SECURITY · UU PDP-AWARE

Keamanan data nomor 1 di TavKreatif.

Kami serius soal keamanan, bukan cuma slogan. Kami kelola data sesuai UU PDP 27/2022, dengan enkripsi in-transit & at-rest, isolasi data antar-brand, kontrol akses berbasis peran, dan audit log workspace.

UU PDP 27/2022·ENKRIPSI IN-TRANSIT & AT-REST·SECURITY@TAVKREATIF.ID
[ COMPLIANCE & CERTIFICATION ]

Komitmen privasi & kepatuhan.

Kami transparan soal apa yang sudah kami terapkan, ditulis apa adanya, tanpa janji sertifikat yang belum kami punya.

UU PDP 27/2022

COMPLIANT

UU Perlindungan Data Pribadi Indonesia. Sudah disahkan oleh Kominfo. Wajib untuk semua SaaS yang handle PII warga Indonesia.

GDPR Aligned

ALIGNED

Selaras dengan prinsip GDPR Eropa. Untuk customer Eropa atau yang punya cabang Eropa. DPA tersedia atas permintaan.

[ 6 PILAR KEAMANAN ]

6 layer defense in depth.

Bukan satu layer firewall doang, security TavKreatif berlapis dari encryption, akses, audit, network, sampai vulnerability scan.

PILAR 1 · ENCRYPTION

Encryption at-rest

Data di Postgres (Supabase) & object storage (Cloudflare R2) dienkripsi at-rest pakai AES-256 — standar bawaan kedua penyedia. Kunci enkripsi dikelola di sisi penyedia, terpisah dari aplikasi. Kalau disk fisik dicuri, data tetap tak terbaca.

  • AES-256 at-rest (R2 + Postgres)
  • Kunci dikelola penyedia (Cloudflare/Supabase)
  • Disk terenkripsi penuh
PILAR 2 · ENCRYPTION

Encryption in-transit

Semua koneksi browser ↔ server lewat HTTPS/TLS. HSTS aktif, sertifikat di-issue & auto-renew otomatis lewat Let's Encrypt (via Caddy). Tidak ada lalu lintas plaintext.

  • HTTPS/TLS di semua koneksi
  • HSTS aktif
  • Sertifikat auto-renew (Let's Encrypt)
PILAR 3 · ACCESS

Access control (RBAC + 2FA)

Role hierarki granular (Owner, Admin, Manager, sampai Client Viewer & Kolaborator Eksternal) dengan izin per-modul. 2FA (TOTP) tersedia untuk semua user; panel super-admin internal wajib 2FA. SSO/SAML direncanakan untuk Enterprise.

  • RBAC granular per-modul
  • 2FA TOTP (Google/Authy)
  • Akses per-brand (isolasi data)
PILAR 4 · AUDIT

Audit logging

Aksi penting dicatat ke audit log workspace dengan timestamp, tipe aksi, aktor, dan target. Bisa di-export CSV kapan saja. Log tidak bisa diedit atau dihapus dari aplikasi.

  • Timestamp + aktor + target
  • Export CSV kapan saja
  • Tak bisa diedit/hapus dari app
PILAR 5 · NETWORK

Network isolation

Database Supabase managed dengan akses jaringan dibatasi — tidak diekspos sembarangan ke internet. Aplikasi berjalan di balik reverse-proxy Caddy. Endpoint publik & sensitif dibatasi rate-limit per IP / per user.

  • Akses DB dibatasi (managed Supabase)
  • Reverse-proxy Caddy + HTTPS
  • Rate-limit per IP/user di endpoint publik
PILAR 6 · VULNERABILITY

Vulnerability scan

Tiap commit lewat pipeline CI(type-check, lint, test) sebelum di-deploy otomatis. Dependency dipantau lewat GitHub & di-patch berkala.

  • CI: type-check + lint + test tiap commit
  • Build otomatis sebelum deploy
  • Dependency di-patch berkala
[ INFRASTRUKTUR ]

Data kamu dijaga & terenkripsi.

Aplikasi & database kami hosting di region Singapura, dengan enkripsi in-transit & at-rest dan isolasi data antar-brand. Kami kelola data sesuai prinsip UU PDP.

Stack yang kami pakai.

Kami pakai penyedia infrastruktur tepercaya dengan sertifikasi keamanan mereka sendiri. Untuk transfer keluar Indonesia berlaku Standard Contractual Clauses (SCC) sesuai UU PDP.

  • Hosting · Tencent Cloud (Singapura), via Coolify, container terisolasi, deploy otomatis.
  • Database · Supabase (Singapura), PostgreSQL managed dengan akses jaringan dibatasi.
  • File & CDN · Cloudflare R2, aset terenkripsi at-rest, edge global.
  • Enkripsi menyeluruh, in-transit (TLS) & at-rest. PII di-masking saat dikirim ke gateway AI (Sumopod).
[ INCIDENT RESPONSE SLA ]

Kalau ada insiden, begini timeline kami.

SLA insiden security & data breach. Jangan tunggu wartawan yang kabarin, kami yang notify kamu duluan, dalam 72 jam (sesuai UU PDP).

1DETEKSI

Detection

Error monitoring + uptime check otomatis. Begitu ada anomali atau laporan masuk, langsung ditangani.

272 JAM

First Notification

Kalau insiden involves data pribadi, notify customer + Kominfo dalam 72 jam (UU PDP Pasal 46). Email + dashboard banner + status page update.

37 HARI

Initial Report

Laporan awal berisi scope, jumlah user terdampak, jenis data, dan langkah mitigasi yang sudah diambil. Update lanjutan dikirim ke semua yang terdampak.

430 HARI

Post-mortem

Full root cause analysis, timeline, dan corrective action. Public post-mortem (tanpa PII) dipublish di blog. Internal review & process improvement.

[ SUBPROCESSORS ]

Vendor yang kami pakai, transparent.

Subprocessor adalah pihak ketiga yang punya akses terbatas ke data customer untuk menjalankan layanan. Berikut subprocessor utama yang kami pakai.

VENDOR / PROVIDER
PURPOSE / SCOPE
DATA LOCATION
Mayar
Payment gateway, process kartu kredit, VA, e-wallet, QRIS. PII customer (nama, email) untuk billing.
Indonesia · Jakarta
Cloudflare
Object storage (R2) + CDN edge. Menyimpan file & aset workspace, terenkripsi at-rest.
USA · Edge Global
Sumopod
Gateway AI (inference). Prompt user dikirim dengan PII masking; tanpa dipakai untuk training model.
Indonesia
Google (Drive API)
Drive integration via OAuth. User secara explicit grant access. Kami hanya read file metadata, tidak isi konten.
Multi-region
Supabase
Database (PostgreSQL) managed. Menyimpan seluruh data workspace, terenkripsi at-rest.
Singapura
Tencent Cloud
Hosting server aplikasi (via Coolify). Data diproses saat aplikasi berjalan.
Singapura

Responsible Disclosure, nemu bug? Kabarin kami.

Kami sangat menghargai security researcher yang lapor secara responsible. Kirim temuan ke security@tavkreatif.id, kami balas & tindak lanjuti secepatnya, dan kasih credit dengan izinmu.

Lapor Bug
INFO KEAMANAN

Butuh detail keamanan buat tim procurement?

Kami senang bantu, kirim pertanyaan keamanan, minta DPA, atau ringkasan praktik keamanan kami. Cocok buat tim procurement / legal sebelum mulai.