik dari sisi pelanggan maupun platform kami. Berikut ini adalah beberapa poin yang telah kami kembangkan demi menjaga keamanan data dan kenyamanan bertransaksi.
(1) Pengamanan terhadap sistem e-commerce.
Penggunaan 100% secure communication untuk layanan yang dapat diakses oleh publik. Selain memudahkan pelanggan dalam berbelanja, juga memastikan semua layanan transaksi tersebut berjalan dengan aman.
Implementasi Bot Detection System (BDS) untuk melakukan deteksi transaksi yang dilakukan oleh bot. Tindakan ini kami lakukan untuk memastikan pelanggan riil dapat menikmati promosi yang sifatnya terbatas (flash sale, kode voucher, dan lainnya), bukan bot yang disiapkan untuk melakukan eksploitasi.
Menjalankan Secure Software Development Lifecycle (SDLC). Dengan adopsi shifting left, Blibli sudah menjalankan proses SDLC yang aman sehingga kami dapat melakukan antisipasi tehadap kerentanan yang mungkin terjadi pada aplikasi.
Implementasi Security Operations Center (SOC) sehingga kami dapat melakukan deteksi terhadap traffic yang berpotensi menjadi ancaman. Selain itu dengan SOC ini Blibli dapat menjaga keamanan lingkungan digital perusahaan dari pihak yang tidak berwenang agar tidak dapat mengakses Data Pelanggan.
Pengembangan aplikasi dan produk senantiasa mengedepankan aspek pengelolaan risiko, di mana setiap risiko akan dikendalikan melalui kontrol yang sesuai.
(2) Perlindungan pelanggan.
Blibli telah menambahkan fitur Phone Number Verification dan Email Recovery sebagai salah satu kontrol untuk melindungi dan meningkatkan keamanan akun pelanggan.
Dalam menghadapi ancaman tindakan fraud, kami menerapkan fitur 3D Secure for credit card payment dan mengirimkan OTP kepada pelanggan saat bertransaksi dengan Blipay dan BCA OneKlik.
Menjalankan phishing site detection, fitur yang memberikan kemudahan kepada pelanggan Blibli dalam proteksi terhadap percobaan phishing.
End-to-end encryption untuk semua fitur yang mengandung informasi kritis dari pelanggan seperti password, credit card, dan informasi sensitif lainnya.
DS: Sebagai sebuah worst case scenario, ketika sistem mendapati isu data breach, apa yang seharusnya dilakukan oleh perusahaan — baik dari sisi tim pengembang, tim komunikasi ke pelanggan dll?
RS: Sebuah organisasi harus sedini mungkin menyiapkan mekanisme skenario terburuk dari sebuah serangan termasuk skenario kebocoran data. Tindakan pencegahan dan respons terhadap kebocoran data harus melibatkan semua pihak baik dari sisi tim IT, Security, komunikasi, legal, serta jajaran manajemen.
Setiap organisasi setidaknya harus memiliki prosedur baku dalam persiapan penanganan insiden. Setiap insiden yang terjadi tidak harus diinformasikan kepada pelanggan. Perusahaan juga harus melakukan kategorisasi insiden yang terjadi (apakah insiden termasuk ke dalam kategori aktivitas malicious code, penggunaan akses yang tidak normal, percobaan phishing spear atau insiden lain yang menyebabkan data terekspos).
Selain kategori tersebut di atas, tim incident handling harus menganalisis dampak dari kejadian tersebut. Penggunaan matriks yang diturunkan dari matriks risiko akan membantu tim melakukan perhitungan dengan lebih tepat dan cepat. Analisis ini perlu juga ditunjang dengan proses validasi dan klasifikasi dari insiden tersebut. Apakah insiden ini benar-benar valid atau hanya sebatas false positive, apakah kejadian ini memiliki dampak yang sesuai dengan laporan pertama, serta data atau sistem apa saja yang terkena dampak dari insiden ini.
Setelah melakukan analisis dan klasifikasi, langkah berikutnya adalah menentukan prioritas baik dari jenis insiden maupun langkah kontrol untuk perbaikan yang sifatnya sementara supaya insiden ini tidak memberikan dampak yang lebih besar. Proses investigasi awal dengan melakukan analisis, validasi, klasifikasi, serta penentuan prioritas ini biasanya dikenal dengan Incident Triage. Incident Triage ini harus dilakukan dengan teliti dan matang, mengingat ini akan menjadi input utama untuk menentukan langkah selanjutnya.
Jika pada fase incident triage menghasilkan kesimpulan bahwa insiden terjadi, proses notifikasi harus secepatnya diberikan kepada setiap komponen organisasi yang terlibat. Notifikasi cepat ini harus melibatkan:
Tim Legal untuk melihat dari aspek regulasi dan hukum yang berlaku.
Tim IT untuk secepatnya berkoordinasi dalam melakukan penanganan awal dari insiden yang terjadi, termasuk tim infrastructure dan developer untuk melakukan perbaikan secepatnya.
Management representative untuk memberikan laporan terbaru dari status insiden serta meminta saran, rekomendasi, serta arahan untuk keputusan.
Tim Komunikasi untuk memberikan pernyataan resmi (baik secara reaktif atau proaktif) kepada publik mengenai kondisi insiden saat ini dan apakah insiden ini valid atau tidak valid.
Seiring dengan proses notifikasi tersebut, tim penanganan insiden harus secepatnya menjalankan proses containment. Fungsi dari proses ini adalah menghentikan laju dari dampak insiden tidak semakin meluas ke aset dan sistem lain. Tujuan lain containment adalah mengurangi kerugian atas dampak yang lebih besar dari insiden tersebut.
Tim penanganan insiden juga harus mampu melakukan pengumpulan bukti-bukti dari setiap insiden ini. Pengumpulan bukti ini menjadi bagian penting dalam pembuatan laporan dan menentukan proses forensic dari insiden tersebut. Hasil forensic ini akan menjelaskan detail informasi dari insiden tersebut seperti:
Metode penyerangan.
Jenis kerentanan yang digunakan untuk melakukan eksploitasi.
Kontrol keamanan yang mampu menahan serangan.
Jenis aplikasi atau sistem yang digunakan sebagai dormant host atau jalan masuk penyerang serta informasi detailnya.
Setelah ditemukan inti permasalahan, tim penanganan insiden secepatnya melakukan pembetulan pada kesalahan pemrograman atau patching terhadap sejumlah kerentanan yang ditemukan dan dijadikan sebagai jalan masuk dari insiden tersebut. Dalam penanganan insiden, melakukan patching ini biasa disebut dengan proses pemberantasan atau eradication process. Beberapa contoh lain dari proses ini adalah dengan penggantian perangkat yang malfungsi, mengubah konfigurasi baik dari perangkat infrastruktur, security maupun code dari developer, serta melakukan improvement (instalasi) baru untuk meningkatkan keamanan.
Langkah selanjutnya yang harus dilakukan oleh tim penanganan adalah melakukan pemulihan sistem, layanan, serta data yang terkena dampak dari insiden tersebut. Tim penanganan harus dapat memastikan bahwa semua layanan kembali normal.
Tim penanganan harus membuat laporan lengkap mengenai insiden dan melaporkannya ke pihak terkait. Selain manajemen perusahaan, tim dapat melaporkannya kepada pemerintah apabila insiden termasuk dalam kategori kritis dan berhubungan dengan pelanggan. Pada saat memberikan informasi kepada stakeholder, setidaknya ada beberapa poin yang harus dilakukan atau disampaikan:
Komunikasikan insiden ini dengan bahasa yang sederhana kepada stakeholder yang tepat.
Berikan informasi yang transparan, termasuk informasi tentang keterlibatan semua pihak dalam melakukan perencanaan persiapan insiden merupakan salah satu pendekatan terbaik. Informasikan juga bahwa kejadian ini di luar kontrol organisasi, mengingat organisasi sudah melakukan serangkaian kegiatan preventif.
Berikan informasi secara wajar dan akurat terkait dengan dampak dari insiden tersebut. Termasuk di dalamnya informasi tentang
Apa yang terjadi dengan data, semisal meski datanya terekspos tapi masih terlindungi oleh enkripsi.
Langkah atau tindakan yang harus dilakukan pelanggan jika proses penanganan masih dalam tahap investigasi atau perbaikan, seperti mengganti password semua akun digital dan pengecekan saldo (untuk platform finansial) secara reguler
Melakukan tindakan (incident response) terhadap kebocoran data merupakan sebuah tindakan kritis yang harus segera dilakukan. Namun demikian tindakan pencegahan merupakan kunci utama dalam melakukan reaksi dan respons terhadap kebocoran data tersebut.
DS: Terakhir, mungkin ada buku, online course atau sumber belajar lain yang dirasakan oleh Pak Ricky untuk dapat dipelajari penggiat startup terkait metodologi, konsep, hingga praktik keamanan dan privasi data?
RS:Saat ini banyak platform yang bisa digunakan untuk meningkatkan kapasitas dalam keamanan informasi baik untuk pelaku bisnis startup atau individual. Baik dari yang sifatnya free, freemium maupun premium baik dari sisi managerial maupun dari sisi teknis. Platform yang biasa kami gunakan adalah O’reilly, udemy, cybrary.it, hackerone, hackthebox, hacking-lab, pwnable, coursera, opensecurity training, heimdal security, san cyberaces, owasp, openSAMM project dan masih banyak lagi beberapa platform community yang bisa digunakan.
Di Blibli, kami senantiasa melakukan peningkatan kapasitas dari tim IT, salah satunya adalah melakukan edukasi terhadap pengembangan produk melalui secure coding training, seminar, dan internal sharing session secara periodik. Kami juga mengajak rekan-rekan IT di Blibli untuk bergabung dalam komunitas IT. Fungsi dari keikutsertaaan karyawan di komunitas adalah memperluas network serta mendapatkan update mengenai isu-isu terkini, baik yang terjadi di dalam maupun luar negeri.
Recently, the news of data breach has made the highlight for dozens of digital service users in Indonesia. It is due to the platform where the data breach happens, is e-commerce with massive users, Tokopedia. Also, the latest news comes from Bhinneka.
In early May 2020, 91 million user data – several parties had proven the validity of the data and accordingly – were monitored for sale via the Dark Web for 73.5 million Rupiah. Only passwords are encrypted, while other information such as names, addresses, and contacts can be read with the naked eye. Then a few days ago, a hacker reportedly managed to infiltrate several sites, one of which was Bhinneka with 1.2 million data stolen.
This is not the first time, in previous years the cybersecurity issue has been reported several times to the public.
Incomprehensive Regulation
Regulations regarding the protection of privacy and personal data are mentioned in various laws, precisely in 32 regulations from the ITE Law, the Telecommunications Law, the Public Information Openness Act, the State Intelligence Act, to the Criminal Procedure Code. The fragmented regulation encourages the government to draft a Personal Data Protection Act – until now the status has reached the President and the Parliament, waiting to be reviewed and ratified.
“However, these laws and regulations [32 regulations] are yet to comprehensively regulate the protection of personal data. A comprehensive law is needed as a legal basis in providing protection, regulation and imposition of sanctions for personal data misuse as regulated,” said the Minister of Communication and Information Johnny G. Plate.
Regarding the recent issue of a data breach, the Minister of Communication and Information also gave his formal response after discussion with several parties, including Tokopedia and the national cyber and security agency (BSSN). “Every data hacking effort will be followed up, therefore, not to disrupt the e-commerce operational,” he further explained the details regarding the follow-up plan by the government.
Self-taught preventive steps
In fact, digital platforms such as e-commerce have certification related to information security, for example by getting ISO / IEC 27001: 2013. However, on the user’s side, they can also take several preventive steps to reduce the potential loss if the current system has been hacked.
Here are some simple preventive steps that can be done:
Perform regular application updates
Various digital applications with massive users are almost certain to experience a continuous development process. Not only a matter of adding features but also updates often rolled out to improve system performance and security to close the gaps. For this reason, it is important for users to keep the application up-to-date.
Nevertheless, for the operating system, it is strongly recommended to use the latest version supported by the device. The intensity is indeed not as often as the applications, but an update usually provides significant improvisation.
For smartphone users, application updates or operating system updates are usually done automatically when connected to a WiFi network. The user will get an update notification and approve the update process. However, for those who use mobile connectivity, updates are usually not automatic, users need to look periodically at Google Play / App Store or the update page in the system update section.
Use different passwords on each application
This tip is quite tedious for some people, but actually good anticipation if a data breach occurs in one of the applications. At least, distinguish personal account passwords such as an e-mail with passwords used for other applications. Email is crucial for recovery if an account is successfully taken over by a hacker.
The password manager application can actually help if users want to use a different password for each service. The application saves and records the password it has – some applications also make it easier when you want to login to certain services – without having to retype the password. Some examples of password management applications are LastPass or 1Password.
Then, as suggested in every digital security tips, it is highly targeted to use passwords with varying characters. For example, by including uppercase letters, lowercase letters, numbers, and symbols. Some applications have a password level indicator during the registration process.
Apply multiple authentications
For the sake of increasing security, some applications provide Multi-Factor or Two-Step Authentication features. In addition, users can choose the type of extended security, for example using a PIN, SMS token, or biometrics. The latter is very recommended, especially smartphones today are mostly equipped with fingerprint and facial recognition systems. On average, this feature is not automatically activated, the user must set it up for each application.
Be more aware of application in use
Always use an application from a credible developer, especially if the application requires personal data. Because credible developers will have discipline related to privacy and information protection policies. In addition, it’s good as the user also knows what applications are accessed from our device – for example the applications in the Play Store always informing the “Permission” section about the components of the device accessed by the application.
– Original article is in Indonesian, translated by Kristin Siagian
Beberapa waktu terakhir kabar mengenai data breach alias pembobolan data kembali menjadi buah bibir pengguna layanan digital di Indonesia. Pasalnya pelanggaran data tersebut terjadi pada platform yang cukup masif digunakan, yakni pada situs e-commerce Tokopedia, dan baru-baru ini dikabarkan juga terjadi pada Bhinneka.
Awal Mei 2020 ini, 91 juta data pengguna – beberapa pihak sempat membuktikan validitas data tersebut dan sesuai – terpantau dijualbelikan melalui Dark Web seharga 73,5 juta Rupiah. Hanya kata sandi yang terenkripsi, sementara informasi lain seperti nama, alamat, dan kontak dapat dibaca dengan mata telanjang. Kemudian beberapa hari lalu, seorang hacker dikabarkan berhasil menyusup ke beberapa situs, salah satunya Bhinneka dengan 1,2 juta data berhasil dicuri.
Kejadian ini bukan yang pertama, di tahun-tahun sebelumnya isu keamanan siber ini juga beberapa kali terungkap ke publik.
Regulasi belum komprehensif
Beleid tentang perlindungan privasi dan data pribadi disebutkan dalam berbagai undang-undang, tepatnya ada di 32 regulasi mulai dari UU ITE, UU Telekomunikasi, UU Keterbukaan Informasi Publik, UU Intelijen Negara, sampai KUHAP. Aturan yang masih cukup terfragmentasi tersebut mendorong pemerintah menyusun UU Perlindungan Data Pribadi – hingga saat ini statusnya sudah sampai Presiden dan DPR, menunggu ditinjau dan disahkan.
“Namun peraturan perundang-undangan tersebut [32 regulasi] belum mengatur secara komprehensif mengenai pelindungan data pribadi. UU yang komprehensif diperlukan sebagai landasan hukum dalam memberikan pelindungan, pengaturan dan pengenaan sanksi atas penyalahgunaan data pribadi sebagaimana diatur,” ujar Menkominfo Johnny G. Plate.
Terkait isu pembobolan data akhir-akhir ini, Menkominfo juga memberikan tanggapan formalnya setelah melakukan pertemuan dengan beberapa pihak, termasuk Tokopedia dan Badan Siber dan Sandi Negara (BSSN). “Setiap usaha peretasan data akan ditindaklanjuti agar tidak mengganggu jalannya e-commerce,” terangnya kendati tidak diungkapkan detail mengenai rencana tindaklanjut yang akan dilakukan pemerintah.
Langkah preventif dari diri sendiri
Sebenarnya untuk platform digital seperti e-commerce dapat mengupayakan sertifikasi terkait keamanan informasi, misalnya dengan mendapatkan ISO/IEC 27001:2013. Namun demikian, dari sisi pengguna pun dapat melakukan beberapa langkah preventif untuk mengurangi potensi kerugian jika sistem digunakan yang digunakan berhasil dibobol datanya.
Berikut beberapa langkah preventif sederhana yang dapat dilakukan:
Melakukan pembaruan aplikasi secara berkala
Berbagai aplikasi digital yang banyak digunakan pengguna hampir dipastikan mengalami proses pengembangan secara berkelanjutan. Tidak hanya soal penambahan fitur, pembaruan juga sering digulirkan untuk meningkatkan performa dan keamanan sistem menutup celah-celah yang ditemukan. Untuk itu, penting bagi pengguna tetap memastikan aplikasi selalu up-to-date.
Pun demikian untuk sistem operasi, sangat disarankan untuk menggunakan versi teranyar yang didukung oleh perangkat. Ketimbang aplikasi intensitasnya memang lebih jarang, namun ketika ada pembaruan biasanya memberikan improvisasi yang cukup signifikan.
Bagi pengguna ponsel pintar, biasanya pembaruan aplikasi atau sistem operasi dilakukan secara otomatis jika terkoneksi ke jaringan wifi. Pengguna akan mendapatkan notifikasi pembaruan dan menyetujui proses pembaruan. Namun bagi yang menggunakan konektivitas mobile, umumnya pembaruan tidak dilakukan otomatis, pengguna perlu melihat secara berkala di Google Play/App Store atau laman pembaruan di bagian pembaruan sistem.
Gunakan kata sandi berbeda di tiap aplikasi
Kiat ini cukup menjemukan bagi beberapa orang, namun sebenarnya jadi antisipasi baik jika terjadi pembobolan di salah satu aplikasi yang digunakan. Minimal selalu bedakan kata sandi akun personal seperti email dengan kata sandi yang digunakan untuk aplikasi-aplikasi lain. Email jadi krusial untuk kebutuhan pemulihan jika suatu akun berhasil diambil alih oleh hacker.
Aplikasi password manager sebenarnya juga bisa membantu jika pengguna menginginkan penggunaan kata sandi berbeda di setiap layanan. Aplikasi menyimpan dan mendokumentasikan kata sandi yang dimiliki – beberapa aplikasi juga memudahkan ketika hendak masuk layanan tertentu – tanpa harus mengetikkan ulang akta sandi. Beberapa contoh kata aplikasi pengelola kata sandi LastPass atau 1Password.
Kemudian, seperti yang disarankan di setiap tips keamanan digital, sangat diasarkan untuk menggunakan kata sandi dengan karakter yang bervariasi. Misalnya dengan menyertakan huruf besar, huruf kecil, angka, dan simbol. Beberapa aplikasi memiliki indikator tingkat keamanan kata sandi ketika proses pendaftaran.
Aktifkan autentikasi berlapis
Demi meningkatkan keamanan, beberapa aplikasi menyediakan fitur Multi-Factor atau Two-Step Authentication. Selain dengan kata sandi, pengguna bisa memilih tipe keamanan pendampingnya, misalnya menggunakan PIN, token SMS, atau biometrik. Yang terakhir ini juga cukup disarankan untuk digunakan, terlebih perangkat ponsel pintar masa kini kebanyakan dilengkapi dengan sistem sidik jari dan pengenalan wajah. Rata-rata fitur ini tidak aktif secara otomatis, pengguna harus menyetelnya secara manual di tiap aplikasi.
Lebih “aware” terhadap aplikasi yang digunakan
Selalu gunakan aplikasi dari pengembang yang kredibel, terlebih jika aplikasi tersebut memerlukan data personal. Karena pengembang yang kredibel akan memiliki disiplin terkait dengan kebijakan privasi dan perlindungan informasi. Selain itu, ada baiknya sebagai pengguna juga mengetahui apa saja yang diakses aplikasi tersebut dari perangkat kita – misalnya di aplikasi yang ada di Play Store selalu menginfokan di bagian “Permission” mengenai komponen dari perangkat yang diakses oleh aplikasi tersebut.
The government officially submitted the draft of Personal Data Protection Act (PDP Bill) to the Indonesian Parliament. This draft will be discussed immediately after the completion of the Omnibus Law Act.
Based on the draft as of December 2019, the PDP Bill contains 72 articles and 15 chapters governing the definition of personal data, types, ownerships, processing, exceptions, controllers and processors, transmissions, authorized institutions that regulate personal data, and resolution. In addition, it regulates international partnerships and sanctions imposed for misuse of personal data.
While waiting for the regulation to be ratified, whose authority is in the People’s Representative Council (DPR), we need to know more about how to interpret in daily life. What is the impact before and after the regulation for the public?
Understanding the types of data based on the PDP Act draft
Source: Pixabay
The PDP Bill defines personal data as any data about a person, whether identified and can be identified separately or combined with other information, directly or indirectly, electronic and non-electronic systems.
Types of personal data are divided into two, the general and specific data. The general category includes data that can be accessed through public services or listed in official identity. For example, your full name, gender, nationality, religion, and personal data must be combined to make it possible to identify someone.
Meanwhile, specific data is data that is sensitive to the safety and comfort of the life of the owner of personal data, namely health data and information, biometric data, genetic data, sexual orientation, political views, crime records, child data, personal financial data, and/or other data in accordance with statutory provisions. In order to get these data, approval from the owner is necessary.
What should be appreciated and fixed
SAFEnet’s Executive Director, Damar Juniarto said, the PDP Bill refers to one of the fundamentals of the 1945 Constitution article 28 paragraph G stated the philosophical basis of personal data protection, the guarantee of citizens’ self-protection.
Therefore, there are three things must be stated the PDP Bill. The right to personal, family, honor, dignity and property protection; the right to security; and the right of protection against the threat of fear to do or not do something.
The assessment he made for the PDP Bill contents was a progressive step in ensuring the certainty of the citizens’ self-protection. “SAFEnet welcomes the presence of the PDP Bill which will soon be discussed at the Commission I of the DPR RI,” Damar said in a written statement.
Source: Pixabay
This bill, he continued, succeeded in formulating the concept of upholding data sovereignty; outline a longer draft of April 2019 in specific personal data; provide recognition of important basic rights in the principle of the right to privacy such as the need for citizen consent in data collection, the right to correction, and the right to withdraw data; emphasized on the time limit while residents withdraw the data; and sanction violations.
On the other hand, the part that needs improvement is the dimming of important issues that have been a public concern, such as profiling issue, illegal tapping by state institutions and corporations, alleged buying and selling of personal data by state institutions and discriminating sanctions against individuals and corporations that committed violation.
“Profiling can only be stopped whether residents raise objections as contained in article 10. Frankly, in SAFEnet’s view, this is not enough. Profiling must be included in specific personal data because it is an important protection against the threat of oneself and protection of the right to do or not do something.”
Illegal tapping, defined as an effort to acquire personal data by planting spyware on smartphone devices, collecting data through an unknown cloud, or applying AI in the form of facial recognition technology.
Discrimination of legal sanctions threatens an injustice feeling of the community for the right to privacy. The ITE Law, which was issued over 10 years ago, has problems with the number of convicted citizens and criminal proceedings during unfair law enforcement and justice.
“Reflection on the implementation of digital law needs to be taken into consideration in determining appropriate legal sanctions for those who commit personal data violations.”
He thought in general, the PDP Bill narrowed the right to privacy to the extent of protecting personal data. Therefore, what should be the scope of this law is reduced to the issue of personal data. Whereas today, data is closely related to the lives of the human owners and when abused will endanger the lives of these people due to the possibility of crime.
“There is a right to security attached to it [PDP bill]. Therefore, it might sound like the PDP bill emphasized personal data definition as merely a commodity. Whereas personal data is not just a commodity, it concerns the virtual human dignity, the PDP Bill must protect the human being involved, not only the data.”
Once passed..
Source: Pixabay
Once the regulation passed, the greatest power you have for companies that collect your data and liability is to request for data removal. On the other side, the greatest right – or perhaps the most competed – is the ability to stop companies from selling your data to other parties, such as advertisers.
Selling data has been the most irritating issue for consumers. The condition does not apply when you consciously enter a photo in your Facebook account or enter your home address in the e-commerce application. Unlike the case, if they cash it, therefore, other companies you’ve never visited create a profile without your knowledge or approval.
The word “sell” does not mean literally in the form of money. When the company gains something or other benefits from your data for others, it can be categorized as selling. Exceptions only apply when the company sends data to “service providers” if the e-commerce site shares your credit card number and processes payments to complete the sale.
Data selling is a very sensitive issue for technology companies, especially giants like Google and Facebook, and the time when the Cambridge Analytica scandal hit Facebook. Data is the new oil.
The PDP bill also applies to office buildings that often request visitor data and photograph faces. This regulation accommodates data collectors to declare their purpose as retrieving data and guarantee its safety. As often the issues of data leak anywhere and anytime.
Of the companies surveyed, some are running the business in Indonesia, which considers this report more or less correlated. As it was mentioned from 24 famous global technology and telco, Microsoft ranked the first, followed by Google and Verizon Media. Next, from telco are Telefonica, Vodafone, and AT&T.
There are 35 indicators for the 24 companies that were evaluated, examined the matter of commitments, policies, and practices that affect freedom of expression and privacy, including corporate governance and accountability mechanisms. This index score represents the extent to which companies meet minimum standards. There are several companies that score above 50 (on a scale of 100).
Overall, there has been some progress, although some issues remain since the Index was released in 2015. Does everyone still lacking basic information about who is controlling their ability to connect, talk online, or access information, or who has the ability to access their personal information in any circumstance.
The government in some countries is quite responsive by issuing various supporting regulations. Whereas the company action to take decisive steps in respecting user rights has not been well conveyed. As a result, most companies still fail to reveal important aspects of how they handle and secure personal data.
“Despite new regulations in the European Union and other countries, most global internet users still lack basic facts about who can access their personal information under what circumstances, and how to control their collection and use. Some companies have been found to disclose more than is required by law,” as stated in the 2019 RDR Index report.
What kind of data collected and how to stop it
Facebook and other technology companies are basically trying to create a data bank, by taking as much user information in one’s profile. The goal is none other, looking for inspiration for what products are and will be needed by consumers, to have it on target when it’s launched.
Fintech applications are more or less similar. Why can they withdraw funds quickly? because there is digital data made accessible by users to be analyzed by smart machines. Before the FSA intervened, they could access various data such as photo galleries, contact lists, SMS, calendars, cameras, microphones, and others that were actually less relevant to the application function.
Source: Pixabay
Usually, there will be pop-up notifications for various access requests that are unknown or explained after downloading. Unfortunately, if one of the access requests is intentionally denied – applicable to the majority of apps – there will be flaws appeared that interfere with the user experience. Eventually, it forces the user to allow all requested access.
Due to the rise of illegal fintech players and victims, user’s smartphone data access is now limited to only cameras, locations, and microphones. All three are permitted by regulators for legal fintech players.
The way to find out what data is requested by the application is quite easy and available for check. On Google Play, try to check at the bottom of the “About this app” section, there is detailed information related to the application. There will be “App permissions,” and choose to “See more.” There will be a clear statement of access to any information requested by the application.
In general, companies will state privacy policies on their sites at the very bottom. It consists of data they take from users, the purpose of use, and its commitment to protecting user privacy from third parties.
Unfortunately, due to the insignificant location, it often passed the user’s sight. The long arrangement with a small size font only creates more reason for users to not take a look and enjoy reading it. Even though the information conveyed is very important.
Gojek
In the Privacy Policy section, they explain the details of data collected directly from users or their mobile devices, every time they use the application or visit a website, and information collected from third parties.
All the information is listed on the Gojek site. Some of these include name, address, date of birth, occupation, telephone number, fax, e-mail, bank account, credit card details, gender, official identification number, biometric information.
In one of its clauses, Gojek opens the opportunity to withdraw data with reasonable notice in writing. The consequence that users receive is that the account is terminated and cannot use applications or services for the future.
Tokopedia
Tokopedia is no different. They collect data submitted independently by users, unlimited data when filling out surveys on behalf of the company, interacting with other users with message features, product discussions, reviews, ratings, detailed transaction data. Continues, real location data such as IP address, Wi-Fi location, geo-location, cookie data, pixel tags, device data used to access the site, and other data obtained from other sources.
On further exploration, users are not given the freedom to remove data. Tokopedia will store information as long as the user account remains active and can carry out removal in accordance with applicable legal regulations.
Source: Pixabay
Bukalapak
Meanwhile, Bukalapak opens the submission of data removal by attaching valid proof of identity and the reason for the request for removal. Bukalapak is to grant the request if it meets the requirements requested by the company.
Following these three applications can give a clear picture that the existence of this PDP bill is so important to give users full control of their data. Indeed, companies have an obligation to protect users if there is potential for fraud, but don’t data owners have more control over it?
Reflecting on global technology companies, some of them provide features that function to close data access utilized by third parties. Facebook and Google have released it, even though the intensity is still doubtful, but now users are given control to restrict access to their data.
Google (including YouTube)
Google’s main revenue is advertising. Last year’s advertising revenue from YouTube reached $15 billion, more than the combined advertising revenue from three private TV stations in the U.S., namely ABC, NBC, and Fox. Google claims to operate its ad network internally. However, if you want to stop Google from sharing data with its own division, there is a tool for it. This option is called “Ad personalization.” Simply slide the button to turn off the personalization.
Facebook
Whether this company does or doesn’t sell user data, this social media platform gives third parties access to a number of user information. For example, date of birth and email address. Spotify allows you to register as a user if you register through Facebook.
In order to close the access, you just have to go to the Facebook page. Then go to Settings > Apps and Websites. You will find which third parties can access Facebook data, just click which one will be disconnected.
Twitter
Twitter provides options for all users who want to leave custom personalized ads. You do this by going to the Settings and privacy page > Privacy and safety > Personalization and data and the slide button left to turn it off.
Spotify
The music streaming application claims to not so sure whether the way they share data is counted as sales when it refers to regulations in California. However, they provide a tool for users who want to stop Spotify from advertisers by turning off the “Tailored ads” toggle in the Privacy settings page. This tool allows Spotify to use any data from your Facebook account for target ads.
– Original article is in Indonesian, translated by Kristin Siagian
Pemerintah resmi menyerahkan draf rancangan Undang Undang Perlindungan Data Pribadi (PDP) kepada DPR RI. RUU ini akan segera dibahas setelah selesai pembahasan RUU Omnibus Law.
Berdasarkan draf per Desember 2019, RUU PDP memuat 72 pasal dan 15 bab mengatur tentang definisi data pribadi, jenis, hak kepemilikan, pemrosesan, pengecualian, pengendali dan prosesor, pengiriman, lembaga berwenang yang mengatur data pribadi, dan penyelesaian sengketa. Selain itu, mengatur kerja sama internasional hingga sanksi yang dikenakan atas penyalahgunaan data pribadi.
Sembari menunggu beleid disahkan, yang kewenangannya ada di DPR, perlu tahu lebih dalam bagaimana menerjemahkannya dalam keseharian. Apa dampak sebelum dan sesudahnya buat masyarakat awam?
Memahami tipe data menurut draf RUU PDP
Sumber : Pixabay
Draf RUU PDP mendefinisikan data pribadi adalah setiap data tentang seseorang, baik yang teridentifikasi dan dapat diidentifikasi tersendiri atau dikombinasikan dengan informasi lainnya, secara langsung maupun tidak langsung sistem elektronik dan non elektronik.
Jenis data pribadi terbagi dua, yakni data yang bersifat umum dan spesifik. Masuk kategori umum apabila diakses melalui pelayanan publik atau tercantum dalam identitas resmi. Misalnya, nama lengkap, jenis kelamin, kewarganegaraan, agama, dan data pribadi yang harus dikombinasikan sehingga memungkinkan untuk mengidentifikasi seseorang.
Sementara itu, data spesifik adalah data yang bersifat sensitif terhadap keamanan dan kenyamanan kehidupan pemilik data pribadi, yaitu data dan informasi kesehatan, data biometrik, data genetika, orientasi seksual, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai ketentuan perundang-undangan. Untuk mendapatkan data-data tersebut perlu persetujuan dari pemiliknya.
Yang perlu diapresiasi dan perlu diperbaiki
Menurut Direktur Eksekutif SAFEnet Damar Juniarto, RUU PDP mengacu dalam salah satu dasarnya UUD 1945 pasal 28 ayat G yang memuat dasar filosofis dari muara perlindungan data pribadi, yaitu terjaminnya perlindungan diri warga negara.
Oleh karenanya, ada tiga hal yang harus ada dalam RUU PDP. Hak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda; hak atas rasa aman; dan hak atas perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu.
Penilaian yang ia berikan buat isi RUU PDP ini adalah langkah progresif dalam menjamin kepastian atas perlindungan diri warga negara. “SAFEnet menyambut baik kehadiran RUU PDP yang akan segera dibahas di Komisi I DPR RI,” ujar Damar dalam keterangan tertulis.
Sumber : Pixabay
RUU ini, sambungnya, berhasil merumuskan konsep penegakan kedaulatan data; menguraikan daftar lebih panjang dari rancangan April 2019 dalam data pribadi bersifat spesifik; memberikan pengakuan atas hak-hak dasar penting dalam prinsip hak atas privasi seperti perlunya persetujuan warga dalam pengambilan data, hak mengoreksi, dan hak menarik data; mempertegas berapa lama waktu yang harus dilakukan ketika warga menarik datanya; dan memberi sanksi atas pelanggaran.
Di sisi lain, bagian yang perlu diperbaiki, yakni meredupnya isu penting yang selama ini menjadi kecemasan publik, seperti soal profiling, penyadapan illegal oleh lembaga negara dan korporasi, dugaan jual beli data pribadi oleh Lembaga negara, dan diskrimasi sanksi terhadap perseorangan dan korporasi yang melakukan pelanggaran.
“Profiling hanya bisa dihentikan bila ada warga yang mengajukan keberatan seperti termuat dalam pasal 10. Terus terang dalam pandangan SAFEnet ini tidak cukup. Profiling harus termasuk dalam data pribadi bersifat spesifik karena itu perlindungan penting dari upaya pengancaman diri seseorang dan perlindungan hak untuk berbuat atau tidak berbuat sesuatu.”
Penyadapan illegal, maksudnya adalah upaya menarik data pribadi dengan menanam spyware di perangkat smartphone, mengumpulkan data lewat cloud yang tidak diketahui keberadaannya, atau penerapan AI dalam bentuk teknologi facial recognition.
Diskriminasi sanksi hukum yang berbeda, mengancam timbulnya rasa keadilan yang diharapkan oleh masyarakat atas hak privasi. UU ITE yang telah disahkan sejak lebih dari 10 tahun lalu, punya persoalan terkait jumlah warga yang dipidana dan proses pidana saat penegakan hukum dan peradilan yang tidak adil.
“Refleksi atas pelaksanaan hukum digital perlu menjadi pertimbangan dalam menentukan sanksi hukum yang tepat bagi mereka yang melakukan pelanggaran data pribadi.”
Dia memandang, secara umum RUU PDP menyempitkan hak privasi menjadi sebatas perlindungan data pribadi saja. Sehingga apa yang seharusnya bisa menjadi ruang lingkup UU ini mengecil pada persoalan data pribadi. Padahal di zaman sekarang, data erat kaitannya dengan hidup manusia pemiliknya dan bila disalahgunakan akan membahayakan hidup orang tersebut karena rentan mengalami kejahatan.
“Ada hak atas rasa aman yang melekat padanya [RUU PDP]. Oleh karenanya, terasa kental dalam RUU PDP bagaimana pemaknaan data pribadi dianggap hanya sekadar komoditas. Padahal data pribadi bukanlah sekadar komoditas, melainkan menyangkut martabat manusia yang virtual tersebut, yang harus dilindungi dalam RUU PDP ini adalah manusianya, bukan sekadar datanya.”
Apabila disahkan..
Sumber : Pixabay
Apabila beleid ini disahkan, ada kemampuan terbesar yang bisa Anda lakukan terhadap perusahaan yang mengumpulkan data Anda dan kewajiban buat mereka jika Anda meminta untuk menghapusnya. Di balik itu, hak terbesar –atau mungkin paling diperebutkan– yakni kemampuan untuk menghentikan perusahaan untuk menjual data Anda ke pihak lain, seperti pengiklan.
Menjual data adalah hal yang paling menjengkelkan bagi konsumen. Kondisi ini tidak berlaku ketika Anda secara sadar memasukkan foto di akun Facebook, atau memasukkan alamat rumah di aplikasi e-commerce. Beda halnya, jika mereka menguangkannya, sehingga perusahaan lain yang belum pernah Anda kunjungi membuat profil tanpa sepengetahuan atau persetujuan Anda.
Kata “menjual” secara harfiah bukan berarti harus melulu dalam bentuk uang. Jika perusahaan mendapatkan sesuatu atau manfaat lain dari data Anda untuk orang lain. Ini bisa dikategorikan sebagai penjualan. Pengecualian hanya berlaku ketika perusahaan mengirim data ke “penyedia layanan” jika situs e-commerce membagikan nomor kartu kredit Anda dan memroses pembayaran untuk menyelesaikan penjualan.
Isu menjual data begitu sensitif di mata para perusahaan teknologi, apalagi titan seperti Google dan Facebook, terutama saat skandal Cambridge Analytica menghantam Facebook. Data is the new oil.
RUU PDP juga berlaku untuk gedung perkantoran yang kerap meminta data pengunjung dan memfoto wajah. Beleid ini mengakomodasi pengambil data untuk mendeklarasi apa tujuan mereka mengambil data dan menjamin untuk melindunginya. Sebab sering ada kekhawatiran data bisa bocor di mana saja dan kapan saja.
Kepedulian perusahaan global terhadap keamanan data
Laporan yang dibuat Ranking Digital Rights pada tahun lalu bertajuk The 2019 Ranking Digital Rights Corporate Accountability Index, menjadi dasar pengantar untuk membekali kita semua, seberapa peduli perusahaan teknologi global terhadap keamanan data para penggunanya.
Dari sekian perusahaan yang disurvei, ada beberapa hadir di Indonesia, sehingga lebih kurang laporan ini punya korelasi. Disebutkan dari 24 perusahaan teknologi dan telekomunikasi global tersohor, Microsoft menempati posisi pertama, disusul Google dan Verizon Media. Lalu, dari perusahaan telekomunikasi adalah Telefonica, Vodafone, dan AT&T.
Dari 35 indikator untuk 24 perusahaan yang dievaluasi, memeriksa soal komitmen, kebijakan, dan praktik yang memengaruhi kebebasan berekspresi dan privasi, termasuk tata kelola perusahaan dan mekanisme akuntabilitas. Skor indeks ini mewakili sejauh mana perusahaan memenuhi standar minimum. Ada beberapa perusahaan yang mendapat skor di atas 50 (dari skala 100).
Secara keseluruhan ada beberapa kemajuan, meski tetap menyisakan masalah sejak Indeks ini dirilis pada 2015. Adalah semua orang masih kekurangan informasi dasar tentang siapa yang mengendalikan kemampuan mereka untuk terhubung, berbicara online, atau mengakses informasi, atau yang memiliki kemampuan untuk mengakses informasi pribadi mereka dalam keadaan apa.
Tindakan dari pemerintah di sejumlah negara cukup responsif dengan menerbitkan berbagai regulasi pendukung. Langkah sebaliknya dari perusahaan untuk mengambil langkah tegas belum tersampaikan dengan baik dalam menghormati hak-hak pengguna. Alhasil sebagian besar perusahaan masih gagal mengungkapkan aspek-aspek penting bagaimana mereka menangani dan mengamankan data pribadi.
“Meskipun ada peraturan baru di Uni Eropa dan negara lainnya, sebagian besar pengguna internet di dunia masih kekurangan fakta dasar tentang siapa yang dapat mengakses informasi pribadi mereka dalam keadaan apa, dan bagaimana mengontrol pengumpulan dan penggunaannya. Beberapa perusahaan ditemukan mengungkapkan lebih dari yang dipersyaratkan oleh hokum,” tulis laporan RDR Index 2019.
Data apa saja yang dikumpulkan dan cara menghentikan
Facebook dan perusahaan teknologi lainnya pada dasarnya berupaya untuk membuat bank data, dengan mengambil informasi sebanyak-banyaknya pengguna untuk bisa melihat profil seseorang. Tujuannya tak lain, mencari inspirasi produk apa yang sedang dan bakal dibutuhkan konsumen, agar saat diluncurkan nanti tepat sasaran.
Bagi aplikasi fintech pun kurang lebih mirip. Kenapa mereka bisa mencairkan dana dengan cepat? karena ada data digital yang aksesnya dibuka oleh pengguna untuk dianalisis oleh mesin pintar. Sebelum OJK turun tangan, mereka bisa mengakses berbagai data seperti galeri foto, daftar kontak, SMS, kalender, kamera, mikrofon, dan lainnya yang sebenarnya kurang relevan dengan fungsi aplikasi itu sendiri.
Sumber : Pixabay
Setelah mengunduh, biasanya akan muncul pop up notifikasi berbagai permintaan akses yang tanpa diketahui atau dijelaskan mengapa mereka meminta akses tersebut. Celakanya, jika ada salah satu permintaan akses tersebut sengaja ditolak –berlaku untuk mayoritas aplikasi–muncul kecacatan fitur yang menganggu pengalaman pengguna. Akhirnya memaksa pengguna untuk memberikan semua akses yang diminta.
Karena muncul pemain fintech illegal dan korban yang berjatuhan, akhirnya pemberian akses data smartphone pengguna kini dibatasi hanya kamera, lokasi, dan mikrofon. Ketiganya adalah akses yang diperbolehkan oleh regulator buat para buat pemain fintech yang legal.
Cara mengetahui data apa saja yang diminta oleh aplikasi sebenarnya cukup mudah dan bisa dicek sendiri. Di Google Play, di dalam bagian “About this app” coba cek di bagian terbawah ada informasi detail terkait aplikasi tersebut. Akan ada tulisan “App permissions,” lalu pilih “See more.” Di sana akan terpapar jelas akses informasi apa saja yang diminta oleh aplikasi.
Umumnya juga, perusahaan mencantumkan dalam situsnya di bagian paling bawah mengenai kebijakan privasi. Berisi data-data apa saja yang mereka ambil dari pengguna, lalu menjelaskan tujuan penggunaan, dan komitmennya menjaga privasi pengguna dari pihak ketiga.
Sialnya karena diletakkan paling bawah, tidak menjadi sorotan pengguna. Susunannya yang panjang dengan ukuran yang kecil, menambah alasan buat pengguna untuk semakin tidak tertarik untuk membaca sampai selesai. Padahal informasi yang disampaikan begitu penting isinya.
Gojek
Di bagian Kebijakan Privasi mereka menjelaskan rincian data-data yang dikumpulkan langsung dari pengguna atau perangkat selulernya, setiap kali menggunakan aplikasi atau mengunjungi situs web, dan informasi yang dikumpulkan dari pihak ketiga.
Seluruh detail informasi data dicantumkan dalam situs Gojek. Beberapa di antaranya nama, alamat, tanggal lahir, pekerjaan, nomor telepon, faks, e-mail, rekening bank, detail kartu kredit, jenis kelamin, nomor identifikasi resmi, informasi biometrik.
Dalam salah satu klausulnya, Gojek membuka kesempatan untuk menarik data dengan pemberitahuan wajar secara tertulis. Konsekuensi yang diterima pengguna adalah akun dihentikan dan tidak bisa menggunakan aplikasi atau layanan untuk masa depan.
Tokopedia
Tokopedia juga tidak jauh berbeda. Mereka mengumpulkan data-data yang diserahkan secara mandiri oleh pengguna, tidak terbatas data saat mengisi survei atas nama perusahaan, melakukan interaksi dengan pengguna lainnya dengan fitur pesan, diskusi produk, ulasan, rating, data transaksi yang detail. Berlanjut, data lokasi riil seperti alamat IP, lokasi Wi-Fi, geo location, data cookies, pixel tags, data perangkat yang digunakan untuk mengakses situs, dan data lainnya yang diperoleh dari sumber lain.
Saat ditelusuri lebih jauh, pengguna tidak diberi kebebasan untuk untuk menghapus data. Tokopedia akan menyimpan informasi selama akun pengguna tetap aktif dan dapat melakukan penghapusan sesuai dengan ketentuan peraturan hukum yang berlaku.
Sumber : Pixabay
Bukalapak
Sementara itu, Bukalapak membuka pengajuan penghapusan data dengan melampirkan bukti diri yang sah dan alasan permintaan penghapusan. Bukalapak akan mengabulkan permintaan tersebut jika memenuhi ketentuan yang diminta perusahaan.
Mencontoh dari tiga aplikasi ini saja bisa memberi gambaran jelas bahwa keberadaan RUU PDP ini begitu penting untuk mengembalikan pengguna kontrol penuh terhadap data mereka. Memang, perusahaan punya kewajiban untuk melindungi pengguna apabila ada potensi penipuan, tapi bukankah pemilik data punya kontrol lebih untuk itu?.
Berkaca pada perusahaan teknologi global, beberapa dari mereka menyediakan fitur yang berfungsi untuk menutup akses data dimanfaatkan oleh pihak ketiga. Facebook dan Google sudah merilisnya, meskipun masih disangsikan intensinya, tapi kini pengguna diberi kontrol untuk membatasi akses data mereka.
Google (termasuk YouTube)
Revenue utama Google adalah iklan. Pendapatan iklan dari YouTube pada tahun lalu mencapai $15 miliar, lebih dari pendapatan iklan gabungan dari tiga stasiun TV swasta di A.S, yakni ABC, NBC, dan Fox. Google mengklaim mengoperasikan jaringan iklannya secara internal. Namun, jika Anda ingin menghentikan Google berbagi data dengan divisinya sendiri, ada tool yang siapkan. Opsi ini disebut “Ad personalization.” Cukup geser slide agar personalisasi tersebut dimatikan.
Facebook
Entah perusahaan ini benar atau tidak menjual data pengguna, platform media sosial ini memberi akses kepada pihak ketiga untuk mengakses sejumlah informasi pengguna. Misalnya, tanggal lahir dan alamat email. Spotify memungkinkan Anda untuk mendaftar sebagai penggunanya, jika mendaftar melalui Facebook.
Untuk menutup akses tersebut, Anda cukup masuk ke laman Facebook. Lalu masuk ke Settings > Apps and Websites. Di dalam situ, Anda akan melihat pihak ketiga mana saja yang bisa mengakses data Facebook, cukup klik mana saja yang akan diputus.
Twitter
Twitter menyediakan opsi buat semua pengguna yang ingin keluar dari iklan yang sudah dipersonalisasi berdasarkan kebiasaan. Caranya dengan masuk ke laman Settings and privacy > Privacy and safety > Personalization and data dan slide tombolnya kekiri untuk mematikannya.
Spotify
Aplikasi streaming musik ini mengaku tidak begitu yakin apakah cara berbagi data yang mereka lakukan apakah dihitung sebagai penjualan, jika mengacu pada regulasi di California. Akan tetapi, mereka menyediakan tool untuk pengguna yang ingin menghentikan Spotify dari pengiklan dengan mematikan toggle “Tailored ads” di dalam laman pengaturan Privasi. Tool ini memungkinkan Spotify untuk menggunakan data apapun dari akun Facebook Anda untuk menargetkan iklan kepada Anda.
