Kembali ke blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Cara Mendokumentasikan Penggunaan Proxy untuk Kepatuhan: Template dan Kebijakan Keamanan

Panduan lengkap untuk mendokumentasikan penggunaan server proxy untuk memenuhi persyaratan kepatuhan: template kebijakan, log akses, dan rekomendasi praktis.

📅3 Maret 2026
```html

Jika perusahaan Anda bekerja dengan data pribadi pelanggan, menerima pembayaran, atau tunduk pada audit keamanan, mendokumentasikan penggunaan server proksi menjadi persyaratan yang wajib. Ketidakadaan dokumentasi yang tepat dapat mengakibatkan denda hingga 20 juta euro berdasarkan GDPR atau kehilangan sertifikasi PCI DSS.

Dalam panduan ini, kami akan membahas bagaimana cara mendokumentasikan penggunaan proksi dengan benar untuk memenuhi persyaratan regulator, kebijakan apa yang perlu dibuat, dan bagaimana cara mencatat log akses. Anda akan mendapatkan template dokumen dan daftar periksa untuk implementasi.

Mengapa dokumentasi proksi sangat penting untuk kepatuhan

Server proksi sering kali menjadi "zona buta" dalam dokumentasi keamanan perusahaan. Perusahaan dengan cermat mendeskripsikan proses kerja dengan basis data, tetapi lupa untuk mendokumentasikan bagaimana karyawan atau sistem mereka mengakses sumber daya eksternal melalui proksi.

Masalah ini menjadi kritis dalam beberapa situasi:

  • Audit keamanan informasi: Auditor ISO 27001 atau SOC 2 memerlukan konfirmasi bahwa semua saluran akses ke data didokumentasikan dan dikendalikan. Proksi adalah saluran akses.
  • Penyelidikan insiden: Dalam kasus kebocoran data atau kecurigaan penipuan, Anda perlu membuktikan siapa, kapan, dan mengapa menggunakan proksi untuk mengakses sumber daya tertentu.
  • Pemeriksaan GDPR: Jika Anda memproses data warga UE melalui proksi di negara lain, Anda perlu mendokumentasikan keabsahan transfer data lintas batas.
  • Sertifikasi PCI DSS: Untuk perusahaan yang menerima pembayaran dengan kartu, semua titik akses ke data kartu harus didokumentasikan, termasuk server proksi.

Contoh nyata: pada tahun 2022, sebuah perusahaan fintech Eropa menerima peringatan dari regulator karena kurangnya dokumentasi tentang bagaimana sistem pemantauan risiko mereka menggunakan proksi untuk memeriksa transaksi. Denda dapat dihindari hanya setelah paket dokumen lengkap dan log retrospektif selama 12 bulan dibuat dengan mendesak.

Penting: Dokumentasi harus dibuat SEBELUM penggunaan proksi dimulai, bukan pada saat audit. Pembuatan dokumen secara retrospektif selalu menimbulkan kecurigaan di kalangan auditor.

Regulasi mana yang berkaitan dengan proksi

Berbagai standar regulasi menetapkan persyaratan spesifik untuk mendokumentasikan penggunaan server proksi. Berikut adalah yang utama, yang dihadapi oleh bisnis:

GDPR (General Data Protection Regulation)

Jika Anda menggunakan proksi untuk memproses data pribadi warga UE, Anda perlu mendokumentasikan:

  • Tujuan penggunaan proksi (pasal 5.1.b — pembatasan tujuan)
  • Lokasi geografis server proksi (pasal 44 — transfer data lintas batas)
  • Langkah-langkah keamanan untuk melindungi data saat ditransfer melalui proksi (pasal 32)
  • Kontrak dengan penyedia proksi sebagai pengolah data (pasal 28)
  • Log akses untuk memastikan akuntabilitas (pasal 5.2)

Contoh praktis: jika departemen pemasaran Anda menggunakan proksi residensial untuk menganalisis pesaing di berbagai negara UE, dan pada saat yang sama mengumpulkan data tentang harga atau variasi produk (yang mungkin secara tidak langsung mengandung data pribadi), Anda memerlukan kebijakan penggunaan proksi yang sesuai dengan GDPR.

PCI DSS (Payment Card Industry Data Security Standard)

Untuk perusahaan yang memproses pembayaran, persyaratan PCI DSS versi 4.0 mencakup:

  • Persyaratan 1.2.1: Mendokumentasikan semua koneksi yang diizinkan antara lingkungan data kartu dan jaringan eksternal (proksi adalah koneksi semacam itu)
  • Persyaratan 10.2: Mencatat semua tindakan pengguna dengan hak administrator, termasuk pengelolaan proksi
  • Persyaratan 12.3: Kebijakan penggunaan teknologi, termasuk server proksi

ISO 27001 (Sistem Manajemen Keamanan Informasi)

Standar ini mengharuskan dokumentasi dalam konteks kontrol A.13.1.1 (manajemen elemen keamanan jaringan):

  • Inventarisasi semua server proksi dan konfigurasi mereka
  • Prosedur manajemen akses ke proksi
  • Pemantauan penggunaan dan deteksi anomali
  • Tinjauan kebijakan secara berkala (minimal setahun sekali)

152-FZ "Tentang Data Pribadi" (Rusia)

Hukum Rusia mengharuskan untuk mendokumentasikan:

  • Model ancaman keamanan data pribadi (proksi sebagai alat perlindungan atau potensi ancaman)
  • Spesifikasi teknis untuk pembuatan atau modernisasi sistem informasi (jika proksi adalah bagian darinya)
  • Akte klasifikasi dan kategorisasi sistem informasi
Standar Dokumen Kunci Frekuensi Pembaruan
GDPR Daftar Pemrosesan Data (ROPA) Saat ada perubahan
PCI DSS Diagram Aliran Data Setiap tahun
ISO 27001 Kebijakan Keamanan Informasi Setiap tahun
152-FZ Model Ancaman Setiap 3 tahun

Template kebijakan penggunaan server proksi

Kebijakan penggunaan proksi adalah dokumen dasar yang menetapkan aturan, tanggung jawab, dan prosedur. Berikut adalah struktur kebijakan yang disesuaikan dengan persyaratan kepatuhan:

1. Ketentuan Umum

Nama Dokumen: Kebijakan Penggunaan Server Proksi

Versi: 1.0

Tanggal Persetujuan: [tanggal]

Pejabat yang Menyetujui: [jabatan dan nama lengkap, misalnya: Direktur Keamanan Informasi]

Tanggal Tinjauan Berikutnya: [tanggal setelah 12 bulan]

Tujuan Kebijakan: Menetapkan aturan penggunaan server proksi untuk memastikan keamanan, privasi, dan kepatuhan terhadap persyaratan regulasi saat mengakses sumber daya eksternal dan memproses data.

Ruang Lingkup: Kebijakan ini berlaku untuk semua karyawan, kontraktor, dan sistem otomatis perusahaan yang menggunakan server proksi untuk mengakses sumber daya internet atau memproses data.

2. Tujuan Penggunaan Proksi yang Diizinkan

Server proksi hanya dapat digunakan untuk tujuan bisnis berikut:

  • Memantau Pesaing: Mengumpulkan informasi yang tersedia untuk umum tentang harga, variasi produk, dan aktivitas pemasaran pesaing untuk analisis pasar (departemen: pemasaran, produk).
  • Menguji Layanan Web: Memeriksa ketersediaan dan keakuratan fungsi sumber daya web milik sendiri dari berbagai wilayah geografis (departemen: pengembangan, QA).
  • Verifikasi Kampanye Iklan: Memeriksa tampilan iklan di berbagai wilayah dan perangkat (departemen: pemasaran).
  • Perlindungan dari DDoS: Menyembunyikan alamat IP sistem perusahaan saat mengakses API eksternal (departemen: TI).
  • Menjamin Anonimitas: Melindungi data pribadi karyawan saat melakukan penelitian atau bekerja dengan informasi sensitif (departemen: keamanan, kepatuhan).

Larangan: Menggunakan proksi untuk menghindari kebijakan keamanan perusahaan, mengakses sumber daya terlarang, menyembunyikan aktivitas yang tidak sah, atau tindakan apapun yang melanggar hukum.

3. Jenis Proksi dan Penerapannya

Jenis Proksi Tugas yang Diizinkan Persyaratan Data
Proksi Residensial Memantau pesaing, verifikasi iklan, pengujian dari berbagai wilayah Hanya data publik, tanpa data pribadi
Proksi Seluler Pengujian aplikasi seluler, pemeriksaan iklan seluler Hanya data publik, tanpa data pribadi
Proksi Data Center Pengambilan data otomatis, pemeriksaan ketersediaan sumber daya secara massal Hanya data publik, kecepatan tinggi

4. Prosedur Mendapatkan Akses ke Proksi

Setiap karyawan yang memerlukan akses ke server proksi harus mengikuti prosedur berikut:

  1. Pengajuan Permohonan: Mengisi formulir permintaan akses dengan menyebutkan alasan bisnis, jenis proksi, dan jangka waktu penggunaan.
  2. Pengesahan oleh Atasan: Persetujuan oleh atasan langsung dari departemen.
  3. Pemeriksaan kepatuhan: Penilaian permohonan oleh departemen keamanan informasi atau kepatuhan untuk memastikan kesesuaian dengan kebijakan.
  4. Pemberian Kredensial: Departemen TI memberikan akses dengan kredensial unik untuk setiap pengguna.
  5. Pelatihan: Karyawan menjalani pengarahan singkat tentang penggunaan proksi yang aman (bisa berupa video atau dokumen).

Jangka waktu pemrosesan permohonan: Tidak lebih dari 3 hari kerja sejak pengajuan.

5. Tanggung Jawab dan Peran

  • Direktur Keamanan Informasi (CISO): Persetujuan kebijakan, pengawasan kepatuhan, koordinasi audit.
  • Departemen TI: Implementasi teknis, pemberian akses, pemantauan infrastruktur proksi.
  • Petugas Kepatuhan: Memeriksa kesesuaian penggunaan proksi dengan persyaratan regulasi, mengelola dokumentasi.
  • Pemimpin Departemen: Persetujuan permohonan dari karyawan mereka, pengawasan penggunaan yang tepat.
  • Pengguna Akhir: Mematuhi kebijakan, segera melaporkan insiden atau aktivitas mencurigakan.

Log Akses dan Pemantauan: Apa yang Harus Dicatat

Pencatatan log penggunaan proksi bukan hanya kebutuhan teknis, tetapi juga persyaratan wajib dari sebagian besar standar kepatuhan. Log memungkinkan untuk melacak siapa, kapan, dan untuk tujuan apa menggunakan proksi, serta mendeteksi anomali atau akses yang tidak sah.

Kolom Wajib dalam Log Akses

Setiap entri dalam log harus mencakup data berikut:

Kolom Deskripsi Contoh
Timestamp Tanggal dan waktu koneksi (UTC) 2024-01-15 14:23:45 UTC
User ID Identifikasi unik pengguna user_12345 atau ivanov@company.com
Proxy IP Alamat IP proksi yang digunakan 185.123.45.67
Proxy Location Lokasi geografis proksi DE, Frankfurt
Target URL Sumber daya target (domain, tanpa URL lengkap untuk privasi) example.com
Session Duration Durasi sesi 00:15:32
Data Volume Volume data yang ditransfer 15.3 MB
Purpose Code Kode tujuan penggunaan dari kebijakan COMP_MONITOR (memantau pesaing)
Status Status penyelesaian sesi SUCCESS / ERROR / BLOCKED

Automatisasi Pengumpulan Log

Sebagian besar penyedia proksi menyediakan API untuk mendapatkan statistik penggunaan. Integrasikan data ini ke dalam sistem SIEM Anda (Security Information and Event Management) atau penyimpanan log terpusat.

Alat yang direkomendasikan untuk mengumpulkan dan menganalisis log:

  • ELK Stack (Elasticsearch, Logstash, Kibana): Solusi gratis untuk usaha kecil dan menengah, memungkinkan visualisasi penggunaan proksi secara real-time.
  • Splunk: Platform komersial dengan kemampuan korelasi peristiwa dan deteksi anomali yang kuat.
  • Graylog: Alternatif open-source untuk Splunk dengan antarmuka yang sederhana.
  • Azure Monitor / AWS CloudWatch: Solusi cloud untuk perusahaan yang menggunakan platform terkait.

Pengaturan Peringatan (Alerts)

Peringatan otomatis membantu mengidentifikasi pelanggaran kebijakan atau aktivitas mencurigakan:

  • Volume Data yang Tidak Biasa: Jika seorang karyawan mentransfer lebih dari 1 GB melalui proksi dalam satu sesi (dapat menunjukkan pengunduhan basis data).
  • Akses di Luar Jam Kerja: Penggunaan proksi pada malam hari atau akhir pekan tanpa persetujuan sebelumnya.
  • Perubahan Geolokasi: Satu pengguna menggunakan proksi dari 5+ negara berbeda dalam waktu singkat.
  • Akses ke Sumber Daya Terlarang: Upaya untuk menghubungkan ke domain yang ada dalam daftar hitam perusahaan.
  • Banyak Upaya Gagal: Lebih dari 10 upaya autentikasi yang gagal dalam satu jam (kemungkinan kompromi kredensial).

Tip: Atur laporan otomatis mingguan untuk pemimpin departemen dengan informasi tentang penggunaan proksi oleh karyawan mereka. Ini meningkatkan kesadaran dan disiplin.

Dokumentasi Perlindungan Data Pribadi melalui Proksi

Jika sistem Anda memproses data pribadi melalui proksi (misalnya, untuk verifikasi pengguna, pemeriksaan transaksi penipuan, atau pengumpulan analitik), Anda perlu mendokumentasikan langkah-langkah perlindungan data tersebut.

Penilaian Dampak Pemrosesan Data (DPIA) untuk Proksi

GDPR mengharuskan dilakukan penilaian dampak terhadap perlindungan data (DPIA) untuk operasi pemrosesan yang dapat menimbulkan risiko tinggi terhadap hak dan kebebasan individu. Penggunaan proksi dapat termasuk dalam persyaratan ini jika:

  • Anda memproses data pribadi sensitif (kesehatan, keuangan, biometrik)
  • Anda menggunakan proksi di negara dengan tingkat perlindungan data yang tidak memadai (non-UE)
  • Anda memproses data dalam skala besar (lebih dari 10.000 subjek data)

Struktur DPIA untuk penggunaan proksi:

  1. Deskripsi Pemrosesan: Data apa yang ditransfer melalui proksi, untuk tujuan apa, kategori subjek data mana yang terpengaruh.
  2. Kepentingan dan Proporsionalitas: Alasan mengapa penggunaan proksi diperlukan dan tidak ada alternatif yang kurang berisiko.
  3. Risiko bagi Subjek Data: Apa yang bisa salah (kebocoran data, akses tidak sah, kehilangan kontrol atas data).
  4. Langkah-langkah Pengurangan Risiko: Enkripsi, pembatasan akses, kontrak dengan penyedia proksi, audit rutin.
  5. Konsultasi dengan DPO: Jika Anda memiliki Petugas Perlindungan Data, pendapatnya harus didokumentasikan.

Kontrak dengan Penyedia Proksi sebagai Pengolah Data

Jika penyedia proksi memiliki kemampuan teknis untuk mengakses data pribadi yang melewati servernya, ia secara hukum menjadi "pengolah data" (data processor) menurut terminologi GDPR.

Dalam kontrak dengan penyedia harus dicantumkan:

  • Subjek dan Jangka Waktu Pemrosesan: Data apa yang diproses, selama berapa lama.
  • Kewajiban Pengolah: Menjamin keamanan, kerahasiaan, membantu dalam pelaksanaan hak subjek data.
  • Sub-Pengolah: Apakah penyedia dapat melibatkan pihak ketiga, apakah persetujuan Anda diperlukan.
  • Transfer Lintas Batas: Di negara mana server proksi berada, mekanisme perlindungan apa yang diterapkan (Standard Contractual Clauses, Adequacy Decision).
  • Pemberitahuan Insiden: Kewajiban penyedia untuk segera melaporkan pelanggaran keamanan data.
  • Audit dan Inspeksi: Hak Anda untuk memeriksa kepatuhan penyedia terhadap ketentuan kontrak.

Penting: Banyak penyedia proksi beroperasi dengan prinsip "no-log" (tidak menyimpan log lalu lintas). Dapatkan konfirmasi tertulis tentang kebijakan ini dan sertakan dalam dokumentasi kepatuhan.

Enkripsi Data saat Ditransfer melalui Proksi

Dokumentasikan metode enkripsi yang diterapkan:

  • Proksi HTTPS: Semua lalu lintas antara sistem Anda dan server proksi dienkripsi menggunakan TLS 1.2 atau lebih tinggi.
  • SOCKS5 dengan Tunnel SSH: Tingkat enkripsi tambahan untuk data yang sangat sensitif.
  • Enkripsi End-to-End: Data dienkripsi di sisi pengirim dan hanya didekripsi di sisi penerima, proksi hanya melihat lalu lintas yang terenkripsi.

Dalam dokumentasi, sebutkan versi protokol dan algoritma enkripsi (misalnya: "TLS 1.3 dengan AES-256-GCM").

Persiapan Dokumentasi untuk Audit

Ketika tiba saatnya untuk audit eksternal atau internal, Anda perlu cepat menyediakan paket dokumen lengkap yang membuktikan kepatuhan penggunaan proksi. Berikut adalah yang harus disiapkan sebelumnya:

Paket Dokumen untuk Audit

  1. Kebijakan Penggunaan Server Proksi (versi terkini dengan tanda tangan pejabat yang menyetujui)
    • Riwayat perubahan kebijakan
    • Dokumen tentang pemahaman karyawan (yang ditandatangani atau konfirmasi elektronik)
  2. Inventarisasi Server Proksi
    • Daftar semua proksi yang digunakan (alamat IP, lokasi geografis, jenis)
    • Informasi tentang penyedia (nama perusahaan, kontak, rincian kontrak)
    • Tanggal mulai penggunaan setiap proksi
  3. Log Akses
    • Log untuk 12 bulan terakhir (atau periode yang diminta oleh standar Anda)
    • Laporan tentang anomali yang terdeteksi dan tindakan yang diambil
    • Statistik penggunaan berdasarkan departemen
  4. Kontrak dengan Penyedia
    • Kontrak utama untuk penyediaan layanan proksi
    • Data Processing Agreement (DPA) untuk kepatuhan GDPR
    • Standard Contractual Clauses (SCC), jika proksi terletak di luar UE
    • SLA (Service Level Agreement) dengan jaminan ketersediaan dan keamanan
  5. DPIA (Penilaian Dampak Perlindungan Data) — jika berlaku
  6. Prosedur Manajemen Akses
    • Formulir permohonan akses ke proksi
    • Contoh permohonan yang disetujui dan ditolak
    • Prosedur pencabutan akses saat karyawan dipecat
  7. Insiden dan Penyelidikannya
    • Daftar insiden yang terkait dengan proksi (jika ada)
    • Laporan penyelidikan
    • Tindakan perbaikan
  8. Pelatihan dan Kesadaran
    • Materi pelatihan tentang penggunaan proksi yang aman
    • Catatan tentang pelatihan yang diikuti oleh karyawan

Pertanyaan Umum Auditor

Siapkan untuk menjawab pertanyaan berikut (dengan bukti):

  • "Bagaimana Anda mengontrol bahwa proksi digunakan hanya untuk tujuan yang diizinkan?" — Tunjukkan log dan prosedur pemantauan.
  • "Bagaimana Anda memastikan bahwa data pribadi tidak sampai ke penyedia proksi?" — Tunjukkan DPA, kebijakan enkripsi, konfirmasi no-log.
  • "Seberapa sering Anda meninjau daftar karyawan yang memiliki akses ke proksi?" — Tunjukkan prosedur tinjauan triwulanan.
  • "Apa yang akan terjadi jika penyedia proksi berhenti beroperasi atau dikompromikan?" — Tunjukkan rencana keberlangsungan bisnis (BCP) dan daftar penyedia alternatif.
  • "Bagaimana Anda memastikan kepatuhan saat transfer data lintas batas?" — Tunjukkan SCC dan analisis negara tempat proksi berada.

Automatisasi Persiapan Audit

Buat "folder audit" (fisik atau elektronik) dengan versi terkini dari semua dokumen. Tunjuk orang yang bertanggung jawab untuk memperbarui (biasanya petugas kepatuhan atau CISO).

Gunakan platform GRC (Governance, Risk, Compliance) untuk otomatisasi:

  • OneTrust: Manajemen kebijakan, pengingat otomatis untuk meninjau dokumen.
  • ServiceNow GRC: Integrasi dengan proses TI, pengumpulan bukti kepatuhan secara otomatis.
  • Vanta / Drata: Automatisasi kepatuhan untuk SOC 2, ISO 27001 dengan pemantauan berkelanjutan.

Jangka Waktu Penyimpanan Dokumen dan Log

Berbagai standar dan undang-undang menetapkan jangka waktu minimum untuk penyimpanan dokumentasi dan log. Ketidakpatuhan terhadap jangka waktu ini dapat mengakibatkan denda atau ketidakmampuan untuk membuktikan kepatuhan dalam kasus penyelidikan.

Jenis Dokumen Jangka Waktu Penyimpanan Minimum Dasar Hukum
Kebijakan Penggunaan Proksi Selamanya (dengan riwayat perubahan) ISO 27001, kebijakan internal
Log Akses Proksi 12 bulan (minimal) GDPR, ISO 27001
Log Akses (data keuangan) 7 tahun PCI DSS, undang-undang perpajakan
Kontrak dengan Penyedia Masa berlaku + 5 tahun Hukum sipil
DPIA (penilaian dampak) Selama pemrosesan masih berlaku + 3 tahun GDPR
Permohonan Akses ke Proksi 3 tahun Audit internal
Laporan Insiden 5 tahun ISO 27001, kebijakan internal
Sertifikat Pelatihan Karyawan Masa kerja + 1 tahun Hukum ketenagakerjaan

Rekomendasi: Simpan log akses proksi minimal 24 bulan, meskipun standar hanya mengharuskan 12. Ini memberikan kesempatan untuk melakukan analisis retrospektif dan mengidentifikasi pola penyalahgunaan jangka panjang.

Prosedur Penghapusan Aman

Setelah jangka waktu penyimpanan berakhir, dokumen dan log harus dihapus dengan aman untuk meminimalkan risiko kebocoran data yang sudah usang:

  • Dokumen Elektronik: Gunakan metode penghapusan yang aman (tidak hanya "Hapus", tetapi juga menulis ulang data setidaknya 3 kali).
  • Dokumen Kertas: Penghancuran melalui shredder dengan tingkat kerahasiaan P-4 atau lebih (menurut DIN 66399).
  • Cadangan: Jangan lupa untuk menghapus data dari semua cadangan, bukan hanya dari penyimpanan utama.
  • Dokumentasi Penghapusan: Simpan log penghapusan untuk referensi di masa mendatang.

Catatan: Pastikan untuk mematuhi semua regulasi dan kebijakan internal terkait penghapusan data.

```