Chiwa ID

Data & Security

Dokumen ini akan menjelaskan bagaimana Chiwa Pay melindungi data Anda, bagaimana Anda harus bertanggung-jawab atas data Anda dan kewajiban atas data yang Anda miliki di Chiwa Pay.

  1. 01

    Keamanan Infrastruktur

    Layanan Chiwa Pay dijalankan menggunakan infrastruktur yang dirancang untuk mendukung keamanan, ketersediaan, dan keandalan sistem.

    Kontrol keamanan yang diterapkan dapat mencakup:

    • Enkripsi data saat transmisi menggunakan protokol yang aman.
    • Kontrol akses berbasis peran (role-based access control).
    • Pemantauan aktivitas sistem dan log operasional.
    • Segmentasi layanan dan pembatasan akses internal.
    • Backup dan prosedur pemulihan layanan.
    • Pembaruan keamanan dan pemeliharaan sistem secara berkala.
  2. 02

    Keamanan Akun

    Keamanan akun merupakan tanggung jawab bersama antara Chiwa Pay dan pengguna.

    Untuk membantu melindungi akun Anda:

    • Gunakan password yang kuat dan unik.
    • Jangan membagikan OTP kepada siapa pun.
    • Batasi akses dashboard hanya kepada pihak yang memerlukannya.
    • Tinjau akses pengguna secara berkala.
    • Segera cabut akses yang tidak lagi digunakan.

    Kami dapat meminta verifikasi tambahan sebelum memproses perubahan data sensitif, termasuk perubahan rekening pencairan, pemulihan akun, atau perubahan kontak utama.

  3. 03

    Keamanan API

    Merchant yang menggunakan API bertanggung jawab menjaga keamanan integrasi yang dibangun.

    Praktik yang direkomendasikan:

    • Simpan API key dan webhook secret pada server yang aman.
    • Jangan menempatkan kredensial pada aplikasi frontend atau repository publik.
    • Validasi signature pada setiap webhook yang diterima.
    • Verifikasi status transaksi melalui API sebelum memproses pesanan.
    • Terapkan mekanisme idempotency untuk mencegah pemrosesan transaksi ganda.
    • Rotasi kredensial secara berkala apabila diperlukan.

    Apabila ditemukan indikasi kebocoran kredensial atau penyalahgunaan akses, Chiwa Pay dapat membatasi atau menonaktifkan kredensial terkait untuk melindungi sistem dan pengguna.

  4. 04

    Validasi Transaksi

    Setiap transaksi harus divalidasi berdasarkan status transaksi yang tersedia melalui dashboard, API, atau webhook.

    Sebelum menyerahkan produk atau layanan kepada pelanggan, pastikan:

    • Status transaksi telah berhasil diproses.
    • Nominal pembayaran sesuai dengan nilai transaksi.
    • Reference ID sesuai dengan transaksi yang dimaksud.
    • Tidak terdapat indikasi duplikasi atau anomali transaksi.

    Jangan menggunakan notifikasi pembayaran dari pelanggan sebagai satu-satunya dasar verifikasi transaksi.

  5. 05

    Pemantauan Risiko

    Chiwa Pay melakukan pemantauan terhadap aktivitas akun dan transaksi untuk mendeteksi pola yang dapat menunjukkan risiko operasional, penyalahgunaan layanan, atau aktivitas yang tidak wajar.

    Tindakan yang dapat dilakukan meliputi:

    • Review transaksi tertentu.
    • Permintaan klarifikasi atau dokumen tambahan.
    • Pembatasan sementara fitur tertentu.
    • Penundaan settlement.
    • Penolakan transaksi yang mengandung risiko tinggi.

    Langkah tersebut dilakukan berdasarkan hasil evaluasi risiko dan kebutuhan kepatuhan yang berlaku.

  6. 06

    Penanganan Insiden Keamanan

    Apabila Anda menduga terjadi akses tidak sah, kebocoran kredensial, atau aktivitas yang tidak dikenal pada akun Anda:

    1. Segera ubah password dan kredensial yang terdampak.
    2. Nonaktifkan atau rotasi API key dan webhook secret yang terkait.
    3. Tinjau aktivitas terbaru pada sistem Anda.
    4. Hubungi tim dukungan Chiwa Pay sesegera mungkin.

    Semakin cepat insiden dilaporkan, semakin cepat tindakan mitigasi dapat dilakukan.

  7. 07

    Tanggung Jawab Merchant

    Merchant bertanggung jawab atas keamanan sistem, aplikasi, server, perangkat, dan proses operasional yang berada di bawah kendalinya.

    Hal ini mencakup:

    • Pengelolaan akses internal.
    • Keamanan aplikasi dan server.
    • Penyimpanan kredensial.
    • Validasi transaksi.
    • Rekonsiliasi data transaksi.
    • Kepatuhan terhadap standar keamanan yang relevan bagi bisnis Merchant.

    Kesalahan konfigurasi, implementasi integrasi yang tidak sesuai dokumentasi, atau kegagalan menjaga keamanan sistem internal Merchant dapat meningkatkan risiko transaksi tidak sah dan gangguan operasional.

  8. 08

    Pelaporan Kerentanan

    Apabila Anda menemukan kerentanan keamanan atau perilaku sistem yang berpotensi memengaruhi keamanan layanan, buat ticket melalui form support Chiwa Pay dengan subject Laporan Kerentanan - [ringkasan singkat].

    Sertakan informasi yang relevan, termasuk langkah reproduksi, URL atau endpoint terkait, waktu kejadian, dampak yang teridentifikasi, dan bukti pendukung yang tersedia. Tim support akan meneruskan laporan ke tim teknis untuk ditinjau.

    Jangan melakukan eksploitasi, pengambilan data, eskalasi akses, atau pengujian yang dapat mengganggu layanan maupun pengguna lain. Jangan mengirim password, OTP, API key penuh, data pribadi pelanggan, atau rahasia produksi yang tidak diperlukan.