Legal

Keamanan

Klaut AI · Jakarta, Indonesia

Tanggal efektif: 16 Mei 2026 Terakhir diperbarui: 16 Mei 2026

1. Cara kami memandang keamanan

Klaut menjalankan praktik AI tingkat perusahaan. Klien mempercayakan kepada kami akses ke sistem operasional, data karyawan, dan alur kerja yang menjadi dasar pengambilan keputusan. Akses itulah asetnya; kepercayaan yang menyertainya adalah produknya. Kami memperlakukan keamanan sebagai persoalan rekayasa kelas pertama, bukan sekadar butir kepatuhan.

Halaman ini menjelaskan pengaman yang berlaku atas data yang kami simpan dan proses, asumsi di baliknya, serta titik-titik di mana kami sengaja menahan diri dari klaim yang tidak dapat kami buktikan. Halaman ini dirujuk oleh, dan beroperasi sebagai bagian dari, Kebijakan Privasi kami.

2. Cakupan yang dibahas halaman ini

  • Situs publik di klaut.id dan compass.klaut.id.
  • Aplikasi Compass di compass-app.klaut.id beserta data yang diprosesnya untuk klien.
  • Sistem internal yang digunakan untuk menjalankan penugasan klien: komunikasi, penanganan dokumen, repositori kode, dan perkakas AI.

Sistem milik klien, platform pihak ketiga yang dihubungkan klien ke Compass, serta penyedia model yang digunakan di dalam solusi yang kami terapkan diatur oleh postur keamanannya masing-masing, yang kami evaluasi saat pengadaan dan kami dokumentasikan di setiap penugasan.

3. Infrastruktur

Hosting dan edge. Situs dan aplikasi Compass diterapkan di Vercel, dengan Cloudflare di depannya untuk DNS, CDN, dan proteksi edge. TLS bersifat wajib di setiap endpoint publik, dengan HSTS diaktifkan. Kami tidak melayani lalu lintas HTTP di domain produksi kami.

Domain dan DNS. klaut.id dan subdomainnya berjalan dengan konfigurasi yang sadar-DNSSEC melalui Cloudflare. Perubahan record dibatasi pada akun administrator bernama dengan faktor kedua berupa kunci perangkat keras.

Email. Email transaksional dan email penugasan keluar dikirim melalui Postmark dengan SPF, DKIM, dan DMARC ditegakkan pada domain klaut.id. Kami tidak menyalurkan komunikasi yang menghadap klien melalui layanan SMTP generik.

Analitik. Vercel Web Analytics menyediakan analitik situs agregat tanpa pelacak iklan dan tanpa session replay. Tidak ada JavaScript pihak ketiga di situs publik selain tag yang diterbitkan Vercel.

4. Arsitektur privasi Compass

Platform Compass dirancang berdasarkan satu asumsi keamanan dan privasi: tiga audiens melihat tiga tampilan atas data dasar yang sama, dan batas di antara mereka ditegakkan di lapisan data, bukan di antarmuka.

  • Karyawan melihat kinerja, kesalahan, pelajaran, dan skor keterampilannya sendiri secara penuh.
  • Manajer melihat tren tingkat tim dan data individual terbatas yang diizinkan oleh cakupan penerapan — umumnya kategori kesenjangan dan arah perubahan, bukan rekaman aktivitas mentah.
  • HR melihat kapabilitas tenaga kerja secara agregat dan sinyal kepercayaan. HR tidak dapat menelusuri dari agregat ke individu melalui jalur produk mana pun.

Ini ditegakkan melalui:

  • Kebijakan akses tingkat baris di model data Compass, yang dievaluasi di sisi server pada setiap pembacaan.
  • Permukaan API terpisah untuk tampilan karyawan, manajer, dan HR, masing-masing dibatasi pada data yang boleh dilihat oleh peran tersebut.
  • Jejak audit yang mencatat ketika sebuah peristiwa lintas-batas yang diizinkan terjadi (misalnya, ekspor catatan diri sendiri yang diprakarsai karyawan), dan menolak permintaan tersebut bila tidak diizinkan.

Batas privasi adalah bagian dari produk, bukan langkah konfigurasi yang dapat dinonaktifkan klien. Klien tidak dapat menggeser satu sakelar untuk memberi HR akses tingkat individu; melakukannya akan menuntut konfigurasi ulang model data itu sendiri, yang bukan operasi yang menghadap pelanggan.

5. Penanganan data

Saat transit. Seluruh data klien dan platform bergerak melalui TLS 1.2 atau lebih tinggi antara perangkat pengguna, edge kami, aplikasi kami, dan penyimpanan data kami.

Saat tersimpan. Penyimpanan data produksi menggunakan enkripsi saat tersimpan yang dikelola penyedia. Cadangan mewarisi postur enkripsi yang sama.

Rahasia. Kredensial dan kunci API untuk sistem produksi disimpan dalam secret store terkelola, tidak pernah di dalam kode sumber, dan dirotasi ketika pemegangnya berganti peran atau ketika vendor mengindikasikan adanya paparan. Rahasia produksi tidak disimpan di perangkat pribadi.

Cadangan dan pemulihan. Data produksi Compass dicadangkan setiap hari dengan prosedur pemulihan yang terdokumentasi. Cadangan dienkripsi, disimpan selama tiga puluh hari kecuali periode lebih panjang disepakati secara kontraktual, dan diuji melalui latihan pemulihan setidaknya setiap kuartal.

Pencatatan log. Log aplikasi dan akses ditangkap untuk tujuan keamanan dan operasional, disimpan selama sembilan puluh hari di tingkat platform, dan ditinjau ketika insiden atau anomali teridentifikasi.

6. Kontrol akses

Akses internal. Akses produksi dibatasi pada operator bernama yang membutuhkannya. Autentikasi ditegakkan melalui penyedia identitas dengan faktor kedua yang wajib. Akun bersama dan kredensial bersama dilarang.

Akses klien. Autentikasi pengguna Compass berjalan melalui penyedia identitas klien apabila penerapannya mendukung SSO; penerapan mandiri menggunakan akun berkredensial dengan penegakan faktor kedua yang tersedia. Penyediaan dan pencabutan akun adalah tanggung jawab klien sesuai cakupan penerapan.

Hak istimewa minimum. Penetapan peran di dalam Compass maupun di perkakas internal kami mengikuti prinsip hak istimewa minimum. Akses tingkat tinggi diberikan untuk tugas tertentu, dicatat, dan dicabut ketika tugas selesai.

7. Tata kelola AI dalam solusi yang kami terapkan

Ketika Klaut menerapkan sebuah model — di dalam Compass atau di dalam penugasan klien — pemilihan model diperlakukan sebagai keputusan keamanan, bukan semata keputusan kinerja. Setiap model yang diterapkan dievaluasi terhadap:

  • Sensitivitas data yang akan diproses model tersebut.
  • Klausa penggunaan-pelatihan vendor dan apakah jalur penerapan menjaga data agar dikecualikan dari pelatihan.
  • Kebijakan retensi vendor atas masukan dan keluaran.
  • Paparan hukum dan regulasi dari beban kerja tersebut.

Hasilnya didokumentasikan di dalam penugasan, termasuk model mana yang disetujui untuk kelas data mana dan jalur mana yang secara eksplisit dilarang. Apabila jawaban yang tepat adalah model yang di-host sendiri di lingkungan yang dikendalikan klien, itulah yang kami terapkan.

8. Manajemen vendor dan sub-prosesor

Daftar terkini sub-prosesor yang digunakan dalam penyediaan layanan dipelihara dan tersedia atas permintaan. Penambahan material pada daftar tersebut untuk penerapan Compass yang aktif diberitahukan kepada klien setidaknya tiga puluh hari sebelum berlaku, dengan hak untuk mengajukan keberatan secara tertulis.

Kami mengevaluasi vendor baru terhadap kriteria keamanan dan privasi yang terdokumentasi sebelum mereka menangani data produksi. Kami mensyaratkan komitmen penanganan data secara kontraktual yang setidaknya sekuat komitmen yang kami buat kepada klien kami.

9. Personel

Klaut beroperasi sebagai tim kecil yang bernama jelas. Setiap orang yang menangani data klien menandatangani pernyataan kerahasiaan tertulis. Personel yang menangani kredensial produksi diwajibkan menjaga perangkat kerjanya terenkripsi penuh (full-disk encryption), menggunakan pengelola kata sandi terkelola, dan menjalankan sistem operasi yang mutakhir.

Apabila Klaut melibatkan kolaborator eksternal — sumber daya teknis paruh waktu, konsultan spesialis, atau kontak implementasi vendor — orang tersebut ditempatkan di bawah kewajiban kerahasiaan dan penanganan data yang sama melalui perjanjian tertulis sebelum akses diberikan.

10. Pengembangan perangkat lunak

Kode sumber untuk situs publik dan aplikasi Compass disimpan dalam platform kode terkelola dengan proteksi branch pada branch produksi, peninjauan wajib atas perubahan yang memengaruhi autentikasi, otorisasi, atau akses data, dan pemindaian dependensi diaktifkan pada setiap build. Kami tidak meng-commit rahasia atau data produksi ke dalam kontrol sumber.

11. Penanganan insiden

Kami memperlakukan insiden sebagai setiap peristiwa yang membahayakan atau tampak berpotensi membahayakan kerahasiaan, integritas, atau ketersediaan data yang kami simpan. Proses tanggapan kami memiliki empat tahap:

  1. Tangani. Hentikan vektor yang aktif. Cabut kredensial yang terkompromi. Putuskan sistem yang terdampak dari jaringan bila penanganan menuntutnya.
  2. Nilai. Tentukan data apa yang dapat dijangkau, siapa yang terdampak, dan seberapa realistis paparannya.
  3. Beritahu. Berkomunikasi secara jujur dengan klien yang terdampak dalam jangka waktu yang, sekurang-kurangnya, memenuhi ketentuan UU PDP dan kerangka lintas-batas yang berlaku. Pemberitahuan mencakup apa yang terjadi, apa yang kami ketahui, apa yang belum kami ketahui, dan apa yang sedang kami lakukan.
  4. Selesaikan. Perbaiki akar penyebabnya. Dokumentasikan insidennya. Perbarui pengaman yang gagal menangkapnya.

Kami tidak meremehkan insiden dalam pengungkapan. Kredibilitas yang hilang karena meremehkan suatu insiden lebih besar daripada kredibilitas yang hilang karena melaporkannya secara akurat.

12. Tanggung jawab pelanggan

Keamanan adalah tanggung jawab bersama. Klien kami bertanggung jawab untuk:

  • Menyediakan akun Compass kepada karyawan yang tepat, dan mencabut akses dengan segera ketika seorang karyawan berganti peran atau keluar.
  • Mengonfigurasi penyedia identitasnya secara aman apabila Compass menggunakan SSO.
  • Melindungi kredensial untuk sistem terhubung mereka (platform layanan pelanggan, basis data internal, dan sebagainya) yang diamati Compass sesuai cakupan penerapan.
  • Tidak menggunakan Compass di luar cakupan yang disepakati atau dengan cara yang melanggar Bagian 7 Ketentuan Layanan.
  • Melaporkan dugaan masalah keamanan dengan segera melalui saluran pada Bagian 13.

13. Pengungkapan kerentanan

Jika Anda meyakini telah menemukan kerentanan keamanan yang memengaruhi klaut.id, compass.klaut.id, atau compass-app.klaut.id, tuliskan ke hello@klaut.id dengan "Security disclosure" pada subjek. Sertakan detail yang cukup agar kami dapat mereproduksi masalahnya. Kami mengonfirmasi penerimaan dalam tiga hari kerja.

Kami berkomitmen untuk:

  • Menyelidiki laporan yang dibuat dengan itikad baik.
  • Tidak menempuh tindakan hukum terhadap peneliti yang mematuhi bagian ini.
  • Memberikan kredit kepada pelapor yang memintanya, setelah perbaikan diterapkan.

Kami meminta para peneliti untuk:

  • Membatasi pengujian pada permukaan yang disebutkan di atas.
  • Tidak mengakses, mengubah, atau menghapus data yang bukan milik Anda.
  • Tidak menjalankan pemindaian otomatis pada laju yang mengganggu operasi normal.
  • Memberi kami jangka waktu yang wajar untuk memperbaiki dan mengungkapkan sebelum memublikasikan detailnya.

14. Postur kepatuhan

Klaut beroperasi sejalan dengan ketentuan Undang-Undang Pelindungan Data Pribadi Indonesia (UU No. 27 Tahun 2022), Undang-Undang Informasi dan Transaksi Elektronik Indonesia (UU No. 11 Tahun 2008 beserta perubahannya), dan, apabila klien serta datanya menjadikannya berlaku, GDPR, UK GDPR, serta peraturan analog di yurisdiksi lain tempat klien kami beroperasi.

Saat ini kami belum memegang sertifikasi ISO 27001 atau SOC 2. Postur kami dibangun untuk dapat dievaluasi terhadap substansi kerangka-kerangka tersebut selama tinjauan pengadaan klien. Apabila klien mensyaratkan sertifikasi tertentu sebagai prasyarat penugasan, syarat itu dibahas pada fase Foundation dan dimasukkan ke dalam rencana penugasan atau ditangani sebagai kesenjangan yang diketahui.

15. Perubahan

Kami memperbarui halaman ini ketika praktik kami berubah atau ketika kerangka yang relevan berubah. Versi terkini, beserta tanggal efektifnya, dipasang di sini. Perubahan material yang memengaruhi klien aktif diberitahukan melalui email kepada kontak klien bernama sesuai surat penugasan.

16. Kontak

Pertanyaan keamanan, laporan kerentanan, dan pemberitahuan insiden semuanya diarahkan ke hello@klaut.id. Tandai baris subjek sesuai keperluan.

Klaut AI · Jakarta, Indonesia

Kebijakan Privasi Ketentuan Layanan Laporkan kerentanan
Compass