1. Pengantar
PT Tiga Media Inovasi menyambut baik laporan kerentanan keamanan dari komunitas peneliti, profesional keamanan, dan pengguna umum. Kebijakan ini menjelaskan ruang lingkup, aturan, dan proses pelaporan yang kami harapkan.
Kami percaya kolaborasi terbuka dengan komunitas keamanan akan membuat layanan kami — dan ekosistem digital Indonesia secara luas — lebih aman.
2. Ruang Lingkup
Aset yang termasuk dalam program ini:
- https://www.timedinovation.com dan seluruh subdomain di bawah
timedinovation.comdantimedinovation.co.id - Saluran komunikasi resmi kami (form, email transaksional)
- Aplikasi mobile / API publik milik kami (jika ada di kemudian hari)
3. Out of Scope
Berikut tidak termasuk dalam program ini:
- Aset milik klien kami (silakan koordinasikan langsung dengan klien terkait)
- Aset milik vendor pihak ketiga (Vercel, Cloudflare, Sanity, Resend, HubSpot, dll)
- Phishing terhadap karyawan kami (kecuali dengan persetujuan tertulis sebelumnya)
- Pengujian denial-of-service (DoS / DDoS) — kami tidak menginginkannya, terima kasih
- Self-XSS, click-jacking pada halaman tanpa aksi sensitif, atau missing security headers tanpa demonstrasi dampak
- Versi software pihak ketiga yang sudah kami patch dalam 30 hari terakhir
- Rate-limit bypass tanpa dampak signifikan
4. Aturan Pengujian
Saat melakukan pengujian:
- Lakukan pada akun uji milik Anda sendiri. Jangan mengakses, mengubah, atau menghapus data milik pihak lain.
- Hentikan pengujian segera jika Anda menemukan akses ke data pihak ketiga, dan laporkan kepada kami.
- Tidak menjalankan pengujian yang dapat merusak ketersediaan layanan (DoS, brute force tanpa rate limit, exhaustion).
- Tidak melakukan rekayasa sosial terhadap karyawan, vendor, atau klien kami.
- Tidak mempublikasikan rincian kerentanan sebelum kami selesai melakukan remediasi dan menyetujui publikasi.
- Hormati waktu remediasi sesuai severity (lihat di bawah).
5. Cara Melapor
Kirim laporan ke security@timedinovation.com dengan informasi berikut:
- Deskripsi kerentanan
- Aset/URL yang terdampak
- Langkah reproduksi (proof of concept)
- Estimasi dampak / severity
- Kontak Anda (opsional, untuk follow-up)
Kami menyediakan PGP public key untuk komunikasi terenkripsi atas permintaan.
5.1 Komitmen waktu respons
| Severity | Konfirmasi penerimaan | Triage | Target remediasi |
|---|---|---|---|
| Critical | 4 jam | 1 hari kerja | 7 hari |
| High | 1 hari kerja | 3 hari kerja | 30 hari |
| Medium | 2 hari kerja | 5 hari kerja | 60 hari |
| Low | 5 hari kerja | 10 hari kerja | 90 hari |
6. Safe Harbor
Kami tidak akan menempuh tindakan hukum terhadap peneliti yang:
- Bekerja dalam ruang lingkup dan aturan kebijakan ini secara wajar dan dengan itikad baik
- Melaporkan temuan secara bertanggung jawab kepada kami sebelum publikasi
- Tidak menyalahgunakan data atau akses yang ditemukan
Jika Anda ragu apakah tindakan tertentu termasuk dalam scope, hubungi kami terlebih dahulu di security@timedinovation.com.
7. Pengakuan
Kami menghargai kontribusi peneliti yang membantu menjaga keamanan kami. Untuk laporan valid, kami akan:
- Mencantumkan nama / handle Anda di "Hall of Fame" (atas izin Anda)
- Mengirim apresiasi resmi (surat pengakuan)
- Untuk temuan kritis, mempertimbangkan bug bounty case-by-case (kami belum memiliki program bounty publik)
File /.well-known/security.txt tersedia sesuai standar RFC 9116.