IBM Application Security on Cloud
Uraian Layanan
IBM Application Security on Cloud
Uraian Layanan ini menguraikan Layanan Cloud yang disediakan oleh IBM kepada Klien. Klien adalah perusahaan dan pengguna serta penerimanya yang sah atas Layanan Cloud. Penawaran dan Bukti Kepemilikan (PoE) yang berlaku diberikan sebagai Dokumen Transaksi yang terpisah.
1. Layanan Cloud
IBM Application Security on Cloud memberikan suatu tempat tunggal untuk membantu Klien dalam mengidentifikasi kerentanan keamanan (seperti Injeksi SQL, Scripting Lintas Situs (Cross-Site Scripting), dan Kebocoran Data) untuk berbagai aplikasi. Layanan mencakup berbagai jenis teknik pemindaian keamanan aplikasi, yang masing-masing mengidentifikasi masalah keamanan dalam aplikasi tersebut.
IBM Application Security on Cloud memberikan kemampuan berikut:
● Memindai Aplikasi Mobile untuk kerentanan keamanan. Hal ini dilakukan melalui teknologi analisis keamanan dinamis (blackbox) dan Interaktif (glassbox).
● Memindai situs Web produksi atau pra-produksi untuk kerentanan keamanan. Hal ini dilakukan melalui teknik analisis keamanan dinamis (blackbox).
● Memindai alur data dalam aplikasi Web dan Desktop untuk kerentanan keamanan. Hal ini dilakukan melalui teknik analisis keamanan statis (whitebox).
● Laporan kerentanan keamanan terperinci yang mencakup ringkasan tingkat tinggi tentang temuan dan langkah-langkah remediasi yang dapat dilakukan oleh pengembang.
● Integrasi dengan berbagai platform DevOps seperti Maven dan IBM UrbanCode
2. Uraian Keamanan
Layanan Cloud ini mematuhi prinsip-prinsip kerahasiaan dan keamanan data IBM untuk SaaS IBM yang tersedia di xxxxx://xxx.xxx.xxx/xxxxx/xxxxxxxxxxxxxx/xxxxxxx/00 dan setiap syarat-syarat tambahan yang diatur dalam pasal ini. Setiap perubahan pada prinsip-prinsip kerahasiaan dan keamanan data IBM tidak akan menurunkan keamanan dari Layanan Cloud.
3. Dukungan Teknis
Selama periode langganan dan setelah IBM memberitahukan kepada Klien bahwa akses ke Layanan Cloud tersedia, dukungan teknis diberikan melalui forum online dan sebagai dukungan standar selama periode waktu di mana Klien dikenai biaya Bayar per Penggunaan (Pay per Use). Dari dalam Layanan Cloud ini, Klien dapat mengirimkan tiket dukungan atau membuka sesi obrolan untuk bantuan. IBM akan menyediakan Buku Panduan Dukungan Perangkat Lunak sebagai Layanan IBM yang memberikan informasi kontak dukungan teknis dan informasi serta proses lain.
Tingkat Permasalahan | Definisi Tingkat Permasalahan | Sasaran Waktu Tanggapan | Cakupan Waktu Tanggapan |
1 | Pengaruh bisnis penting/layanan bermasalah: Fungsi penting bisnis tidak dapat beroperasi atau antarmuka penting telah gagal. Hal ini biasanya berlaku pada lingkungan produksi dan mengindikasikan ketidakmampuan mengakses layanan yang berpengaruh penting pada pengoperasian. Kondisi ini memerlukan solusi yang mendesak. | Dalam 1 jam | 24x7 |
2 | Pengaruh bisnis yang signifikan: Fitur atau fungsi bisnis layanan dari layanan sangat terbatas dalam penggunaannya atau Klien berisiko melewati tenggat waktu bisnis. | Dalam 2 jam kerja | Jam kerja S-J |
Tingkat Permasalahan | Definisi Tingkat Permasalahan | Sasaran Waktu Tanggapan | Cakupan Waktu Tanggapan |
3 | Pengaruh bisnis minor: Mengindikasikan fungsi atau layanan dapat digunakan dan tidak berpengaruh penting terhadap pengoperasian. | Dalam 4 jam kerja | Jam kerja S-J |
4 | Pengaruh bisnis minimal: Pertanyaan atau permintaan non-teknis | Dalam 1 hari kerja | Jam kerja S-J |
3.1 Akses ke Data Klien
IBM akan dapat mengakses data Klien untuk tujuan mendiagnosis masalah yang terjadi dengan layanan, dan memfasilitasi pemeriksaan aplikasi Klien melalui layanan. IBM akan mengakses data hanya untuk tujuan memperbaiki masalah atau memberikan dukungan untuk layanan atau produk IBM.
4. Informasi Penagihan dan Kepemilikan
4.1 Metrik Biaya
Layanan Cloud tersedia berdasarkan metrik biaya yang ditetapkan dalam Dokumen Transaksi:
a. Mesin Virtual Aplikasi – adalah unit ukuran yang olehnya Layanan Cloud dapat diperoleh. Suatu kepemilikan atas Mesin Virtual Aplikasi diperlukan untuk setiap mesin virtual dari Aplikasi yang terhubung ke Layanan Cloud. Apabila Aplikasi memiliki banyak komponen, yang masing-masing darinya memiliki tujuan dan/atau basis pengguna yang berbeda, dan masing-masing aplikasi dapat dihubungkan ke atau dikelola oleh Layanan Cloud, maka setiap komponen tersebut dianggap sebagai Aplikasi yang terpisah Selain itu, lingkungan pengujian, pengembangan, penahapan, dan produksi untuk suatu Aplikasi masing-masing dianggap sebagai mesin virtual terpisah dari Aplikasi dan masing-masing harus memiliki kepemilikan. Sejumlah mesin virtual Aplikasi dalam suatu lingkungan tunggal masing-masing dianggap sebagai mesin virtual terpisah dari Aplikasi dan masing-masing harus memiliki kepemilikan. Kepemilikan yang memadai harus diperoleh untuk mencakup jumlah Mesin Virtual Aplikasi yang terhubung ke Layanan Cloud selama periode pengukuran yang ditetapkan dalam Bukti Kepemilikan (PoE) atau Dokumen Transaksi Klien.
b. Akses – adalah unit ukuran yang olehnya Layanan Cloud dapat diperoleh. Akses adalah hak untuk menggunakan Layanan Cloud. Klien harus memperoleh kepemilikan Akses tunggal untuk menggunakan Layanan Cloud selama periode pengukuran yang ditetapkan dalam Bukti Kepemilikan (PoE) atau Dokumen Transaksi milik Klien.
4.2 Bayar per Penggunaan (Pay per Use)
Layanan Cloud ini mendukung opsi Bayar per Penggunaan (Pay per Use) yang akan menagih Klien atas penggunaan tersebut pada bulan berikutnya pada tarif yang ditetapkan dalam Dokumen Transaksi.
4.3 Biaya Pertengahan Bulan (Partial Month Charge)
Biaya pertengahan bulan sebagaimana yang ditentukan dalam Dokumen Transaksi dapat dinilai secara pro-rata.
5. Jangka Waktu dan Opsi Pembaruan
Jangka waktu Layanan Cloud dimulai pada tanggal ketika IBM memberitahukan Klien mengenai akses mereka ke Layanan Cloud, sebagaimana yang didokumentasikan dalam PoE. PoE akan menetapkan apakah Layanan Cloud memperbarui secara otomatis, melanjutkan berdasarkan penggunaan berkelanjutan, atau berakhir pada akhir jangka waktu.
Untuk pembaruan otomatis, kecuali apabila Klien memberikan pemberitahuan tertulis untuk tidak memperbarui setidaknya 90 hari sebelum tanggal habis masa berlakunya jangka waktu, Layanan Cloud akan secara otomatis memperbarui untuk jangka waktu yang ditetapkan dalam PoE.
Untuk penggunaan berkelanjutan, Layanan Cloud akan terus tersedia setiap bulan hingga Klien memberikan pemberitahuan tertulis 90 hari sebelumnya mengenai pengakhiran. Layanan Cloud akan tetap tersedia hingga akhir bulan kalender setelah periode 90 hari tersebut.
6. Informasi Tambahan
Pemeriksaan Keamanan mungkin tidak dapat mengidentifikasi semua risiko keamanan dalam aplikasi.
Layanan Cloud dapat digunakan untuk membantu Klien memenuhi kewajiban kepatuhan, yang dapat didasarkan pada peraturan perundang-undangan, regulasi, standar atau kebiasaan umum. Setiap petunjuk, anjuran penggunaan atau panduan yang diberikan oleh Layanan Cloud bukan merupakan nasihat hukum, akuntansi atau nasihat profesional lainnya, dan Klien diperingatkan untuk mendapatkan nasihat dari penasihat hukumnya sendiri atau penasihat ahli lainnya. Klien sepenuhnya bertanggung jawab untuk memastikan bahwa Klien serta aktivitas, aplikasi, dan sistem Klien mematuhi semua peraturan perundang-undangan, regulasi, standar, dan kebiasaan umum yang berlaku. Penggunaan Layanan Cloud ini tidak menjamin kepatuhan terhadap setiap hukum, regulasi, standar atau kebiasaan umum.
Layanan Cloud melakukan pengujian invasif dan non-invasif pada situs web dan aplikasi mobile atau web yang dipilih oleh Klien untuk diperiksa, dan pengujian tersebut memiliki risiko tertentu, termasuk namun tidak terbatas pada hal-hal berikut ini:
a. sistem komputer Klien saat menjalankan aplikasi yang berada dalam pengujian dapat terhenti atau
crash, mengakibatkan sistem tidak tersedia untuk sementara atau data hilang;
b. kinerja dan throughput sistem Klien, serta kinerja dan throughput dari router dan firewall terkait, dapat diturunkan sementara selama pengujian;
c. jumlah catatan pesan (log messages) yang berlebihan dapat dihasilkan, mengakibatkan konsumsi ruang disk file catatan (log) menjadi berlebih;
d. data dapat diubah atau dihapus sebagai akibat dari penyelidikan terhadap kerentanan;
e. alarm dapat dipicu oleh sistem deteksi intrusi;
f. email dapat dipicu oleh fungsi email dari aplikasi web yang sedang diuji; dan
g. Layanan Cloud dapat menahan lalu lintas jaringan yang dipantau untuk tujuan mencari peristiwa.
Apabila Klien memasukkan kredensial log-in yang telah diotentikasi untuk aplikasi yang sedang diuji ke dalam Layanan Cloud, Klien hanya dapat memasukkan kredensial tersebut untuk akun pengujian dan bukan untuk pengguna produksi. Penggunaan kredensial pengguna produksi dapat mengakibatkan data pribadi dikirimkan melalui Layanan Cloud.
Layanan Cloud dapat dikonfigurasi untuk memeriksa aplikasi web produksi. Saat Klien menetapkan jenis pemeriksaan sebagai "produksi", layanan dirancang untuk menjalankan pemeriksaan dengan cara yang mengurangi risiko yang tercantum di atas; namun, dalam situasi tertentu, Layanan Cloud mungkin mengakibatkan penurunan kinerja atau ketidakstabilan dalam situs-situs produksi dan infrastruktur yang diuji. IBM tidak membuat jaminan atau pernyataan sehubungan dengan kesesuaian penggunaan Layanan Cloud untuk memeriksa situs produksi.
ADALAH TANGGUNG JAWAB KLIEN UNTUK MENENTUKAN APAKAH LAYANAN CLOUD TELAH SESUAI ATAU AMAN UNTUK SITUS WEB, APLIKASI WEB, APLIKASI MOBILE, ATAU LINGKUNGAN TEKNIS KLIEN.
Layanan Cloud dirancang untuk mengidentifikasi berbagai potensi masalah keamanan dan kepatuhan dalam aplikasi web, aplikasi mobile, dan layanan web. Layanan ini tidak menguji semua risiko kerentanan atau kepatuhan, ataupun bertindak sebagai penghalang terhadap serangan keamanan. Ancaman keamanan, regulasi, dan standar terus berubah, dan Layanan Cloud mungkin tidak dapat merefleksikan semua perubahan tersebut. Keamanan dan kepatuhan aplikasi web, sistem dan karyawan Klien, serta tindakan perbaikan apa pun, merupakan tanggung jawab Klien sepenuhnya. Merupakan kebijakan Klien semata-mata untuk menggunakan atau tidak menggunakan informasi apa pun yang disediakan oleh Layanan Cloud.
Peraturan perundang-undangan tertentu melarang setiap upaya yang tidak sah untuk memasuki atau mengakses sistem komputer. KLIEN BERTANGGUNG JAWAB UNTUK MEMASTIKAN BAHWA KLIEN TIDAK MENGGUNAKAN LAYANAN CLOUD UNTUK MEMERIKSA SITUS WEB DAN/ATAU APLIKASI APA PUN SELAIN SITUS WEB DAN/ATAU APLIKASI YANG DIMILIKI OLEH KLIEN ATAU YANG UNTUKNYA KLIEN MEMILIKI HAK DAN OTORITAS UNTUK MEMERIKSA.
6.1 Cookies
Klien menyadari dan menyetujui bahwa IBM dapat, sebagai bagian dari dukungan dan operasional normal atas Layanan Cloud, mengumpulkan informasi pribadi dari Klien (kontraktor dan karyawan Klien) terkait dengan penggunaan Layanan Cloud, melalui teknologi pelacakan dan teknologi lainnya. IBM melakukannya untuk mengumpulkan informasi dan statistik penggunaan tentang efektivitas Layanan Cloud kami untuk tujuan meningkatkan pengalaman pengguna dan/atau menyesuaikan interaksi dengan Klien. Klien mengonfirmasi bahwa pihaknya akan atau telah memperoleh persetujuan untuk mengizinkan IBM untuk memproses informasi pribadi yang dikumpulkan untuk tujuan di atas dalam IBM, perusahaan IBM lainnya dan subkontraktor mereka, di mana pun kami dan subkontraktor kami melakukan bisnis, sesuai dengan hukum yang berlaku. IBM akan mematuhi permintaan dari kontraktor dan karyawan Xxxxx untuk mengakses, memperbarui, memperbaiki atau menghapus informasi pribadi mereka yang dikumpulkan tersebut.
7. Perangkat Lunak yang Diaktifkan
Layanan Cloud ini mencakup perangkat lunak yang diaktifkan, yang harus digunakan hanya terkait dengan penggunaan Layanan Cloud oleh Klien, dan hanya selama jangka waktu Layanan Cloud.
This Agreement is made in the English and Indonesian languages. To the extent permitted by the prevailing law, the English language of this Agreement will prevail in the case of any inconsistencies or differences of interpretation with the Indonesian language text of this Agreement.
Perjanjian ini dibuat dalam Bahasa Indonesia dan Bahasa Inggris. Sepanjang diperbolehkan oleh hukum yang berlaku, dalam hal terdapat ketidaksesuaian atau perbedaan penafsiran dengan teks Bahasa Indonesia dari Perjanjian ini, maka teks dalam Bahasa Inggris yang akan berlaku.