Security

Keamanan adalah Fondasi

Bagaimana kami melindungi data, akun, dan infrastruktur kamu — dengan rincian teknis, bukan janji marketing.

Encryption Everywhere

  • TLS 1.3 untuk semua trafik (HTTPS-only, HSTS preload).
  • AES-256-GCM untuk data at-rest.
  • Key rotation otomatis tiap 90 hari via AWS KMS.

Authentication

  • Password: bcrypt cost 12, breach check via HaveIBeenPwned.
  • 2FA opsional via TOTP (Google Authenticator, Authy).
  • Session: HTTP-only secure cookies, expire 30 hari, rotation tiap login.
  • SSO (Google, Microsoft, SAML) tersedia di plan Enterprise.

Infrastruktur

  • Hosted di AWS Singapore (ap-southeast-1) — region utama untuk Asia Tenggara.
  • Edge caching via Cloudflare (DDoS protection layer 3/4/7).
  • Database: PostgreSQL 16 dengan automated daily backup + point-in-time recovery 7 hari.
  • Secret management: AWS Secrets Manager + rotation policy.

Compliance

  • GDPR-ready (DPA tersedia untuk pelanggan Enterprise).
  • UU PDP Indonesia (UU No. 27 Tahun 2022) — fully compliant.
  • SOC 2 Type II audit dalam proses (target Q3 2026).
  • ISO 27001 readiness assessment — gap closure 80% per April 2026.

Responsible Disclosure

Menemukan vulnerability? Kami menghargai security researcher yang ngasih tahu kami dulu sebelum publish.

Apa yang in-scope

Domain grafio.app, *.grafio.app, dan repo terbuka kami. Out-of-scope: serangan DDoS, social engineering ke karyawan, fisik akses kantor.

Cara melaporkan

Email security@grafio.app dengan POC + langkah reproduce. Encrypt pakai PGP key kami (key ID 0xGRAFIO2026). Acknowledge dalam 24 jam kerja.

Bug bounty

Critical: Rp 5-15jt. High: Rp 1-5jt. Medium: Rp 250-1jt. Hall of Fame untuk semua valid report.

Security Contact

Email security@grafio.app · PGP fingerprint tersedia di /well-known/security.txt