Tindakan Teknis dan Organisasi (TOM) PhotoRobot
Dokumen ini mendefinisikan Tindakan Teknis dan Organisasi (TOM) PhotoRobot sesuai dengan Pasal 32 GDPR: Versi 1.0 – PhotoRobot Edition, uni-Robot Ltd., Republik Ceko. Dokumen ini terakhir diperbarui pada 31 Desember 2025, dan mendukung kepatuhan terhadap kewajiban kontraktual PhotoRobot berdasarkan DPA dan SLA.
1. Pengantar - PhotoRobot TOM
Dokumen ini menjelaskan Langkah-langkah Teknis dan Organisasi (TOM) yang diterapkan oleh uni-Robot Ltd. (PhotoRobot) untuk memastikan tingkat keamanan yang sesuai untuk pemrosesan data pribadi sesuai dengan Pasal 32 Peraturan Perlindungan Data Umum (GDPR).
Langkah-langkah ini berlaku untuk pengoperasian layanan PhotoRobot, termasuk namun tidak terbatas pada:
- PhotoRobot Mengontrol Cloud
- PhotoRobot Cloud 2.0
- PhotoRobot Controls Local (saat terhubung ke layanan cloud)
- API dan layanan online terkait
- Infrastruktur pendukung dan sistem internal
Dokumen ini berfungsi sebagai deskripsi otoritatif dari TOM PhotoRobot dan dapat direferensikan dalam Perjanjian Pemrosesan Data (DPA), audit, dan tinjauan keamanan perusahaan.
2. Ruang Lingkup dan Penerapan
TOM yang dijelaskan di sini berlaku untuk:
- Data pribadi yang diproses atas nama pelanggan sebagai bagian dari layanan PhotoRobot
- Data operasional internal yang diperlukan untuk menyediakan, memelihara, dan mengamankan layanan
Langkah-langkah dirancang dengan mempertimbangkan:
- Keadaan seni
- Biaya Implementasi
- sifat, ruang lingkup, konteks, dan tujuan pemrosesan
- risiko terhadap hak dan kebebasan orang perseorangan
3. Langkah-langkah Keamanan Organisasi
3.1. Tata Kelola Keamanan Informasi
PhotoRobot mempertahankan kebijakan dan prosedur internal yang mengatur keamanan informasi, perlindungan data, dan penggunaan sistem yang dapat diterima.
Tanggung jawab untuk keamanan dan perlindungan data didefinisikan dengan jelas dalam organisasi, termasuk kontak yang ditunjuk untuk masalah privasi dan hukum.
3.2. Kerahasiaan dan Kesadaran Karyawan
- Karyawan dan kontraktor terikat oleh kewajiban kerahasiaan
- Akses ke sistem diberikan berdasarkan kebutuhan untuk mengetahui
- Kesadaran keamanan dan perlindungan data dipromosikan sebagai bagian dari orientasi dan operasi yang sedang berlangsung
4. Kontrol dan Otorisasi Akses
4.1. Kontrol Akses Berbasis Peran (RBAC)
Akses ke sistem dan data pelanggan dikontrol menggunakan prinsip kontrol akses berbasis peran (RBAC).
- Pengguna diberikan hak istimewa minimum yang diperlukan untuk melakukan tugas mereka
- Akses administratif dibatasi untuk personel yang berwenang
4.2. Otentikasi
- Mekanisme otentikasi yang kuat digunakan untuk sistem internal dan eksternal
- Kebijakan kata sandi dan kredensial akses dikelola dengan aman
- Kredensial akses tidak boleh dibagikan
5. Infrastruktur dan Keamanan Jaringan
5.1. Hosting dan Infrastruktur Cloud
Layanan PhotoRobot dihosting di penyedia infrastruktur cloud profesional (misalnya, Google Cloud Platform), yang menerapkan kontrol keamanan fisik dan lingkungan standar industri.
5.2. Perlindungan Jaringan
- Lalu lintas jaringan dilindungi menggunakan firewall dan kontrol akses
- Layanan yang dihadapi publik diisolasi dari sistem internal
- Komponen infrastruktur dipantau untuk ketersediaan dan peristiwa keamanan
6. Enkripsi dan Perlindungan Data
6.1. Data dalam Transit
- Data yang dikirimkan antara klien dan layanan PhotoRobot dienkripsi menggunakan TLS/HTTPS
- Saluran komunikasi yang aman diberlakukan untuk API dan antarmuka cloud
6.2. Data saat Tidak Aktif
- Data yang disimpan dalam infrastruktur cloud dilindungi menggunakan mekanisme enkripsi yang disediakan oleh penyedia hosting
- Akses ke data yang disimpan dibatasi untuk sistem dan personel resmi
7. Pencatatan, Pemantauan, dan Deteksi Insiden
7.1. Pencatatan
- Log sistem dihasilkan untuk peristiwa operasional dan relevan dengan keamanan
- Log digunakan untuk pemecahan masalah, pemantauan, dan analisis insiden
7.2. Pemantauan
- Layanan dipantau untuk ketersediaan, kinerja, dan anomali
- Peringatan dipicu jika terjadi perilaku abnormal atau gangguan layanan
8. Respons Insiden dan Manajemen Pelanggaran
PhotoRobot mempertahankan prosedur untuk menangani insiden keamanan, termasuk pelanggaran data pribadi.
Prosedur ini meliputi:
- identifikasi dan penilaian insiden
- Langkah-langkah mitigasi dan penahanan
- Eskalasi internal
- komunikasi dengan pelanggan jika diperlukan
- kepatuhan terhadap kewajiban pemberitahuan pelanggaran GDPR (Pasal 33 dan 34 GDPR)
9. Pencadangan, Ketersediaan, dan Kelangsungan Bisnis
9.1. Cadangan
- Pencadangan data dilakukan sebagai bagian dari operasi cloud standar
- Cadangan digunakan untuk tujuan pemulihan bencana dan kelangsungan layanan
9.2. Ketersediaan
- Upaya yang wajar dilakukan untuk menjaga ketersediaan layanan yang tinggi
- Kegiatan pemeliharaan yang direncanakan dapat menyebabkan gangguan layanan sementara
Detail mengenai target ketersediaan dan waktu respons dijelaskan secara terpisah dalam Perjanjian Tingkat Layanan (SLA) yang berlaku.
10. Pengembangan dan Manajemen Perubahan yang Aman
10.1. Praktik Pengembangan yang Aman
PhotoRobot mengikuti proses pengembangan dan penerapan terstruktur, termasuk:
- pemisahan lingkungan pengembangan, pengujian, dan produksi jika sesuai
- prosedur penyebaran terkontrol
- Kontrol versi dan pelacakan perubahan
10.2. Pembaruan dan Penambalan
- Komponen perangkat lunak diperbarui untuk mengatasi kerentanan keamanan
- Pembaruan penting diprioritaskan berdasarkan penilaian risiko
11. Sub-Pemroses dan Pihak Ketiga
PhotoRobot dapat melibatkan sub-pemroses untuk mendukung pemberian layanan (misalnya, hosting, layanan email).
- Sub-pemroses dipilih berdasarkan praktik keamanan dan perlindungan datanya
- Daftar sub-pemroses saat ini dikelola secara terpisah dan tersedia untuk umum
12. Keamanan Fisik
Akses fisik ke server dan pusat data dikelola oleh penyedia infrastruktur cloud dan meliputi:
- Kontrol akses
- Pengawasan dan pemantauan
- perlindungan lingkungan
PhotoRobot tidak mengoperasikan pusat datanya sendiri.
13. Minimalisasi dan Retensi Data
- Hanya data yang diperlukan untuk penyediaan layanan yang diproses
- Data pribadi disimpan hanya selama diperlukan untuk tujuan kontrak, hukum, atau operasional
- Periode penghapusan dan penyimpanan data ditentukan dalam kebijakan dan perjanjian yang relevan
14. Tinjauan dan Pembaruan
Langkah-langkah Teknis dan Organisasi ini ditinjau secara berkala dan diperbarui seperlunya untuk mencerminkan:
- Perubahan teknologi
- Perubahan Layanan
- Persyaratan keamanan dan peraturan yang berkembang
Perubahan material dapat dikomunikasikan kepada pelanggan sebagaimana mestinya.
15. Informasi Kontak
Untuk pertanyaan mengenai Tindakan Teknis dan Organisasi ini:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praha 1
Republik Ceko
Surel: legal@photorobot.com
Catatan Akhir
TOM ini menjelaskan langkah-langkah teknis dan organisasi PhotoRobot saat ini dan dimaksudkan untuk memberikan transparansi dan jaminan kepada pelanggan. Mereka bukan merupakan jaminan layanan tanpa gangguan atau keamanan mutlak, tetapi mencerminkan pendekatan berbasis risiko dan proporsional untuk perlindungan data dan keamanan informasi.