nalarix.id

Kebijakan Keamanan — Nalarix

Versi: 2.0 Terakhir diperbarui: 2026-06-12 Kontak: support@nalarix.id

Kami menganggap keamanan data pengguna sebagai prioritas. Halaman ini menjelaskan cara melaporkan kerentanan keamanan secara bertanggung jawab (responsible disclosure) dan komitmen kami terhadap pelapor.

1. Melaporkan Kerentanan

Jika Anda menemukan kerentanan keamanan di Nalarix (nalarix.id), mohon laporkan secara bertanggung jawab sebelum diungkap ke publik.

  • Email: support@nalarix.id
  • Subjek: [Security] <deskripsi singkat>
  • Untuk detail yang sangat sensitif, minta kanal terenkripsi terlebih dahulu melalui email yang sama.

Sertakan dalam laporan

  • Deskripsi kerentanan (apa, di mana, dampaknya)
  • Langkah reproduksi minimum
  • Preferensi atribusi Anda (nama, handle, atau anonim)

2. Komitmen Kami

  • Konfirmasi penerimaan dalam 48 jam (hari kerja, Asia/Jakarta)
  • Penilaian awal dalam 7 hari (triase + tingkat keparahan)
  • Coordinated disclosure: kami meminta tenggang 90 hari sebelum pengungkapan publik agar kami dapat menambal dan memberi tahu pengguna terdampak; kami bekerja dengan itikad baik untuk memperpendek jendela ini bila memungkinkan
  • Kredit di catatan rilis, kecuali Anda memilih anonim
  • Tidak ada tuntutan hukum terhadap peneliti yang beritikad baik di bawah kebijakan ini (lihat §4 Safe Harbor)

Target respons berdasarkan keparahan

Tingkat Target perbaikan Contoh
Kritis < 48 jam Bypass autentikasi, eksekusi kode jarak jauh, paparan data massal
Tinggi < 7 hari Eskalasi privilege, XSS pada alur ber-autentikasi
Sedang < 30 hari CSRF pada alur non-mutasi, kebocoran informasi non-PII
Rendah < 90 hari Header keamanan kurang, pesan error terlalu detail

3. Cakupan

Termasuk cakupan

  • https://nalarix.id/* (produksi)
  • Alur autentikasi dan sesi
  • Pemeriksaan hak akses area admin
  • Endpoint API
  • Integrasi alur pembayaran (sisi kami; Midtrans terpisah)

Di luar cakupan

  • Social engineering terhadap pemilik, tim, atau pengguna
  • DDoS atau serangan volumetrik
  • Serangan fisik terhadap infrastruktur
  • Layanan pihak ketiga (Google, Midtrans, Hostinger) — laporkan langsung ke mereka
  • Kerentanan pada browser usang (lebih tua dari 2 versi mayor terakhir)
  • Self-XSS atau isu yang mensyaratkan perangkat korban sudah dikuasai penuh
  • Ketiadaan rate limiting pada halaman informasional publik
  • Header best-practice yang hilang ketika kontrol kompensasi tersedia

4. Safe Harbor

Kami menganggap riset keamanan dan pelaporan kerentanan di bawah kebijakan ini sah dan diizinkan, selama Anda:

  • Berupaya dengan itikad baik menghindari pelanggaran privasi dan gangguan layanan
  • Tidak mengakses, mengubah, atau menghancurkan data melebihi yang diperlukan untuk mendemonstrasikan kerentanan
  • Tidak memanfaatkan kerentanan untuk berdampak pada pengguna lain
  • Tidak mengungkap ke publik sebelum kami mendapat kesempatan wajar untuk menambal (jendela 90 hari)
  • Tidak melanggar hukum Indonesia selama riset

5. Kanal Darurat

Jika temuan Anda sedang dieksploitasi secara aktif dan butuh kanal cepat, kirim email dengan prefiks subjek [SECURITY-URGENT] — prefiks ini kami pantau di luar jam kerja normal.

6. Praktik Keamanan Kami (Ringkasan)

Tanpa merinci konfigurasi internal, Layanan menerapkan antara lain: enkripsi TLS untuk semua komunikasi, autentikasi tanpa kata sandi (OAuth), cookie sesi HttpOnly/Secure, Content-Security-Policy yang ditegakkan (enforced), pembatasan laju permintaan (rate limiting), pemisahan hak akses admin berjenjang dengan jejak audit, pemaskeran alamat IP saat penyimpanan (lihat Kebijakan Privasi §7), serta backup harian terenkripsi. Rincian kategori data dan retensi ada di Kebijakan Privasi.

Dokumen terkait: Kebijakan Privasi · Ketentuan Layanan · Kebijakan Refund

Kontak resmi mengikuti /.well-known/security.txt (RFC 9116).