IBM Application Security on Cloud

Uraian Layanan

IBM Application Security on Cloud

Uraian Layanan ini menguraikan Layanan Cloud yang disediakan oleh IBM untuk Klien. Klien adalah pihak yang melakukan perjanjian serta pengguna dan penerimanya yang sah atas Layanan Cloud. Penawaran dan Bukti Kepemilikan (Proof of Entitlement - "PoE") yang berlaku diberikan sebagai Dokumen Transaksi yang terpisah.

1. Layanan Cloud

IBM Application Security on Cloud memberikan suatu tempat tunggal untuk membantu Klien dalam mengidentifikasi kerentanan keamanan (seperti Injeksi SQL, Penulisan Skrip Lintas Situs, dan Kebocoran Data) untuk berbagai aplikasi. Layanan meliputi berbagai jenis teknik pemindaian keamanan aplikasi yang masing-masing mengidentifikasi masalah keamanan dalam aplikasi tersebut.

IBM Application Security on Cloud memberikan kemampuan berikut:

● Memindai Aplikasi Mobile untuk kerentanan keamanan. Hal ini dilakukan melalui teknologi analisis keamanan interaktif (glassbox).

● Memindai situs Web produksi atau pra-produksi di jaringan pribadi atau yang terhubung secara publik untuk kerentanan keamanan. Hal ini dilakukan melalui teknik analisis keamanan dinamis (blackbox).

● Memindai aliran data dalam aplikasi Web dan Desktop untuk kerentanan keamanan. Hal ini dilakukan melalui teknik analisis keamanan statis (whitebox).

● Laporan kerentanan keamanan terperinci yang mencakup ringkasan tingkat tinggi tentang temuan dan langkah-langkah perbaikan yang dapat dilakukan oleh para pengembang.

● Integrasi dengan berbagai platform DevOps.

● Kemampuan kognitif untuk cakupan pindai mendalam dan kecepatan/efisiensi dalam menyelesaikan kerentanan aktual.

1.1 IBM Application Security Analyzer

IBM Application Security Analyzer dapat dipesan per Mesin Virtual Aplikasi, per Pekerjaan (pindai), atau sebagai Mesin Virtual dan memungkinkan tipe pemindaian berikut ini:

● Penganalisis Dinamis (Dynamic Analyzer) – Menguji situs web pra-produksi atau produksi melalui teknik DAST

● Penganalisis Mobile (Mobile Analyzer) – Menguji biner iOS atau Android melalui teknik IAST

● Penganalisis Statis (Static Analyzer) – Menguji bita – atau alur data kode-sumber melalui teknik SAST

● Intelligent Finding Analytics for IBM AppScan Source – Menggunakan kemampuan kognitif untuk mengurangi positif dan derau palsu serta mengidentifikasi lokasi perbaikan optimal, untuk bantuan Sumber AppScan

1.2 IBM Application Security Open Source Analyzer

IBM Application Security Open Source Analyzer menemukan dan mengidentifikasi paket sumber terbuka yang digunakan dalam kode aplikasi. Layanan ini meninjau kerentanan paket dan memberikan nasihat perbaikan. IBM Application Security Open Source Analyzer dapat dipesan per Mesin Virtual Aplikasi atau sebagai Mesin Virtual.

1.3 Layanan Pengaturan

IBM Application Security on Cloud Consulting Services adalah layanan pengaturan yang diproduksi untuk Penganalisis Aplikasi (Application Analyzer). Layanan tersebut menggunakan konsultan IBM untuk memberikan panduan dan bantuan dengan pengujian dan manajemen risiko aplikasi. IBM Application Security on Cloud Consulting Services dibeli sebagai blok Pengikatan yang dapat ditambahkan dalam kuantitas yang tercantum di bawah ini untuk permintaan dan penggunaan layanan spesifik berikut ini:

a. Mulai Cepat [Menggunakan satu (1) unit Pengikatan]

Layanan Mulai Cepat memberikan keahlian dan panduan untuk menggunakan fitur pengujian dan manajemen risiko Application Security on Cloud. Setelah Klien mengonfirmasi berhasil login ke

portal Application Security on Cloud, IBM akan memfasilitasi konferensi web hingga selama dua (2) jam dan untuk dua (2) peserta aktif guna memberikan edukasi mengenai konfigurasi dan fungsi layanan AppSec on Cloud dasar termasuk tipe pemindaian, menjalankan pemindaian, meninjau laporan, dan memasang peralatan serta plug-in terkait. Layanan Mulai Cepat selesai setelah penyelesaian terhadap (a) webinar edukasi klien, (b) pemasangan peralatan dan plug-in yang berlaku, dan (c) membantu Klien untuk mengatur dan menjalankan pemindaian pertama Klien.

b. Peninjauan Penilaian [Menggunakan dua (2) unit Pengikatan]

Layanan Peninjauan Penilaian memberikan bantuan peninjauan hasil pengujian, termasuk memahami dan memprioritaskan perbaikan pada kerentanan dalam aplikasi. IBM akan memfasilitasi konferensi web untuk hingga satu (1) jam dan dua (2) peserta aktif untuk memberikan ikhtisar mengenai kerentanan yang ditemukan dan keseluruhan risiko keamanan aplikasi dan diskusi terperinci mengenai kerentanan keamanan aplikasi yang ditemukan termasuk (1) cara untuk menguji kerentanan, (2) cara mendeteksi kerentanan, (3) risiko setiap kerentanan, dan (4) memberikan rekomendasi perbaikan umum untuk membantu memperbaiki kerentanan. Peninjauan hanya akan didasarkan pada hasil pengujian dan bukan merupakan peninjauan atas kode sumber itu sendiri. Klien akan meninjau hasil pengujian dan akan mengidentifikasi dengan IBM mengenai hasil pengujian untuk peninjauan sebelum konferensi web. Layanan Peninjauan Penilaian selesai setelah penyelesaian konferensi web.

c. Pindai untuk Saya [Menggunakan empat (4) unit Pengikatan]

Layanan Pindai untuk Saya menyediakan seorang ahli keamanan aplikasi IBM yang akan mengonfigurasi dan menjalankan pemindaian, memvalidasi hasil, dan menjalankan pengarahan singkat laporan untuk meninjau temuan. Klien akan mengizinkan konsultan IBM untuk mengakses lingkungan ASoC-nya untuk mengonfigurasi dan menjalankan pemindaian, memvalidasi hasil, memberikan rekomendasi pada prioritas perbaikan, dan menjalankan pengarahan singkat laporan mengenai hasil. IBM akan memfasilitasi konferensi web untuk hingga satu (1) jam dan dua (2) peserta aktif untuk memberikan ikhtisar mengenai kerentanan yang ditemukan dan keseluruhan risiko keamanan aplikasi dan diskusi terperinci mengenai kerentanan keamanan aplikasi yang ditemukan termasuk (1) cara untuk menguji kerentanan, (2) cara mendeteksi kerentanan, (3) risiko setiap kerentanan, dan (4) memberikan rekomendasi perbaikan umum untuk membantu memperbaiki kerentanan. Jika diminta dan hingga 00 xxxx xxxxxxx xxxxxxxxxx xxxx, XXX akan menyediakan pemindaian ulang dengan menggunakan konfigurasi pemindaian awal hanya untuk memverifikasi perbaikan keamanan, tidak untuk menguji fungsionalitas baru, memvalidasi hasil, dan mengirim laporan kepada Klien. Layanan Pindai untuk Saya selesai setelah penyelesaian konferensi web untuk meninjau hasil pemindaian awal atau, jika berlaku, penyelesaian pemindaian ulang sebagaimana yang diminta oleh Klien dan mengirimkan laporan pemindaian ulang kepada Xxxxx.

d. Penasihat Berdasarkan Permintaan [Menggunakan tujuh (7) unit Pengikatan]

Layanan Penasihat Berdasarkan Permintaan memberikan hingga dua puluh (20) jam waktu konsultasi IBM yang dapat digunakan untuk aktivitas yang berkaitan dengan Layanan Cloud. Konsultan IBM akan membantu dengan topik spesifik keamanan aplikasi, termasuk, namun tidak terbatas pada, manajemen program, prioritas pengujian keamanan, strategi perbaikan, analisis kode sumber, dan perbaikan kode sumber. IBM akan bekerja dengan Klien untuk memahami dan membuat jadwal proyek dengan persyaratan spesifik Klien, termasuk sasaran proyek, teknologi yang sesuai, alur waktu yang diinginkan, materi yang disampaikan yang diharapkan, dan perkiraan jumlah pengikatan layanan Penasihat Berdasarkan Permintaan. Klien harus memberikan akses ke aplikasi, sistem, dan dokumentasi penting yang diperlukan untuk menjalankan layanan. Layanan Advisor on Demand selesai jika keahlian keamanan telah dilaksanakan selama hingga 20 jam dan/atau setelah skedul proyek dan/atau materi yang disampaikan terdokumentasi yang ditentukan dalam skedul proyek telah dikirim kepada Klien.

e. Pengujian Penetrasi Aplikasi

Tiga opsi:

(1) Penyelesaian/Pengujian Penetrasi Aplikasi Tingkat Awal yang mencakup hingga empat puluh (40) jam waktu Konsultan dan berfokus pada kesalahan logika langkah tunggal dan Versi alur injeksi yang Lebih Sederhana. [Menggunakan lima belas (15) unit Pengikatan.]

(2) Pengujian Penetrasi Aplikasi Standar yang mencakup hingga enam puluh (60) jam waktu Konsultan dan memperluas fokus untuk mencakup kesalahan Logika dalam alur kerja multi-

langkah, Versi kesalahan injeksi yang Kompleks, dan Analisis tipe data kompleks. [Menggunakan dua puluh satu (21) unit Pengikatan.]

(3) Pengujian Penetrasi Aplikasi Lanjutan – Hingga delapan puluh (80) jam waktu Konsultan, dan memperluas fokus untuk mencakup Rekayasa balik file yang dapat dieksekusi yang dikompilasi, Pemotongan protokol jaringan kustom, Analisis mendalam terhadap kerangka kerja dan pustaka yang tersedia secara publik. [Menggunakan dua puluh tujuh (27) unit Pengikatan.]

Layanan pengujian penetrasi aplikasi memberikan sumber IBM untuk menjalankan pengujian dan eksploitasi aplikasi, pengiriman laporan pengujian, dan pengarahan singkat laporan untuk menjelaskan temuan dan risiko terkait.

IBM akan memfasilitasi panggilan awal proyek selama hingga satu (1) jam dan dua (2) peserta aktif untuk meninjau lingkungan dan organisasi Klien, termasuk platform aplikasi, arsitektur, kerangka kerja, infrastruktur pendukung, masalah keamanan yang diketahui atau masalah terkait dengan aplikasi, jadwal pengujian awal dan rencana kontak darurat.

IBM akan mengadakan pengujian penetrasi aplikasi termasuk, namun tidak terbatas pada: identifikasi kerentanan umum seperti injeksi SQL dan penulisan skrip lintas situs, penilaian keunggulan dan kelemahan kendali keamanan yang ada seperti validasi input, otentikasi, dan otorisasi, memeriksa pelaksanaan logika bisnis yang sesuai, validasi penggunaan protokol keamanan yang sesuai, identifikasi kesalahan penanganan sesi, dan verifikasi pengendalian keamanan yang sesuai pada login, pembaruan kata sandi, kebijakan kata sandi, dan fungsi pengelolaan pengguna lainnya. Temuan akan didokumentasikan dalam Laporan Pengujian Penetrasi Aplikasi. IBM akan memfasilitasi konferensi web untuk pengarahan singkat laporan hingga selama satu (1) jam. Layanan Pengujian Penetrasi Aplikasi selesai saat waktu konsultasi yang diberikan telah digunakan, konferensi web telah dijalankan dan Laporan Pengujian Penetrasi Aplikasi akhir telah dikirimkan kepada Klien.

1.3.1 Tanggung Jawab Layanan Pengaturan

IBM akan:

● memberikan Layanan Pengaturan dengan menggunakan unit Pengikatan yang dibeli oleh Klien dan sesuai jangka waktu pemesanan Klien; dan

● telah menyelesaikan Layanan Pengaturan saat kriteria penyelesaian yang diuraikan dalam Pasal

1.2 telah lengkap. Klien menyetujui untuk:

● bertanggung jawab atas semua biaya yang terkait dengan semua permintaan Pengikatan yang dibuat oleh Klien selama jangka waktu kontrak;

● menggunakan unit Pengikatan yang dibeli selama jangka waktu kontrak awal karena akan berakhir masa berlakunya apabila tidak digunakan hingga tanggal akhir periode kontrak; dan

● mengajukan permintaan resmi untuk semua Layanan Pengaturan setidaknya 30 hari sebelum tanggal akhir langganan.

Dalam kinerja Layanan Pengaturan apa pun, IBM dapat meminta informasi dan kerja sama yang wajar dari Klien. Kegagalan Klien untuk memberikan informasi dan kerja sama yang diminta secara tepat waktu dapat, sebagaimana yang ditentukan oleh IBM, mengakibatkan biaya unit Pengikatan sebagaimana yang disyaratkan oleh layanan atau keterlambatan pada kinerja layanan yang berlaku.

Agar IBM dapat menjalankan pengujian dengan akurat, Klien setuju untuk mematuhi instruksi IBM dalam mempersiapkan dan mengelola lingkungan selama periode pengujian.

2. Uraian Keamanan

Layanan Cloud ini mematuhi prinsip-prinsip kerahasiaan dan keamanan data IBM untuk SaaS IBM yang tersedia di xxxx://xxx.xxx.xxx/xxxxx/xxxx-xxxxxxxx dan setiap syarat-syarat tambahan yang diatur dalam pasal ini. Setiap perubahan pada prinsip-prinsip kerahasiaan dan keamanan data IBM tidak akan menurunkan keamanan Layanan Cloud.

Layanan Cloud ini dapat digunakan untuk memproses konten yang berisi data pribadi apabila Xxxxx, sebagai pengendali data, menentukan bahwa tindakan keamanan teknis dan organisasi sesuai dengan risiko yang ditimbulkan oleh pemrosesan dan sifat data yang akan dilindungi. Klien memahami bahwa Layanan Cloud ini tidak menawarkan fitur untuk perlindungan data pribadi sensitif, atau data yang tunduk

pada persyaratan peraturan tambahan. Klien menyatakan bahwa IBM tidak memiliki pengetahuan mengenai jenis data yang telah disertakan dalam konten, dan tidak dapat membuat penilaian atas kesesuaian Layanan Cloud atau perlindungan keamanan yang ada.

IBM tidak beroperasi sebagai penyedia layanan yang diatur oleh Komisi Komunikasi Federal (Federal Communications Commission - "FCC") atau otoritas pengaturan negara bagian ("Regulator Negara Bagian"), dan tidak bermaksud untuk memberikan layanan apa pun yang diatur oleh FCC atau Regulator Negara Bagian. Jika FCC atau Regulator Negara Bagian mana pun mengenakan kewajiban atau persyaratan pengaturan pada layanan apa pun yang diberikan oleh IBM berdasarkan perjanjian ini, IBM dapat: (a) memodifikasi, mengganti, atau mencadangkan produk dengan biaya yang ditanggung oleh Klien, dan/atau (b) mengubah cara layanan tersebut diberikan kepada Klien untuk menghindari penerapan persyaratan atau kewajiban tersebut kepada IBM (misalnya, dengan bertindak sebagai agen Klien untuk mendapatkan layanan tersebut dari penyedia layanan umum pihak ketiga).

3. Dukungan Teknis

Dukungan teknis untuk Layanan Cloud diberikan melalui forum online publik yang dibagikan di antara pelanggan Layanan Cloud lainnya. Klien meyetujui bahwa IBM bebas untuk menggunakan umpan balik atau informasi apa pun yang Klien posting ke forum. IBM akan menyediakan Buku Petunjuk Dukungan Perangkat Lunak sebagai Layanan IBM yang menyediakan informasi kontak dukungan teknis serta informasi dan proses lain. Dukungan teknis ditawarkan dengan Layanan Cloud dan tidak tersedia sebagai suatu tawaran terpisah.

3.1 Akses ke Data Klien

IBM akan dapat mengakses data Klien untuk tujuan mendiagnosis masalah yang terjadi dengan layanan dan memfasilitasi pemindaian aplikasi Klien oleh layanan. IBM akan mengakses data hanya untuk tujuan memperbaiki kecacatan atau memberikan dukungan untuk produk atau layanan IBM.

4. Informasi Penagihan dan Kepemilikan

4.1 Metrik Biaya

Layanan Cloud tersedia berdasarkan metrik biaya yang ditetapkan dalam Dokumen Transaksi:

a. Pekerjaan – adalah suatu unit ukuran yang olehnya Layanan Cloud dapat diperoleh. Pekerjaan merupakan suatu objek dalam Layanan Cloud yang tidak dapat dibagi lebih lanjut dan mewakili suatu proses komputasi termasuk seluruh sub-prosesnya. Kepemilikan yang memadai harus diperoleh untuk mencakup total jumlah Pekerjaan yang diproses atau dikelola oleh Layanan Cloud selama periode pengukuran yang ditetapkan dalam PoE atau Dokumen Transaksi Klien.

b. Mesin Virtual Aplikasi – adalah suatu unit ukuran yang olehnya Layanan Cloud dapat diperoleh. Kepemilikan atas Mesin Virtual Aplikasi diperlukan untuk setiap mesin virtual Aplikasi yang terhubung ke Layanan Cloud. Apabila Aplikasi memiliki banyak komponen yang masing-masing darinya memiliki tujuan dan/atau basis pengguna yang berbeda dan masing-masing komponen tersebut dapat terhubung ke atau dikelola oleh Layanan Cloud, setiap komponen tersebut dianggap sebagai Aplikasi yang terpisah. Selain itu, lingkungan pengujian, pengembangan, staging, dan produksi untuk suatu Aplikasi masing-masing dianggap sebagai mesin virtual yang terpisah dari Aplikasi dan masing-masing harus mempunyai kepemilikan. Beberapa Mesin Virtual Aplikasi dalam suatu lingkungan tunggal masing-masing dianggap sebagai mesin virtual yang terpisah dari Aplikasi dan masing-masing harus mempunyai kepemilikan. Kepemilikan-kepemilikan yang memadai harus diperoleh untuk mencakup jumlah Mesin Virtual Aplikasi yang terhubung ke Layanan Cloud selama periode pengukuran yang ditetapkan dalam PoE atau Dokumen Transaksi Klien.

Untuk Layanan Cloud ini, Mesin Virtual Aplikasi adalah pemindaian aplikasi tunggal berurutan yang didefisinikan lebih lanjut sebagai berikut:

● Untuk Pengujian Dinamis: situs web yang dapat ditemukan melalui URL pribadi atau publik. Setiap Mesin Virtual aplikasi berhak atas situs hingga 5.000 halaman di suatu domain tunggal.

● Untuk Pengujian Statis: unit kode yang dibuat untuk lingkungan yang dapat dijalankan tunggal. Setiap Mesin Virtual Aplikasi berhak atas unit pemindaian kode hingga 1.000.000 jalur.

● Untuk Pengujian Mobile: suatu unit kode biner yang dapat dijalankan pada perangkat mobile. Setiap platform mobile yang berbeda (misalnya, iOS dan Android) merupakan mesin virtual aplikasi yang berbeda.

● Untuk Pengujian Sumber Terbuka: unit kode yang dibuat untuk lingkungan yang dapat dijalankan tunggal. Setiap Mesin Virtual Aplikasi berhak atas unit pemindaian kode hingga

1.000.000 jalur.

● Untuk Intelligent Finding Analytics for IBM AppScan Source: file penilaian Appscan Source tunggal.

c. Mesin Virtual – adalah suatu unit ukuran yang olehnya Layanan Cloud dapat diperoleh. Mesin Virtual adalah akses ke suatu konfigurasi spesifik Layanan Cloud. Kepemilikan yang memadai harus diperoleh untuk setiap Mesin Virtual Layanan Cloud yang tersedia untuk akses dan penggunaan selama periode pengukuran yang ditetapkan dalam Bukti Kepemilikan (Proof of Entitlement - "PoE") atau Dokumen Transaksi Klien.

Untuk setiap kepemilikan Mesin Virtual, tidak ada batas untuk jumlah Pekerjaan yang dilakukan atau Mesin Virtual Aplikasi (Aplikasi yang terhubung), namun dengan ketentuan bahwa, tidak lebih dari 10 Pekerjaan dapat dijalankan pada suatu waktu tertentu.

d. Pengikatan – adalah suatu unit ukuran yang olehnya layanan dapat diperoleh. Pengikatan terdiri atas layanan profesional dan/atau pelatihan yang berkaitan dengan Layanan Cloud. Kepemilikan yang memadai harus diperoleh untuk mencakup setiap Pengikatan.

4.2 Biaya Pertengahan Bulan (partial Month Charges)

Biaya pertengahan bulan sebagaimana yang dtetapkan dalam Dokumen Transaksi dapat dinilai secara pro-rata.

4.3 Biaya untuk Kelebihan Penggunaan

Apabila penggunaan yang sebenarnya atas Layanan Cloud selama periode pengukuran melampaui kepemilikan yang ditetapkan dalam PoE, Klien akan dikenai biaya untuk kelebihan penggunaan tersebut sebagaimana yang ditetapkan dalam Dokumen Transaksi.

4.4 Biaya Pengaturan

Klien akan dikenai biaya untuk pengaturan sebagaimana yang ditetapkan dalam Dokumen Transaksi.

5. Jangka Waktu dan Opsi Pembaruan

Jangka waktu Layanan Cloud dimulai pada tanggal ketika IBM memberi tahu Klien mengenai akses mereka ke Layanan Cloud, sebagaimana yang didokumentasikan dalam PoE. PoE akan menetapkan apakah Layanan Cloud memperbarui secara otomatis, berlanjut berdasarkan penggunaan berkelanjutan, atau berakhir pada akhir jangka waktu.

Untuk pembaruan otomatis, kecuali apabila Klien memberikan pemberitahuan tertulis untuk tidak memperbaruinya setidaknya 30 hari sebelum tanggal habis masa berlakunya jangka waktu, Layanan Cloud akan secara otomatis memperbarui untuk jangka waktu yang ditetapkan dalam PoE.

Untuk penggunaan berkelanjutan, Layanan Cloud akan terus tersedia dengan basis per bulan hingga Klien memberikan pemberitahuan tertulis 30 hari sebelumnya mengenai pengakhiran. Layanan Cloud akan tetap tersedia hingga akhir bulan kalender setelah periode 30 hari tersebut.

6. Syarat-syarat Tambahan

6.1 Pertimbangan Keamanan

Pemindaian keamanan mungkin tidak mengidentifikasi semua risiko keamanan dalam suatu aplikasi, dan juga tidak dirancang atau dimaksudkan untuk penggunaan dalam lingkungan yang berbahaya yang memerlukan pengoperasian bebas kesalahan, termasuk namun tidak terbatas pada navigasi penerbangan, sistem kendali lalu lintas udara, sistem persenjataan, sistem pendukung kehidupan, fasilitas nuklir, atau aplikasi lain apa pun di mana kegagalan untuk mengidentifikasi risiko keamanan dapat menyebabkan kematian, cedera pribadi, atau kerusakan properti.

Layanan Cloud dapat digunakan untuk membantu Klien memenuhi kewajiban kepatuhan yang dapat didasarkan pada peraturan perundang-undangan, regulasi, standar atau kebiasaan umum. Setiap petunjuk, anjuran penggunaan atau panduan yang diberikan oleh Layanan Cloud bukan merupakan nasihat hukum, akuntansi atau nasihat profesional lainnya, dan Klien diperingatkan untuk mendapatkan nasihat ahli hukum atau ahli lainnya sendiri. Penggunaan Layanan Cloud ini tidak menjamin kepatuhan terhadap setiap peraturan perundang-undangan, regulasi, standar atau kebiasaan umum.

Layanan Cloud melakukan pengujian invasif dan non-invasif pada situs web dan aplikasi web atau mobile yang dipilih Klien untuk dipindai. Peraturan perundang-undangan tertentu melarang setiap upaya yang

tidak sah untuk memasuki atau mengakses sistem komputer. Klien mengizinkan IBM untuk menjalankan Layanan sebagaimana yang diuraikan dalam perjanjian ini dan menyatakan bahwa Layanan merupakan akses yang sah ke sistem komputer Klien. IBM dapat mengungkapkan pemberian wewenang ini ke pihak ketiga jika dianggap perlu untuk menjalankan Layanan.

Pengujian memiliki risiko tertentu, termasuk namun tidak terbatas pada hal-hal berikut ini:

a. sistem komputer Klien saat menjalankan aplikasi yang diuji dapat terhenti (hang) atau terganggu (crash), yang mengakibatkan sistem tidak tersedia untuk sementara atau hilangnya data;

b. kinerja dan throughput sistem Klien, serta kinerja dan throughput dari router dan firewall terkait, dapat diturunkan (degraded) sementara selama pengujian;

c. jumlah pesan catatan (log messages) yang berlebihan dapat dihasilkan, mengakibatkan penggunaan ruang disk file catatan (log file) yang berlebih;

d. data dapat diubah atau dihapus sebagai akibat dari pemeriksaan terhadap kerentanan;

e. alarm dapat terpicu oleh sistem deteksi intrusi;

f. email dapat terpicu oleh fungsi email dari aplikasi web yang sedang diuji; dan

g. Layanan Cloud dapat menghalangi lalu lintas jaringan yang dipantau untuk tujuan mencari peristiwa.

Hak perjanjian tingkat layanan dan ganti rugi apa pun yang diberikan oleh IBM dan yang berkaitan dengan situs web atau aplikasi yang diuji akan diabaikan selama aktivitas pengujian apa pun.

Apabila Klien memasukkan kredensial log-in yang telah diotentikasi untuk aplikasi yang diuji ke dalam Layanan Cloud, Klien hanya dapat memasukkan kredensial tersebut untuk akun pengujian dan bukan untuk pengguna produksi. Penggunaan kredensial pengguna produksi dapat mengakibatkan data pribadi ditransmisikan melalui Layanan Cloud.

Layanan Cloud dapat dikonfigurasi untuk memindai aplikasi web produksi. Saat Klien menetapkan jenis pemindaian sebagai "produksi", layanan dirancang untuk melakukan pemindaian dengan cara yang mengurangi risiko-risiko yang tercantum di atas; namun, dalam situasi tertentu, Layanan Cloud dapat mengakibatkan penurunan kinerja atau ketidakstabilan dalam infrastruktur dan situs-situs produksi yang diuji. IBM tidak membuat jaminan atau pernyataan apa pun sehubungan dengan kesesuaian penggunaan Layanan Cloud untuk memindai situs produksi. Klien bertanggung jawab untuk menentukan apakah Layanan Cloud sesuai atau aman untuk situs web, aplikasi web, aplikasi mobile atau lingkungan teknis Klien.

Layanan Cloud dirancang untuk mengidentifikasi berbagai potensi masalah keamanan dan kepatuhan dalam aplikasi web dan mobile, serta layanan web. Layanan ini tidak menguji semua risiko kerentanan atau kepatuhan, juga tidak bertindak sebagai penghalang terhadap serangan keamanan. Ancaman keamanan, regulasi, dan standar terus berubah, dan Layanan Cloud mungkin tidak dapat merefleksikan semua perubahan tersebut. Keamanan dan kepatuhan dari aplikasi web, sistem dan karyawan Klien, serta tindakan perbaikan apa pun, merupakan tanggung jawab Klien sepenuhnya. Atas kebijakannya sendiri, Xxxxx dapat memilih untuk menggunakan atau tidak menggunakan informasi apa pun yang disediakan oleh Layanan Cloud.

Peraturan perundang-undangan tertentu melarang setiap upaya yang tidak sah untuk memasuki atau mengakses sistem komputer. Klien bertanggung jawab untuk memastikan bahwa klien tidak menggunakan layanan cloud untuk memindai situs web dan aplikasi apa pun selain situs web dan aplikasi yang dimiliki oleh klien atau yang menjadi hak dan wewenang klien untuk dipindai.

Agar lebih jelas, konten Klien yang diuraikan dalam pasal Perlindungan Data pada Perjanjian Layanan Cloud atau Syarat-syarat Penggunaan – Syarat-syarat Umum untuk Tawaran Cloud, sebagaimana berlaku, juga dianggap mencakup data yang mungkin dapat diakses oleh IBM selama Pengujian Penetrasi Aplikasi.

6.2 Sistem yang Dimiliki oleh Pihak Ketiga

Untuk sistem (yang untuk tujuan penyediaan ini termasuk namun tidak terbatas pada aplikasi dan alamat IP) yang dimiliki oleh pihak ketiga yang akan menjadi subjek pengujian berdasarkan perjanjian ini, Klien menyetujui:

a. bahwa sebelum IBM memulai pengujian pada sistem pihak ketiga, Klien akan mendapatkan surat bertanda tangan dari pemilik setiap sistem yang mengizinkan IBM untuk memberikan Layanan pada sistem tersebut, dan mengindikasikan persetujuan pemilik atas ketentuan yang tercantum dalam

pasal yang berjudul "Izin untuk Menjalankan Pengujian" dan untuk memberikan salinan surat izin tersebut kepada IBM;

b. bertanggung jawab sepenuhnya untuk mengomunikasikan risiko, eksposur, dan kerentanan apa pun yang teridentifikasi dalam sistem ini oleh pengujian jarak jauh IBM kepada pemilik sistem; dan

c. untuk mengatur dan memfasilitasi pertukaran informasi antara pemilik sistem dan IBM sebagaimana yang dianggap perlu oleh IBM.

Klien menyetujui:

● untuk segera memberi tahu IBM jika terdapat perubahan pada kepemilikan sistem apa pun yang menjadi subjek pengujian berdasarkan perjanjian ini;

● tidak mengungkapkan materi yang disampaikan atau fakta bahwa IBM menjalankan Layanan di luar Perusahaan Klien tanpa persetujuan tertulis dari IBM sebelumnya; dan

● untuk memberikan ganti rugi kepada IBM sepenuhnya atas kehilangan atau tanggung jawab apa pun yang dibebankan oleh IBM karena klaim pihak ketiga yang timbul karena kegagalan Klien untuk mematuhi persyaratan pasal yang berjudul, "Sistem yang Dimiliki oleh Pihak Ketiga" ini dan untuk surat panggilan pengadilan atau klaim pihak ketiga apa pun terhadap IBM atau subkontraktor atau agen IBM yang timbul karena (a) pengujian risiko keamanan, eksposur atau kerentanan sistem yang merupakan subjek pengujian berdasarkan perjanjian ini, (b) pemberian hasil pengujian tersebut kepada Klien, atau (c) penggunaan atau pengungkapan Klien atas hasil tersebut.

6.3 Data Keamanan

Sebagai bagian dari Layanan Cloud, yang mencakup aktivitas pelaporan, IBM akan mempersiapkan dan mengelola informasi yang dideidentifikasi dan/atau agregat yang dikumpulkan dari Layanan Cloud (disebut "Data Keamanan"). Data Keamanan tidak akan mengidentifikasi Klien, atau individu, kecuali sebagaimana yang diatur dalam butir (d) di bawah ini. Selain itu, dengan ini Klien menyetujui bahwa IBM dapat menggunakan dan/atau menyalin Data Keamanan hanya untuk tujuan berikut:

a. memublikasikan dan/atau mendistribusikan Data Keamanan (misalnya dalam kompilasi dan/atau analisis yang berkaitan dengan keamanan dunia maya);

b. mengembangkan atau meningkatkan produk atau layanan;

c. menjalankan penelitian secara internal atau dengan pihak ketiga; dan

d. membagi informasi pelaku pihak ketiga yang dikonfirmasi secara sah menurut hukum.

6.4 Perangkat Lunak yang Diaktifkan

Layanan Cloud memerlukan penggunaan perangkat lunak yang diaktifkan yang diunduh oleh Klien ke sistem Klien untuk memfasilitasi penggunaan Layanan Cloud. Klien dapat menggunakan perangkat lunak yang diaktifkan hanya sehubungan dengan penggunaan Layanan Cloud. Perangkat lunak yang diaktifkan diberikan "SEBAGAIMANA ADANYA".

6.5 Pencadangan

Pencadangan dijalankan setiap hari. IBM akan menyimpan salinan cadangan data Klien selama periode maksimal 90 hari. Klien bertanggung jawab untuk mengonfigurasi keamanan Layanan Cloud guna mencegah pengguna individu menghapus data, dan apabila data telah dihapus, Klien menyetujui bahwa IBM tidak berkewajiban untuk memulihkan data yang dihapus dan, apabila tersedia, dapat mengenakan biaya untuk upaya tersebut.

6.6 Habis Masa Berlaku Layanan Cloud

Sebelum pengakhiran atau habisnya masa berlaku Layanan Cloud, Klien dapat menggunakan fitur pelaporan atau ekspor apa pun yang diberikan oleh Layanan Cloud untuk mengekstrak data. Layanan ekstraksi data kustom tersedia berdasarkan perjanjian terpisah.

This document is made in the English and Indonesian languages. To the extent permitted by the prevailing law, the English language of this document will prevail in the case of any inconsistencies or differences of interpretation with the Indonesian language text of this document.

Dokumen ini dibuat dalam bahasa Indonesia dan bahasa Inggris. Sepanjang diperbolehkan oleh hukum yang berlaku, dalam hal terdapat ketidaksesuaian atau perbedaan penafsiran dengan teks bahasa Indonesia dari dokumen ini, maka teks dalam bahasa Inggris yang akan berlaku.