Integrasi UU PDP pada Secure Software Development Life Cycle (Secure SDLC)

oleh Fendi Tahir Daeng Lewa, Syaiful Andy

Pendahuluan

Privasi data telah menjadi perhatian utama di era internet, terutama dengan meningkatnya jumlah data pribadi yang dihasilkan dan dibagikan secara online. Pada Januari 2023, sebanyak 60,6% dari total populasi dunia menggunakan media sosial seperti Facebook, YouTube, WhatsApp, dan Instagram sebagai platform paling popular [1]. Di Indonesia sendiri ada banyak sekali aplikasi yang menggunakan data pribadi penggunanya, sebagai contoh aplikasi buatan Smart City kota Jakarta yaitu JAKI yang memungkinkan warga melaporkan masalah publik dengan tetap memprioritaskan prinsip Privacy by Design untuk menjaga kepercayaan dan pelindungan data pribadi warga. Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) memberikan pelindungan privasi sebagai hak asasi manusia di Indonesia. UU PDP mengatur pengolahan data pribadi menjadi dua kategori, data spesifik dan data umum. Dalam konteks pelindungan data pribadi, UU PDP menguraikan tiga elemen utama yang terlibat, yaitu:

1. Pengendali Data Pribadi: Merujuk kepada individu (orang perseorangan atau badan hukum), badan publik, dan organisasi internasional yang bertindak sendiri atau bersama-sama untuk menentukan tujuan dan mengendalikan proses pemrosesan data pribadi.

2. Prosesor Data Pribadi: Termasuk individu (orang perseorangan atau badan hukum), badan publik, dan organisasi internasional yang bertindak sendiri atau bersama-sama untuk melakukan pemrosesan data pribadi atas nama Pengendali Data Pribadi. Karena pada dasarnya Prosesor Data Pribadi adalah pihak yang mewakili Pengendali Data Pribadi, maka dalam paper ini bila disebut Pengendali Data Pribadi maka mencakup Prosesor Data Pribadi.

3. Subjek Data Pribadi: Merujuk kepada individu sebagai pemilik data pribadi itu sendiri.

Pelindungan data pribadi menjadi hal yang penting, dan setiap pengendali data harus memastikan kepatuhan terhadap prinsip pelindungan data pribadi. Pelanggaran terhadap ketentuan pelindungan data dapat dikenai sanksi administratif berupa peringatan hingga denda sebesar 2% dari pendapatan tahunan atau denda hingga 6 miliar rupiah jika ada pemalsuan data sesuai Pasal 57 ayat (3), asal 67 ayat (2) & ayat (3), dan Pasal 68 UU PDP. Korporasi yang melakukan beberapa pelanggaran dapat dikenai denda hingga 10 kali lipat dari maksimal denda yang diancamkan sesuai pasal. Sanksi pidana diberikan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi sesuai Pasal 70 ayat (3) UU PDP.

Strategi pelindungan data semakin penting bagi perusahaan dengan banyaknya berita kebocoran data di Indonesia [2]. Namun belum ada sanksi di Indonesia karena UU PDP pasal 74 memberi ketentuan peralihan selama 2 tahun sejak disahkan pada Oktober 2022 yang lalu. Di Uni Eropa, GDPR menangani isu privasi data dengan aturan seragam di negara anggota dan telah mencatat 3 (tiga) kasus pelanggaran terhadap GDPR dengan sanksi terbesar diantaranya adalah $1,3 miliar (Meta/Facebook), $780,9 juta (Amazon), dan $247 juta (WhatsApp) karena melanggar aturan privasi dan transparansi [3].

Dalam kasus denda yang disebutkan di atas, perusahaan harus mempersiapkan sistem sesuai dengan prinsip-prinsip UU PDP. Transformasi digital dalam lembaga atau perusahaan saat ini mendorong pengembangan aplikasi yang sering menyimpan data pribadi karyawan dan pelanggan [4]. Oleh karena itu, integrasi prinsip UU PDP dalam tahapan pengembangan aplikasi yang aman (Secure SDLC) menjadi penting karena keamanan dalam setiap tahap siklus hidup perangkat lunak. Namun, keamanan yang biasanya difokuskan pada parameter keamanan informasi perlu diperluas dengan mengintegrasikan prinsip UU PDP, sehingga aplikasi yang dibangun tidak hanya aman tetapi juga sesuai dengan peraturan privasi dari UU PDP.

Diskusi

Pada bagian ini akan dibahas mengenai pemetaan pasal yang ada pada UU PDP terhadap tahapan pengembangan aplikasi yang aman (Secure SDLC). Sebagai catatan, aturan terkait pengecualian, tata kelola, dan aturan spesifik/khusus seperti pemasangan alat pemroses di tempat umum (pasal 17), lebih dari satu pengendali data pribadi (pasal 18), transfer data pribadi (Pasal 55-56), dan aturan spesifik/khusus lainnya pada UU PDP tidak masuk di penulisan ini.

Gambar 1 - Proses SDLC berdasarkan SP 800-64r2

Terdapat lima tahapan dalam proses Secure SDLC, seperti yang disebutkan dalam publikasi NIST SP800-64r2 [5], diantaranya Initiation, Development, Implementation, Operation/Maintenance dan Disposal.

Berikut ini merupakan hasil dari pemetaan tiap tahapan Secure SDLC dengan beberapa pasal pada UU PDP:

1. Initiation. Beberapa hal tambahan dari proses Secure SDLC yang harus diperhatikan dalam tahap ini yaitu:

   • Fitur-fitur yang perlu disediakan dalam aplikasi untuk mengakomodir Hak Subjek data pribadi sesuai Pasal 14 adalah sebagai berikut:

     • Pasal 5: Memberikan informasi tentang identitas, dasar hukum, tujuan penggunaan Data Pribadi, dan akuntabilitas pihak yang meminta Data Pribadi.

     • Pasal 6, 9, 11, 30, 40, dan 41: Pengguna dapat melakukan update data pribadi, menarik kembali persetujuan pemrosesan Data Pribadi dan Pengendali harus dapat menunda, membatasi, menghentikan pemrosesan dalam waktu 3x24 jam setelah menerima permintaan.

     • Pasal 7: Menyediakan akses dan salinan Data Pribadi tentang diri pengguna.

     • Pasal 8: Pengguna dapat mengakhiri, menghapus, atau memusnahkan Data Pribadi mereka.

     • Pasal 10: Pengguna dapat mengajukan keberatan atas tindakan pengambilan keputusan otomatis.

     • Pasal 13: Pengguna dapat mengirimkan Data Pribadi tentang diri mereka ke Pengendali Data Pribadi lainnya.

   • Aplikasi harus memenuhi kebutuhan pemrosesan data pribadi sebagaimana diatur dalam UU PDP, yaitu: i. Pengumpulan data pribadi harus dilakukan secara terbatas, spesifik, dan transparan (Pasal 16). ii. Pemrosesan data pribadi harus sesuai dengan tujuan yang jelas, terbatas, sah secara hukum, transparan, akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan. Dalam hal ini, diperlukan verifikasi untuk memastikan akurasi, kelengkapan, dan konsistensi data pribadi (Pasal 16, Pasal 27-28). iii. Pengendali data pribadi harus memberikan informasi kepada subjek data pribadi terkait pemrosesan data, mencakup tujuan, legalitas, dan aktivitas pemrosesan. Seluruh kegiatan pemrosesan data pribadi juga perlu direkam, dan akses terhadap informasi ini harus tersedia dalam waktu maksimal 3x24 jam setelah permintaan akses diterima (Pasal 21, Pasal 31-32). Informasi lain yang perlu disampaikan mencakup jenis dan relevansi data pribadi yang akan diproses, jangka waktu retensi dokumen, rincian tentang informasi yang dikumpulkan, jangka waktu pemrosesan data pribadi, dan hak subjek data pribadi. iv. Pengendali data pribadi harus mendapatkan persetujuan yang sah secara eksplisit dari subjek data pribadi untuk melakukan pemrosesan data pribadi, dan persetujuan ini menjadi dasar sah bagi pemrosesan data pribadi (Pasal 20).

   • Threat modelling [6] yang dilakukan oleh Pengendali Data Pribadi untuk melakukan penilaian dampak Pelindungan Data Pribadi dalam hal pemrosesan Data Pribadi memiliki potensi risiko tinggi terhadap Subjek Data Pribadi (Pasal 34). Selain itu diperlukan penentuan tingkat keamanan Data Pribadi dengan memperhatikan sifat dan risiko dari Data Pribadi yang harus dilindungi dalam pemrosesan Data Pribadi (Pasal 35).

2. Development dan Implementation. Pada tahapan ini, tidak ada penambahan aktivitas dari proses Secure SDLC umumnya. Fokus utama adalah memastikan aspek keamanan informasi aplikasi. Pasal-pasal terkait dalam UU PDP, seperti Pasal 16, 35, dan 39, menegaskan kewajiban Pengendali Data Pribadi untuk melindungi dan memastikan keamanan Data Pribadi yang diproses, mencegah akses tidak sah, dan menggunakan sistem keamanan yang tepat. Dari segi teknis, aplikasi sebaiknya diuji dengan berbagai metode seperti Static Application Security Testing, Dynamic Application Security Testing, dan Penetration Testing untuk mengidentifikasi dan mengatasi kerentanan, termasuk yang terdaftar dalam OWASP Top 10 [7] seperti broken access control, cryptographic failure, dan injection.

3. Operation/Maintenance. Pada tahap ini, aplikasi telah digunakan dan memerlukan Continuous Monitoring. Penting untuk memantau kemungkinan data breach pada data pribadi dengan melakukan threat hunting berkelanjutan. Selain itu, perusahaan harus mempersiapkan diri menghadapi insiden keamanan terkait data pribadi dan mengelolanya dengan baik. Beberapa pasal di UU PDP yang relevan bagi Pengendali Data Pribadi adalah:

   • Pasal 16 ayat 2 huruf f : Memberitahukan kepada Subjek data pribadi terkait jika terjadi kegagalan Pelindungan Data Pribadi.

   • Pasal 36: Dalam melakukan pemrosesan Data Pribadi, wajib menjaga kerahasiaan Data Pribadi.

   • Pasal 37: Wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Pengendali Data Pribadi.

   • Pasal 38: Wajib melindungi Data Pribadi dari pemrosesan yang tidak sah.

   • Pasal 46 UU PDP: Jika terjadi kegagalan Pelindungan Data Pribadi, Pengendali Data harus memberitahukan tertulis dalam 3 x 24 jam berisi data yang terungkap, waktu dan cara terungkapnya, serta upaya penanganan dan pemulihan Data Pribadi.

4. Disposal. Pasal 16 ayat 2 huruf g, 43, 44, 45: Pengendali Data Pribadi harus memusnahkan dan/atau menghapus setelah masa retensi berakhir, jika terjadi penarikan persetujuan, ada permintaan dari Subjek Data Pribadi, data diproses secara melawan hukum, dan tidak berkaitan dengan proses hukum.

Kesimpulan

Privasi data menjadi perhatian utama di era internet dengan meningkatnya penggunaan media sosial dan aplikasi yang menggunakan data pribadi. UU PDP memberikan pelindungan dan mengatur pengolahan data pribadi sebagai hak asasi manusia. Integrasi UU PDP pada Secure SDLC menjadi penting untuk melindungi data pribadi warga, memastikan keamanan, dan mematuhi regulasi.

Terdapat lima tahapan dalam proses Secure SDLC, dimulai dari tahap Initiation, fitur-fitur yang memungkinkan subjek data pribadi mengakses dan mengelola data dengan mudah harus disediakan. Aplikasi juga harus memenuhi kebutuhan pemrosesan data pribadi sesuai UU PDP dan melakukan threat modelling untuk menilai dampak pelindungan data. Pada tahap Development dan Implementation, fokus utama adalah memastikan keamanan informasi dengan mengikuti prinsip UU PDP dan menguji aplikasi untuk mengatasi kerentanan. Tahap Operation/Maintenance memerlukan continuous monitoring dan kesiapan dalam menghadapi insiden keamanan. Pada tahap Disposal, penghapusan data pribadi perlu dilakukan sesuai ketentuan UU PDP. Integrasi UU PDP pada Secure SDLC harus menjadi prioritas utama bagi perusahaan untuk melindungi data pribadi warga dan membangun kepercayaan dari pengguna aplikasi.

Referensi

1. We Are Social, “SOCIAL MEDIA USE REACHES NEW MILESTONE,” Jul. 2023. Accessed: Jul. 23, 2023. [Online]. Available: https://wearesocial.com/uk/blog/2023/07/social-media-use-reaches-new- milestone/

2. Surfshark, “Data breaches rise globally in Q3 of 2022,” Aug. 2022. Accessed: Jul. 23, 2023. [Online]. Available: https://surfshark.com/blog/data-breach-statistics-2022-q3

3. M. Komnenic, “52 Biggest GDPR Fines & Penalties So Far [2023 Update],” May 2023. Accessed: Jul. 23, 2023. [Online]. Available: https://termly.io/resources/articles/biggest-gdpr-fines/

4. N. Intan, “28 BUMN dan Swasta Sabet Penghargaan Transformasi Digital HCPA 2022,” republika.co.id, Nov. 30, 2022. https://ekonomi.republika.co.id/berita/rm64x3349/28-bumn-dan-swasta-sabet-penghargaan-transformasi-digital-hcpa-2022 (accessed Jul. 23, 2023).

5. R. Kissel, K. M. Stine, M. A. Scholl, H. Rossman, J. Fahlsing, and J. Gulick, “Security considerations in the system development life cycle,” Gaithersburg, MD, 2008. doi: 10.6028/NIST.SP.800-64r2.

6. V. Drake, “Threat Modeling,” owasp.org, 2021. https://owasp.org/www-community/Threat_Modeling (accessed Jul. 23, 2023). [7] OWASP, “OWASP Top 10,” owasp.org, 2021. https://owasp.org/www-project-top-ten/ (accessed Jul. 23, 2023).

Tentang Penulis

Fendi Tahir Daeng Lewa S.E

Fendi adalah sarjana Jurusan Ekonomi tahun 2011 yang telah berkarir lebih dari 10 tahun di industri Cyber Security. Untuk memperdalam keahliannya, Fendi meraih beberapa sertifikasi, termasuk ECSA dari EC Council, eMAPT dari eLearning Security, dan ITIL Foundation. Saat ini, Fendi masih aktif terlibat di industri Cyber Security, terutama di sektor telekomunikasi sejak tahun 2021. Selama satu dekade terakhir, Fendi telah berpartisipasi dalam berbagai acara dan pelatihan, seperti menjadi pemenang kategori Penetration Test di event Cyber Jawara 2013, menjadi pembicara (Web Hacking) di Cyber Camps 2016 yang diadakan oleh Kementerian Pertahanan, dan mengikuti beberapa pelatihan online, termasuk Practical Ethical Hacking dari TCM Security dan pelatihan dari Fortinet tentang Network Security. Selain dari komitmen profesionalnya, Fendi juga terus mengejar perjalanan akademis dengan mengambil gelar Master di Swiss-German University dengan konsentrasi pada Cyber Security, mencerminkan hasratnya di bidang tersebut.

Syaiful Andy S.T M.T

Syaiful menamatkan pendidikan kuliah S1 ITB Jurusan Teknik Elektro dari Institut Teknologi Bandung pada tahun 2016. Kemudian melanjutkan pendidikan S2 pada jurusan dan kampus yang sama melalui jalur fast track dengan konsentrasi sub jurusan Rekayasa dan Manajemen Keamanan Informasi, lulus dengan predikat cumlaude pada tahun 2017. Selama kuliah, selain aktif dalam beberapa organisasi, Syaiful juga memiliki beberapa publikasi ilmiah dibidang IoT Security dan juga Digital Forensic dengan total lebih dari 200 sitasi. Selain itu, saat kuliah Syaiful sudah mulai bekerja menjadi administrator jaringan, asisten dosen, hingga konsultan IT. Selanjutnya di tahun 2018 Syaiful bergabung dengan Telkom Indonesia dan merasakan bekerja di beberapa bagian yang berbeda termasuk Cyber Security. Selain bekerja, saat ini Syaiful aktif mengikuti berbagai macam perlombaan, training, dan juga sertifikasi baik nasional maupun internasional. Beberapa sertifikasi yang diraih seperti CCNA, Cyberops, CCNP Enterprise, CEH, CHFI, Cysa+, CISA, CISM, CFR, CSC, CertNexus Authorized Instructor dan masih banyak sertifikasi lainnya. Selain itu, Syaiful juga aktif berbagi melalui kegiatan mentor dan juga dosen tamu dalam topik Data Science dan juga Cyber security.