Keamanan & Perjanjian Pemrosesan Data
Berlaku efektif: 15 Juli 2026
Halaman ini dikelola oleh HRD-X Indonesia untuk menjelaskan kontrol keamanan yang aktif pada platform serta komitmen kami sebagai prosesor data. Halaman ini bukan sertifikasi independen; untuk kebutuhan audit formal, hubungi tim kami.
1. Arsitektur & Isolasi Tenant
- Setiap perusahaan pelanggan memiliki tenant_id unik.
- Isolasi data diberlakukan di level basis data menggunakan Row-Level Security (RLS) sehingga admin perusahaan A tidak dapat melihat data perusahaan B — termasuk saat mengakses URL secara langsung.
- Aplikasi karyawan (Connect) hanya melihat data karyawan yang bersangkutan pada tenant yang aktif.
2. Enkripsi
- In transit: seluruh trafik antara peramban dan server menggunakan TLS 1.2+.
- At rest: basis data dan penyimpanan berkas dienkripsi oleh penyedia infrastruktur cloud yang kami gunakan.
- Kredensial pihak ketiga (secret) disimpan dalam secret store terenkripsi, tidak pernah masuk ke repositori kode.
3. Autentikasi & Kontrol Akses
- Autentikasi berbasis email/password (dengan konfirmasi email) dan Google OAuth.
- Peran pengguna dikelola pada tabel terpisah (
user_roles) dengan pemeriksaan menggunakan fungsi security-definer, sehingga aman dari eskalasi hak akses melalui klien. - Halaman Pemilik Sistem dilindungi berlapis: filter menu, penjaga rute, pemeriksaan pada server function, dan pembatasan eksekusi pada level basis data.
4. Audit Log
- Tindakan sensitif (perubahan role, keputusan approval, ekspor payroll, klaim tenant) dicatat pada tabel audit.
- Log dapat dilihat oleh admin sistem pelanggan dan disimpan hingga 2 tahun.
5. Ketersediaan & Cadangan
- Basis data direplikasi dan dicadangkan otomatis oleh penyedia infrastruktur cloud kami.
- Halaman Status Sistem menampilkan pemeriksaan kesehatan basis data dan autentikasi secara real-time.
6. Manajemen Insiden
- Kesalahan aplikasi dipantau melalui Sentry untuk mendeteksi anomali secara dini.
- Dalam hal insiden yang berdampak pada data pribadi, kami akan memberitahu pelanggan tanpa penundaan yang tidak wajar, dan paling lambat 3×24 jam sejak insiden diketahui, sesuai Pasal 46 UU PDP.
- Laporan kerentanan dapat dikirim ke security@hrdx.app.
7. Perjanjian Pemrosesan Data (DPA) — Poin Utama
Ketika kami memproses data karyawan atas nama pelanggan, kami berkomitmen untuk:
- Memproses data hanya sesuai instruksi tertulis pelanggan dan untuk menyediakan layanan.
- Memastikan personel yang mengakses data terikat kewajiban kerahasiaan.
- Menggunakan subprosesor hanya setelah melakukan uji tuntas keamanan yang memadai.
- Membantu pelanggan menanggapi permintaan subjek data sesuai UU PDP.
- Menghapus atau mengembalikan data setelah kontrak berakhir sesuai jadwal retensi.
DPA lengkap tersedia bagi pelanggan enterprise atas permintaan ke legal@hrdx.app.
8. Subprosesor
Kami menggunakan penyedia infrastruktur cloud tepercaya untuk hosting basis data, autentikasi, penyimpanan berkas, dan pemantauan error. Daftar terperinci diberikan kepada pelanggan enterprise sebagai lampiran DPA, dan pelanggan akan diberi tahu apabila terjadi perubahan material pada daftar subprosesor.
9. Sertifikasi
Platform ini belum memiliki sertifikasi ISO 27001 atau SOC 2 pihak ketiga. Kami menerapkan kontrol yang selaras dengan praktik industri dan dapat menyediakan kuesioner keamanan atas permintaan.
10. Kontak
Keamanan: security@hrdx.app · DPO: dpo@hrdx.app