Bahasa Indonesia

Tinjauan Keamanan dan Kepatuhan untuk Pembeli SaaS Mid-Market

Tim hukum menyerahkan laporan SOC 2 ke IT, IT mengonfirmasi lencana terkini, dan pengadaan menandai tinjauan keamanan selesai. Prosedur standar. Vendor adalah perusahaan Series B yang didanai dengan baik dengan halaman keamanan yang terlihat wajar dan dinding logo dari pelanggan yang dikenal.

Sebelas bulan kemudian, zero-day exploit dalam middleware API vendor mengekspos 40.000 catatan pelanggan. SOC 2 mencakup kontrol akses, prosedur manajemen perubahan, dan pemantauan ketersediaan vendor. SOC 2 tidak mencakup komponen pihak ketiga spesifik yang gagal. Dan karena kontrak berisi klausul pembatasan tanggung jawab yang luas, pemulihan hukum perusahaan sangat minimal.

Tidak ada yang lalai. SOC 2 itu asli. Namun sertifikasi yang memberi tahu Anda bahwa vendor memiliki kontrol yang baik pada saat audit tidak memberi tahu Anda apakah kontrol tersebut mencakup risiko spesifik yang terwujud pada bulan kesebelas.

Panduan ini adalah tinjauan keamanan yang melampaui lencana.

Fakta Utama: Tinjauan Keamanan SaaS pada Tahun 2026

  • Sekitar 67% vendor SaaS B2B memiliki laporan SOC 2 Type II yang terkini, menurut benchmark Vanta 2024 State of Trust, namun kurang dari 30% yang menyertakan kriteria Kerahasiaan atau Privasi dalam lingkup.
  • Rata-rata tinjauan keamanan SaaS enterprise membutuhkan 41 hari end-to-end (IANS Research, 2024), itulah mengapa tim mid-market mengirimkan solusi sementara sebelum tinjauan selesai.
  • Diperkirakan 54% pelanggaran pihak ketiga pada tahun 2024 dapat ditelusuri kembali ke vendor SaaS atau cloud dalam tumpukan pembeli (Verizon DBIR, 2024 Supply Chain section).
  • Perusahaan mid-market (200-2.000 karyawan) melewati tinjauan keamanan formal pada 38% pembelian SaaS, biasanya karena pengadaan tidak menandai pengeluaran tersebut sebagai perangkat lunak (Gartner, 2024).
  • Klausul pemberitahuan pelanggaran median dalam kontrak SaaS adalah 30 hari, 10x lebih lama dari standar GDPR 72 jam yang diasumsikan sebagian besar pembeli berlaku.

Mengapa Sertifikasi adalah Titik Awal, Bukan Garis Akhir

Sertifikasi keamanan memiliki tujuan penting: menciptakan catatan terdokumentasi bahwa vendor menerapkan kontrol tertentu pada titik waktu tertentu, diverifikasi oleh pihak ketiga. Itu bermakna. Penjelasan AICPA tentang pelaporan SOC mengklarifikasi dengan tepat apa yang dibuktikan setiap jenis laporan, dan apa yang secara eksplisit tidak dibuktikannya.

Namun sertifikasi memiliki keterbatasan struktural:

Sertifikasi bersifat mundur. SOC 2 Type II mencakup periode observasi 6-12 bulan yang berakhir sebelum Anda menandatangani. Postur keamanan vendor hari ini mungkin berbeda dari apa yang tercermin dalam laporan, karena perubahan staf, migrasi infrastruktur, atau dependensi pihak ketiga baru. Untuk penjelasan mudah dipahami tentang apa yang sebenarnya dicakup SOC 2, ISO 27001, dan GDPR dan di mana keduanya tumpang tindih, panduan kerangka kepatuhan untuk pembeli adalah titik awal terbaik.

Sertifikasi mencakup lingkup yang ditentukan. SOC 2 vendor mungkin mencakup produk inti mereka tetapi secara eksplisit mengecualikan integrasi pihak ketiga tertentu, mitra pemrosesan data, atau komponen infrastruktur. Membaca bagian lingkup laporan SOC 2 sering mengungkap kejutan.

Sertifikasi tidak memberi tahu Anda apa yang terjadi ketika terjadi kesalahan. Sertifikasi memberi tahu Anda tentang kontrol dan proses. Ini tidak memberi tahu Anda seberapa cepat vendor akan memberi tahu Anda tentang pelanggaran, seperti apa playbook respons insiden mereka, atau bagaimana mereka secara historis menangani kejadian keamanan.

Alat yang diaktifkan AI mengumpulkan lebih banyak. Alat SaaS tradisional memproses data yang Anda berikan. Alat yang diaktifkan AI semakin memproses data yang disimpulkan (pola, perilaku, sinyal agregat di seluruh pelanggan) dengan cara yang mungkin tidak dicakup oleh kerangka sertifikasi yang ada.

Tinjauan lima lapisan di bawah ini mengatasi semua kesenjangan ini.

Tinjauan Keamanan Proporsional

Tinjauan Keamanan Proporsional adalah prinsip dari sisi pembeli: sesuaikan kedalaman tinjauan Anda dengan sensitivitas data yang akan disentuh vendor, bukan dengan nilai kontrak vendor atau prestise logo. Alat seharga $6/seat yang menyerap PII pelanggan layak mendapat tinjauan yang lebih mendalam dari alat seharga $60/seat yang hanya melihat metrik penggunaan agregat, dan sebagian besar backlog tinjauan mid-market rusak karena tim menjalankan kuesioner 200 pertanyaan yang sama terhadap setiap vendor tanpa memandang eksposur data. Tier vendor ke jalur tinjauan minimal (tidak ada data pelanggan), standar (data internal), dan tinggi (data yang diatur atau data pelanggan) sebelum kuesioner dikirimkan.

Lapisan 1: Sertifikasi: Baca Laporan, Bukan Lencana

SOC 2 Type II

Ekspektasi standar untuk alat SaaS apa pun yang menangani data bisnis atau pelanggan. Konfirmasi:

  • Periode laporan. Laporan harus mencakup 6-12 bulan segera sebelum tinjauan Anda. SOC 2 dari 18 bulan lalu tidak terkini.
  • Kriteria Trust Service yang disertakan. SOC 2 memiliki lima kriteria: Keamanan (CC), Ketersediaan (A), Integritas Pemrosesan (PI), Kerahasiaan (C), dan Privasi (P). Sebagian besar vendor hanya mencakup Keamanan dan Ketersediaan. Konfirmasi kriteria mana yang dicakup dan verifikasi bahwa kriteria yang relevan dengan kasus penggunaan Anda disertakan.
  • Lingkup. Baca bagian lingkup dengan cermat. Sistem, produk, dan infrastruktur apa yang disertakan? Apa yang dikecualikan?
  • Opini berkualifikasi. Jika laporan berisi pengecualian atau opini berkualifikasi, pahami apa adanya. Pengecualian kecil dalam manajemen perubahan berbeda dari pengecualian dalam kontrol akses.

Apa yang perlu ditanyakan:

  • Bisakah saya menerima laporan SOC 2 Type II lengkap di bawah NDA?
  • Kriteria trust service apa yang dicakup laporan Anda?
  • Apa periode audit, dan kapan audit Anda berikutnya dijadwalkan?
  • Apakah ada pengecualian atau kualifikasi dalam laporan saat ini?

ISO 27001

Relevan jika Anda beroperasi di pasar internasional atau industri yang diatur. ISO 27001 mencakup sistem manajemen keamanan informasi (ISMS), yang tidak sama dengan SOC 2 dan tidak dapat dipertukarkan. Vendor dengan ISO 27001 tetapi tanpa SOC 2 memiliki profil yang berbeda dari yang memiliki SOC 2 tetapi tanpa ISO 27001.

Periksa lingkup sertifikat. Sertifikat harus sesuai dengan produk dan infrastruktur yang Anda beli.

Penetration Testing

Tanyakan tanggal dan lingkup penetration test terbaru, siapa yang melakukannya, dan apa temuan materialnya. Vendor yang belum pernah menjalankan pen test atau menolak berbagi hasil ringkasan adalah sinyal risiko yang bermakna.

Jawaban yang dapat dipercaya: "Kami menjalankan pen test tahunan dengan [perusahaan eksternal]. Yang terbaru adalah [tanggal] dan laporan ringkasan tersedia di bawah NDA. Temuan material telah diremediasi."

Lapisan 2: Penanganan Data dan Residensi

Lapisan ini tentang apa yang terjadi pada data Anda setelah berada di dalam sistem vendor.

Geografi Penyimpanan Data

Tempat data Anda disimpan mempengaruhi kewajiban kepatuhan Anda, eksposur Anda terhadap permintaan data pemerintah asing, dan hak Anda berdasarkan peraturan privasi seperti GDPR.

Pertanyaan yang perlu ditanyakan:

  • Di mana database produksi disimpan secara geografis?
  • Di mana backup disimpan?
  • Apakah Anda menawarkan opsi residensi data untuk AS/EU/wilayah tertentu jika diperlukan?
  • Jika Anda menggunakan AWS, Azure, atau GCP, wilayah mana?

Retensi dan Penghapusan Data

  • Berapa lama data pelanggan disimpan selama kontrak aktif?
  • Berapa lama data pelanggan disimpan setelah penghentian kontrak?
  • Apa proses penghapusannya, dan bisakah Anda memberikan verifikasi bahwa penghapusan telah terjadi?
  • Apakah backup dihapus pada jadwal yang sama dengan data produksi?

Sub-processor Pihak Ketiga

Setiap vendor SaaS menggunakan infrastruktur pihak ketiga, analitik, dukungan, dan penyedia AI. Setiap penyedia tersebut adalah titik eksposur data potensial. Minta daftar sub-processor terkini dan periksa apakah ada yang berada di yurisdiksi dengan kekhawatiran privasi yang signifikan.

Data Pelatihan AI (Kritis untuk Alat yang Diaktifkan AI)

Jika alat vendor menyertakan fitur AI, ini menjadi pertanyaan penanganan data terpenting:

  • Apakah data pelanggan digunakan untuk melatih model AI vendor? (Model bersama, atau terisolasi per pelanggan?)
  • Jika ya, bisakah pelanggan memilih keluar?
  • Apakah hasil inferensi dari data pelanggan dibagikan dengan pelanggan lain?
  • Apa addendum pemrosesan data untuk penanganan khusus AI?

Lapisan 3: Model Kontrol Akses

Cara vendor mengontrol akses ke data Anda (dan ke infrastrukturnya sendiri) adalah indikator langsung kematangan keamanan.

Kontrol akses sisi vendor:

  • Siapa di vendor yang memiliki akses ke data pelanggan? (Dukungan, rekayasa, tim data?)
  • Apa proses persetujuan untuk akses karyawan vendor ke data produksi?
  • Apakah akses dicatat dan diaudit?
  • Apakah autentikasi multi-faktor diperlukan untuk karyawan vendor yang mengakses sistem produksi?

Kontrol akses sisi pelanggan:

  • Apakah produk mendukung role-based access control (RBAC)?
  • Apakah single sign-on (SSO) tersedia, dan apakah disertakan dalam tier dasar atau sebagai add-on?
  • Apakah autentikasi multi-faktor diperlukan untuk pengguna akhir, tersedia, atau opsional?
  • Apa yang terjadi pada akses data ketika pengguna dicabut provisinya?

Masalah pajak SSO: Banyak vendor SaaS mengenakan biaya ekstra untuk SSO, yang merupakan kontrol keamanan yang seharusnya standar. Praktik ini didokumentasikan secara luas dalam komunitas keamanan. Ikhtisar Wikipedia tentang single sign-on menjelaskan mengapa federasi identitas adalah kontrol keamanan fundamental daripada fitur premium. Jika perusahaan Anda menggunakan IdP (Okta, Azure AD, Google Workspace), SSO adalah persyaratan keamanan yang bermakna. Cari tahu apakah disertakan sebelum Anda melihat harganya dalam formulir pesanan. Pola biaya tersembunyi semacam ini persis seperti yang ditangkap pemodelan TCO untuk SaaS dalam lini biaya integrasi Kategori 3.

Lapisan 4: Kebijakan Pemberitahuan Pelanggaran

Ketika sesuatu salah (dan secara statistik, sesuatu akan salah dengan vendor mana pun yang Anda gunakan cukup lama), apa yang berhak Anda ketahui dan kapan sangat penting.

Pertanyaan yang perlu ditanyakan:

  • Apa komitmen kontraktual Anda untuk jangka waktu pemberitahuan pelanggaran? (72 jam adalah standar GDPR; banyak kontrak menawarkan 30 hari, yang jauh terlambat)
  • Apa yang merupakan pelanggaran yang dapat dilaporkan menurut definisi Anda vs. insiden keamanan?
  • Apakah Anda pernah mengalami pelanggaran yang dapat dilaporkan dalam dua tahun terakhir? Jika demikian, apa yang terjadi dan apa hasilnya?
  • Apa prosedur respons insiden Anda dan siapa kontak yang ditunjuk?
  • Apakah asuransi tanggung jawab siber Anda mencakup biaya pemberitahuan pelanggan?

Standar kontraktual minimum: Dapatkan SLA pemberitahuan pelanggaran secara tertulis. 72 jam dari penemuan untuk apa pun yang melibatkan data pribadi adalah standar yang perlu dinegosiasikan. Ini mencerminkan persyaratan yang ditetapkan oleh Pasal 33 teks regulasi GDPR. Jika vendor menolak, pahami alasannya.

Lapisan 5: Riwayat Pengungkapan Kerentanan

Insiden keamanan masa lalu, ketika ditangani dengan baik, adalah bukti kematangan, bukan diskualifikasi. Vendor yang tidak pernah mengungkapkan kerentanan entah tidak pernah diserang (tidak mungkin) atau tidak memiliki program pengungkapan (masalah). Kerangka Keamanan Siber NIST mendefinisikan pengungkapan yang bertanggung jawab dan manajemen kerentanan sebagai praktik inti dari fungsi "Respond" dan "Recover". Vendor yang tidak dapat mereferensikannya kemungkinan tidak beroperasi pada tingkat kematangan tersebut. Untuk alat yang diaktifkan AI, pertanyaan-pertanyaan ini diperluas ke inferensi model dan eksposur data pelatihan, yang dibahas panduan evaluasi SaaS yang diaktifkan AI secara detail.

Pertanyaan yang perlu ditanyakan:

  • Apakah Anda memiliki program bug bounty atau kebijakan pengungkapan yang bertanggung jawab?
  • Apakah Anda mengungkapkan CVE (Common Vulnerabilities and Exposures) dalam dua tahun terakhir?
  • Jika ya, berapa lama dari penemuan hingga patch dan pengungkapan?
  • Pustaka atau komponen pihak ketiga apa yang diandalkan produk Anda, dan bagaimana Anda melacak kerentanan di dalamnya?

Kuesioner Tinjauan Keamanan (20 Pertanyaan)

Kirimkan kuesioner ini sebelum panggilan tinjauan keamanan. Ini mengungkap kesenjangan sebelum waktu Anda dihabiskan untuk itu.

Sertifikasi

  1. Apakah Anda memiliki laporan SOC 2 Type II yang terkini? Kriteria trust service apa yang dicakupnya?
  2. Apakah sertifikasi ISO 27001 termasuk dalam lingkup produk yang kami beli?
  3. Apa tanggal penetration test terbaru Anda, dan apakah ringkasan tersedia?

Penanganan Data 4. Di mana data produksi disimpan secara geografis? Di mana backup-nya? 5. Apakah Anda menawarkan opsi residensi data untuk [wilayah kami]? 6. Apa kebijakan retensi data Anda selama dan setelah penghentian kontrak? 7. Sub-processor mana yang menangani data kami dan di mana mereka berbasis? 8. Apakah data pelanggan digunakan untuk melatih model AI Anda? Bisakah pelanggan memilih keluar?

Kontrol Akses 9. Siapa di perusahaan Anda yang dapat mengakses data pelanggan produksi, dan apa proses persetujuannya? 10. Apakah akses produksi dicatat dan dapat diaudit? 11. Apakah SSO/SAML tersedia, dan apakah disertakan dalam tier dasar? 12. Apakah produk mendukung role-based access control (RBAC)?

Pemberitahuan Pelanggaran 13. Apa jangka waktu pemberitahuan pelanggaran kontraktual Anda? 14. Apakah Anda pernah mengalami pelanggaran yang dapat dilaporkan atau insiden keamanan material dalam dua tahun terakhir? 15. Siapa kontak keamanan yang ditunjuk jika terjadi insiden?

Manajemen Kerentanan 16. Apakah Anda memiliki program bug bounty atau pengungkapan yang bertanggung jawab? 17. Apakah Anda mengungkapkan CVE dalam 24 bulan terakhir? 18. Bagaimana Anda melacak dan menambal kerentanan pustaka pihak ketiga?

Kontrak dan Kepatuhan 19. Bisakah saya menerima DPA dan semua addendum pemrosesan data sebelum menandatangani? 20. Apa pembatasan tanggung jawab Anda untuk pelanggaran keamanan yang mempengaruhi data pelanggan kami?

Scorecard Keamanan Vendor

Gunakan ini untuk merangkum tinjauan bagi pengambil keputusan non-teknis:

Domain Skor (1-5) Catatan
Mata uang dan lingkup sertifikasi
Transparansi penanganan data
Kematangan kontrol akses
Komitmen pemberitahuan pelanggaran
Riwayat pengungkapan kerentanan
Penanganan data AI (jika berlaku)
Keseluruhan

Skor 4-5: Lanjutkan dengan tinjauan kontrak standar. Skor 3: Lanjutkan dengan persyaratan remediasi spesifik dalam kontrak. Skor di bawah 3: Eskalasikan ke pimpinan IT sebelum melanjutkan; pertimbangkan apakah vendor ini dapat memenuhi persyaratan Anda.

Bagaimana Rework Mendekati Tinjauan Keamanan dari Kedua Sisi

Rework mempertahankan SOC 2 Type II (kriteria Keamanan, Ketersediaan, dan Kerahasiaan), dengan opsi residensi data di wilayah AS dan EU dan komitmen pemberitahuan pelanggaran 72 jam dalam DPA standar kami, tanpa negosiasi yang diperlukan untuk memenuhi standar GDPR. Data pelanggan tidak pernah digunakan untuk melatih model AI bersama, sub-processor tercantum secara publik, dan SSO disertakan dalam setiap tier berbayar daripada dibatasi di balik add-on enterprise.

Di sisi lain meja, Rework Work Ops adalah alat yang digunakan banyak pelanggan mid-market kami untuk menjalankan tinjauan keamanan itu sendiri sebagai proses lintas fungsi. Work Ops (mulai dari $6/pengguna/bulan) memberi Anda antrian intake bersama tempat pengadaan menandai permintaan SaaS baru, merutekannya secara otomatis ke IT atau keamanan berdasarkan tier sensitivitas data, melacak respons kuesioner terhadap tenggat penandatanganan kontrak, dan menjaga hukum, keuangan, dan departemen pemohon pada jadwal yang sama. Ini mengubah siklus tinjauan rata-rata 41 hari menjadi alur kerja yang dapat diprediksi alih-alih Slack thread yang mati setelah tindak lanjut ketiga.

FAQ

Pertanyaan yang Sering Diajukan Tentang Tinjauan Keamanan dan Kepatuhan SaaS

Sertifikasi keamanan apa yang harus dimiliki setiap SaaS?

Untuk alat apa pun yang menyentuh data pelanggan atau bisnis, SOC 2 Type II (kriteria Keamanan dan Ketersediaan minimal) adalah dasar. Tambahkan ISO 27001 jika Anda beroperasi di industri EU atau yang diatur, dan DPA terkini jika ada data pribadi yang mengalir melalui vendor. Sertifikasi di bawah SOC 2 Type II, seperti SOC 2 Type I, "whitepaper keamanan" yang dibuktikan sendiri, atau halaman trust-center tanpa laporan yang mendasarinya, tidak setara dan harus diperlakukan sebagai kesenjangan, bukan kelulusan.

Kapan saya harus memerlukan kuesioner keamanan penuh?

Tier berdasarkan sensitivitas data. Tinjauan minimal (kuesioner singkat, dokumen trust-center publik) untuk alat yang tidak melihat data pelanggan. Tinjauan standar (SIG Lite 30-40 pertanyaan) untuk alat dengan data bisnis internal. Tinjauan tinggi (SIG atau CAIQ penuh, ditambah laporan SOC 2 di bawah NDA dan markup DPA) untuk apa pun yang menyentuh PII pelanggan, data keuangan, kode sumber, atau data yang diatur. Menjalankan formulir 150 pertanyaan yang sama terhadap setiap vendor adalah alasan mengapa backlog tinjauan tumbuh lebih cepat dari yang ditutup.

Berapa lama tinjauan keamanan SaaS harus berlangsung?

Untuk proses bertingkat, tinjauan minimal adalah 2-5 hari kerja, standar adalah 10-15 hari kerja, tinggi adalah 3-6 minggu. Benchmark IANS 2024 sebesar 41 hari mencerminkan proses yang tidak bertingkat di mana alat berisiko rendah duduk dalam antrian yang sama dengan yang berisiko tinggi. Jika tinjauan tinggi Anda secara konsisten lebih dari 8 minggu, hambatannya hampir selalu markup hukum DPA, bukan kuesioner keamanan itu sendiri.

Bisakah vendor SaaS melewati SOC 2 dan tetap aman?

Vendor tahap awal (pra-Series A, di bawah ~50 karyawan) terkadang beroperasi dengan aman tanpa SOC 2 hanya karena biaya audit belum ada dalam anggaran mereka. Untuk kasus penggunaan yang kurang sensitif, vendor yang dapat dipercaya dengan ISO 27001, ringkasan pen test yang dipublikasikan, DPA yang jelas, dan jadwal SOC 2 yang dinyatakan dapat diterima dengan bahasa kontrak kompensasi. Untuk apa pun yang menangani PII pelanggan atau data yang diatur, "kami sedang mengerjakan SOC 2" bukanlah pengganti. Wajibkan sebelum peluncuran produksi dan tuliskan dalam kontrak sebagai milestone.

Apa tanda bahaya tinjauan keamanan terbesar?

Vendor yang tidak mau berbagi laporan SOC 2 mereka di bawah NDA. Lencana di situs web adalah pemasaran; laporan adalah artefaknya. Vendor yang mengelak dengan "tim hukum kami tidak mengizinkan kami berbagi laporan" baik salah mempresentasikan sertifikasi mereka, memiliki pengecualian material yang tidak ingin dilihat pembeli, atau memiliki lingkup laporan yang tidak mencakup produk yang Anda beli. Terbesar kedua: menolak untuk berkomitmen pada pemberitahuan pelanggaran di bawah 30 hari.

Siapa yang memiliki tinjauan keamanan, IT, tim keamanan, atau hukum?

Di mid-market (200-2.000 karyawan), tinjauan keamanan biasanya berada di IT atau fungsi keamanan kecil, dengan hukum yang memiliki markup DPA dan kontrak. Modus kegagalannya adalah ketika tidak ada yang memiliki serah terima: IT menyetujui kontrol, hukum menyetujui ketentuan, tetapi tidak ada yang memeriksa apakah bahasa kontrak sebenarnya mencerminkan apa yang diverifikasi IT. Tetapkan satu pemilik tinjauan per vendor, biasanya IT untuk tier tinggi, pengadaan untuk standar, dan jadikan hukum sebagai peninjau, bukan penjaga gerbang.

Haruskah saya meninjau ulang vendor yang sudah saya setujui?

Ya, dengan ritme bertingkat berdasarkan risiko. Vendor tier tinggi setiap tahun (laporan SOC 2 baru, daftar sub-processor yang diperbarui, pembaruan pen test). Vendor tier standar setiap 2 tahun atau pada perpanjangan. Vendor tier minimal hanya pada perubahan material (akuisisi, perluasan wilayah, fitur AI baru). Vendor yang diakuisisi oleh perusahaan yang lebih besar atau berkembang ke wilayah pemrosesan data baru harus memicu tinjauan di luar siklus terlepas dari tier.

Pelajari Lebih Lanjut