Keamanan data untuk sebuah startup digital adalah keharusan. Selain melindungi aset perusahaan, keamanan data juga berfungsi sebagai jaminan kepercayaan untuk pelanggan mereka.
Faktor tersebut jadi kian relevan bagi startup fintech. Sudah menjadi pengetahuan umum bahwa perusahaan yang bergerak di sektor keuangan. Maka dari itu keamanan data di fintech sama sekali bukan hal yang bisa ditawar.
Andre Pratama selaku Acting CTO UangTeman menjelaskan, langkah-langkah preventif terhadap kebocoran data sebagai syarat yang begitu penting. Andre membagi pengetahuan dan pengalamannya di keamanan data dalam edisi #SelasaStartup terbaru.
Pada umumnya isu di keamanan data berasal dari faktor internal dan eksternal. Andre mengatakan kerentanan dari dalam justru bisa menjadi masalah paling besar dalam bidangnya. Tanpa sistem pengawasan yang ketat, lubang kerentanan bisa muncul di sana-sini. Selain butuh alat yang mumpuni, integritas internal perusahaan perlu dipupuk sejak awal.
“Saya pikir banyak sekali tools di luar sana, tapi kalau integritasnya tidak dijaga pasti akan kebobolan juga,” tegas Andre.
Menjaga dari dalam
Ada beberapa langkah yang bisa dilakukan suatu perusahaan untuk mencegah kerentanan keamanan muncul. Salah satu langkah pertamanya adalah memastikan seluruh tim karyawan aman dari kemungkinan terburuk.
Menurut Andre langkah-langkah itu bisa dimulai dari membuat non-disclosure agreement (NDA) atau perjanjian kerahasiaan dengan pegawai. Langkah berikutnya adalah menciptakan sistem yang mencegah masalah yang bisa timbul secara tidak disengaja.
Contoh dari langkah itu adalah tidak memperbolehkan laptop yang dipakai pegawai tersambung ke WiFi. Kalaupun perlu akses ke WiFi, hanya bisa digunakan oleh orang-orang tertentu dengan tujuan yang jelas. Contoh lainnya adalah menghapus isi papan tulis selepas rapat dan mewajibkan minutes of meeting (MoM) hanya beredar di internal perusahaan.
Dari aspek infrastruktur pun ada langkah-langkah yang diperlukan. Sebagai fintech, Andre bercerita pihaknya telah membuat sistem keamanan berlapis untuk setiap transaksi yang terjadi. Begitu pula di datanya sendiri, semua sudah dienkripsi dan sudah diacak (hashed).
Saat berkolaborasi dengan pihak ketiga
Kerentanan juga sangat mungkin terjadi ketika sebuah startup ingin berkolaborasi dengan pihak ketiga. Pertemuan metode dan teknologi dua pihak memungkinkan adanya celah yang bisa dimasuki penyusup. Oleh karena itu perlu langkah-langkah pencegahan juga.
Andre menekankan sebelum memulai kerja sama NDA wajib hadir terlebih dulu. Kemudian ia menilai perusahaan harus melihat apakah API yang masing-masing pakai terbuka atau terenkripsi, apakah API-nya langsung bisa dipasang atau harus registrasi dulu, apakah API-nya sudah menggunakan https atau belum. Meski terkesan rumit tapi langkah-langkah itu perlu diambil.
“Biasanya intruder akan ngambil API yang masih bolong atau masih http saja. Lebih baik strict dibanding gampang tapi rawan,” ia menambahkan.
Keamanan data untuk dan oleh semua
Platform tentu punya tanggung jawab dalam menyimpan dan menggunakan data pribadi yang sudah diberikan oleh para penggunanya. Mereka pun terikat dengan sejumlah peraturan yang dibuat oleh pemerintah maupun asosiasi.
Kendati begitu dalam hal pencegahan kesadaran pengguna pun turut diharapkan. Karena pada faktanya sejumlah modus operandi kebocoran data dapat terjadi memanfaatkan minimnya pengetahuan pengguna akan keamanan data pribadi.
Di UangTeman, menurut Andre edukasi akan keamanan data berlaku untuk borrower dan lender. Edukasi pun mereka berikan kepada kedua pihak tadi. Contoh paling dasar adalah nama pengguna dan kata sandi sekali pakai (OTP) tak boleh diketahui oleh siapa pun. Selain edukasi seperti tadi, pihak UangTeman pun memakai sistem paksa guna melindungi keamanan data pengguna.
“Kami juga lakukan soft force buat nasabah. Jadi kita mendeteksi dari mobile app kami apabila terlalu lama login dan diam saja, kami akan force quit,” pungkas Andre.