Keamanan adalah bagian inti dari cara Motict dibangun, bukan sekadar tambahan. Kami memproses percakapan pelanggan, data kontak bisnis, dan alur pesan WhatsApp atas nama ratusan bisnis Indonesia dan Asia Tenggara, dan kami mengemban tanggung jawab tersebut dengan serius. Platform kami dirancang dengan prinsip keamanan berlapis (defense-in-depth) untuk melindungi kerahasiaan, integritas, dan ketersediaan data pelanggan di setiap lapisan platform.
Halaman ini menjelaskan kontrol teknis dan organisasi yang Motict terapkan. Kami meninjau dan memperbarui program keamanan kami secara berkesinambungan seiring dengan perkembangan lanskap ancaman siber. Jika Anda adalah pelanggan enterprise dengan persyaratan keamanan khusus atau ingin melakukan penilaian vendor, silakan hubungi kami di admin@motict.com.
Setiap koneksi antara pengguna akhir, aplikasi web Motict, klien mobile, dan endpoint API kami dienkripsi menggunakan Transport Layer Security (TLS) 1.2 atau lebih tinggi. Kami menerapkan HTTPS di semua permukaan yang menghadap publik, dan koneksi HTTP secara otomatis dialihkan ke HTTPS. Konfigurasi TLS kami ditinjau secara berkala sesuai dengan rekomendasi OWASP terkini, dan kami menonaktifkan cipher suite serta protokol yang sudah usang secara proaktif.
Semua data pelanggan yang tersimpan di database terkelola, penyimpanan objek, dan volume penyimpanan blok penyedia infrastruktur cloud kami dienkripsi saat disimpan menggunakan enkripsi AES-256. Backup database dienkripsi menggunakan standar yang sama. Kunci enkripsi dikelola melalui infrastruktur manajemen kunci penyedia cloud kami, dengan akses ke manajemen kunci dibatasi hanya untuk insinyur platform Motict yang berwenang.
Percakapan WhatsApp Business API diproses melalui koneksi terenkripsi sesuai standar penyedia layanan pesan. Motict tidak mendekripsi konten pesan kecuali diperlukan untuk menyediakan fitur layanan yang diminta oleh pelanggan, seperti analitik berbasis konten atau pemrosesan agen AI, yang hanya dilakukan berdasarkan instruksi dan otorisasi eksplisit dari pelanggan.
Motict menerapkan prinsip least-privilege (hak akses minimum) di semua sistem. Hak akses diberikan berdasarkan kebutuhan dan ditinjau setiap kuartal. Semua akses sistem produksi oleh karyawan Motict memerlukan autentikasi multi-faktor (MFA), dan akses database langsung dari workstation pengembang dilarang di lingkungan produksi — semua perubahan mengalir melalui pipeline deployment yang telah ditinjau.
Untuk akses yang menghadap pelanggan, Motict mendukung autentikasi email/kata sandi dengan penegakan kata sandi kuat yang wajib, dan menawarkan autentikasi dua faktor (2FA) berbasis TOTP untuk semua pengguna akun. Paket enterprise mencakup dukungan untuk Single Sign-On (SSO) melalui SAML 2.0, memungkinkan pelanggan untuk menerapkan kebijakan autentikasi mereka sendiri termasuk persyaratan MFA korporat.
Kontrol akses berbasis peran (RBAC) membatasi akses berdasarkan fungsi jabatan, memastikan setiap pengguna hanya dapat mengakses data dan fitur yang relevan dengan peran mereka. Semua peristiwa autentikasi dan tindakan akses istimewa dicatat dalam log audit yang tahan terhadap pemalsuan dan dipertahankan selama 12 bulan.
Lingkungan produksi Motict berjalan secara eksklusif di infrastruktur cloud bersertifikat ISO/IEC 27001:2013 dan attestasi SOC 2 Type II di kawasan Singapura (SGP1). Seluruh infrastruktur disediakan dan dikelola sebagai kode (Infrastructure as Code/IaC) menggunakan konfigurasi yang dikontrol versi untuk memastikan konsistensi dan kemampuan audit.
Arsitektur jaringan kami memisahkan lingkungan produksi, staging, dan pengembangan, tanpa konektivitas jaringan langsung di antara keduanya. Server produksi tidak dapat diakses langsung dari internet publik; semua akses masuk diproksikan melalui load balancer dengan aturan web application firewall (WAF), dan semua lalu lintas keluar tunduk pada kontrol egress firewall. Backup otomatis dilakukan setiap hari dengan enkripsi penuh.
Pemindaian kerentanan otomatis dilakukan secara berkala terhadap semua infrastruktur yang berjalan. Setiap kerentanan yang ditemukan dikategorikan berdasarkan tingkat keparahannya dan ditangani sesuai dengan prosedur manajemen kerentanan yang terdokumentasi. Pengujian penetrasi eksternal dilakukan setidaknya satu kali per tahun oleh pihak ketiga yang independen.
Tim keamanan Motict memantau infrastruktur 24/7 menggunakan sistem deteksi intrusi otomatis dengan peringatan untuk aktivitas anomali, degradasi layanan, dan potensi kejadian keamanan. Semua log aplikasi dan infrastruktur dipusatkan, dapat dicari, dan dipertahankan selama 12 bulan. Tim keamanan kami meninjau peringatan secara berkelanjutan, dengan insinyur on-call yang bertanggung jawab merespons insiden kritis kapan saja.
Insiden dikategorikan P1 hingga P4 berdasarkan dampak dan urgensinya. Kami memelihara Rencana Respons Insiden (IRP) yang terdokumentasi yang mendefinisikan klasifikasi keparahan, prosedur eskalasi, tanggung jawab komunikasi, dan persyaratan peninjauan pasca insiden. Laporan pasca insiden diproduksi untuk semua insiden dengan tingkat keparahan P1.
Dalam hal terjadi pelanggaran data pribadi yang telah dikonfirmasi, Motict akan memberitahu otoritas pengawas Indonesia yang relevan (Kementerian Komunikasi dan Digital) dalam 72 jam sebagaimana diwajibkan oleh UU PDP No. 27/2023, dan akan memberitahu pelanggan yang terdampak sesegera mungkin. Kami berkomitmen untuk transparansi penuh dalam penanganan setiap insiden keamanan.
Program kepatuhan Motict berlandaskan pada hukum Indonesia dan persyaratan regulasi yang berlaku bagi penyelenggara sistem elektronik di Indonesia. Kami beroperasi sesuai dengan UU ITE No. 11/2008 (sebagaimana diubah pada 2016 dan 2024), PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, serta UU PDP No. 27/2023 (Undang-Undang Perlindungan Data Pribadi Indonesia, berlaku efektif Oktober 2024).
Sebagai implementer WhatsApp Business API, Motict mematuhi Kebijakan Bisnis WhatsApp Business API dan persyaratan keamanan data yang berlaku. Kami telah mengeksekusi Perjanjian Pemrosesan Data (DPA) dengan penyedia platform pesan kami yang mencakup pemrosesan data pesan WhatsApp Business API. Pelanggan yang memerlukan DPA Motict untuk pemenuhan kewajiban UU PDP mereka sendiri dapat memintanya melalui admin@motict.com.
Kami juga mengikuti standar industri PDPA Singapura untuk operasi regional di kawasan Asia Tenggara, memastikan konsistensi perlindungan data di seluruh wilayah operasional kami. Program kepatuhan kami ditinjau secara tahunan dan diperbarui sesuai dengan perkembangan regulasi yang relevan.
Sebelum melakukan onboarding vendor pihak ketiga atau subprosesor mana pun yang akan mengakses atau memproses data pelanggan, Motict melakukan tinjauan uji tuntas keamanan dan privasi. Tinjauan ini menilai sertifikasi keamanan vendor, praktik penanganan data, riwayat pelanggaran, dan kesediaan kontraktual untuk mengeksekusi Perjanjian Pemrosesan Data dengan kewajiban perlindungan data yang memadai.
Perjanjian pemrosesan data (DPA) diwajibkan dari semua subprosesor sebelum mereka diizinkan memproses data pelanggan. Vendor utama yang kami gunakan mencakup penyedia infrastruktur cloud di kawasan Asia Tenggara, penyedia layanan WhatsApp Business API, penyedia layanan analitik web, dan penyedia suite produktivitas — semuanya tunduk pada standar keamanan yang setara dengan yang kami terapkan pada sistem kami sendiri.
Kami memelihara daftar subprosesor terkini dan memperbaruinya seiring perubahan hubungan vendor kami. Pelanggan diberitahu tentang perubahan material pada subprosesor dengan pemberitahuan minimal 30 hari sebelumnya, memberikan kesempatan untuk mengajukan keberatan. Semua subprosesor tunduk pada hak audit kontraktual dan wajib memperbarui sertifikasi keamanan mereka secara berkala.
Motict menghargai komunitas penelitian keamanan dan berkomitmen untuk bekerja sama dengan peneliti yang mengidentifikasi dan mengungkapkan kerentanan keamanan dalam platform kami secara bertanggung jawab. Jika Anda telah menemukan potensi masalah keamanan dalam aplikasi web, API, atau infrastruktur Motict, harap segera beri tahu kami agar kami dapat menyelidiki dan mengatasinya.
Harap kirimkan laporan kerentanan ke admin@motict.com dengan baris subjek "Security Vulnerability Report". Sertakan deskripsi yang jelas tentang kerentanan, langkah-langkah untuk mereproduksinya, dan penilaian Anda tentang potensi dampaknya. Kami akan mengakui laporan Anda dalam 48 jam dan bertujuan untuk memberikan penilaian awal dalam 5 hari kerja.
Kami meminta Anda untuk memberikan kami jangka waktu remediasi yang wajar — biasanya 90 hari untuk masalah yang kompleks — sebelum pengungkapan publik apa pun. Kami berkomitmen untuk menangani setiap laporan kerentanan dengan serius, menghargai kontribusi komunitas keamanan, dan akan mengakui kontribusi Anda secara publik apabila Anda menginginkan hal tersebut setelah masalah berhasil diselesaikan.