Keamanan Data Cloud Call Center: Standar yang Harus Dipenuhi

Ringkasan artikel：KeamananDataCloudCallCenter:StandaryangHarusDipenuhiDenganmaraknyacloudcallcenterdanberlakunyaUndang-UndangPerlindunganDataPribadidiIndonesia,keamanandatatelahmenjadibata...

Keamanan Data Cloud Call Center: Standar yang Harus Dipenuhi

Dengan maraknya cloud call center dan berlakunya Undang-Undang Perlindungan Data Pribadi di Indonesia, keamanan data telah menjadi batas bawah yang harus diperhatikan perusahaan. Artikel ini merinci standar keamanan dan langkah-langkah teknis yang harus dipatuhi oleh call center cloud.

1. Jenis Data yang Terlibat dalam Cloud Call Center: Konten Panggilan, PII Pelanggan, Informasi Agen

Cloud call center, sebagai sistem inti yang mengumpulkan interaksi pelanggan, mengalirkan berbagai data bernilai tinggi dan berisiko tinggi. Memahami jenis data adalah prasyarat untuk menerapkan perlindungan:

Konten & rekaman panggilan. Ini adalah data sensitif tingkat tertinggi, tidak hanya berisi konsultasi dasar pelanggan tetapi juga alamat, detail pesanan, bahkan status emosi. UU PDP memiliki batasan pemrosesan data pribadi yang jelas, dan setiap pemrosesan harus sesuai dengan tujuan yang disetujui subjek data.

Informasi identitas pribadi pelanggan. Setiap informasi yang dapat digunakan untuk mengidentifikasi orang secara langsung (nama, nomor KTP, nomor rekening bank, data biometrik, atau nomor telepon) termasuk dalam PII yang dilindungi. Selama transmisi data PII (terutama saat menggunakan jaringan VoIP), langkah-langkah keamanan ketat harus diterapkan.

Data kredensial & akses agen. Kredensial login sistem call center, alamat IP, dan log operasi yang dilakukan agen (kapan login, kapan mengakses akun pelanggan mana). Data ini adalah bukti inti untuk audit kepatuhan dan pelacakan keamanan.

Sejak 2024, OJK mulai menjatuhkan sanksi berat kepada lembaga keuangan yang gagal melindungi data konsumen. Perusahaan tidak dapat lagi mengabaikan keamanan data, karena data ini telah menjadi target penjahat siber.

2. Persyaratan Standar Keamanan: ISO 27001, Regulasi Kementerian Komunikasi Indonesia

Saat memilih vendor call center, perusahaan tidak bisa hanya percaya pada kata-kata, tetapi perlu melihat "sertifikat" yang spesifik.

Sertifikasi Manajemen Keamanan Informasi ISO 27001. Ini adalah standar internasional yang membuktikan penyedia layanan telah membangun Sistem Manajemen Keamanan Informasi (ISMS) secara sistematis. Di Indonesia, beberapa call center lokal dan operator seperti PT Smart Telecom telah mendapatkan sertifikasi ISO/IEC 27001:2022, membuktikan pendekatan sistematis mereka dalam manajemen risiko dan pemrosesan data aman.

Sertifikasi Kementerian Komunikasi dan Digital (KOMDIGI). Berdasarkan regulasi, semua operator sistem elektronik swasta harus terdaftar di Komdigi, jika tidak akan menghadapi pemblokiran akses. Komdigi juga sedang menyusun peraturan pelaksanaan perlindungan data yang lebih ketat. Perusahaan harus memilih penyedia cloud yang terdaftar di Komdigi dan mematuhi ketentuan operasi sistem elektroniknya.

PCI DSS (Payment Card Industry Data Security Standard). Jika call center melibatkan penerimaan informasi kartu kredit pelanggan melalui telepon untuk pembayaran (bukan dialihkan ke gateway pembayaran pihak ketiga), platform call center harus memenuhi standar PCI DSS Level 

Perusahaan seperti transcosmos di Indonesia menyediakan berbagai layanan termasuk pusat kontak, pemasaran digital, dengan tim berjumlah 2.600 orang dan telah mendapatkan sertifikasi ISO 27001. Ini menunjukkan bahwa di pasar Indonesia, penyedia terkemuka menjadikan sertifikasi keamanan internasional sebagai ambang batas dasar untuk melayani pelanggan perusahaan besar.

3. Langkah-Langkah Perlindungan Teknis: Enkripsi End-to-End, Enkripsi Data Statis, Kontrol Akses IAM

Sertifikasi standar adalah jaminan di tingkat kebijakan, sementara langkah-langkah teknis spesifik adalah "kekuatan keras" untuk mewujudkan perlindungan keamanan data.

Enkripsi end-to-end. Aliran suara pelanggan selama panggilan harus dienkripsi dengan SRTP, memastikan tidak dapat disadap saat transmisi melalui internet publik. Sinyal antara browser agen dan server cloud serta aliran media WebRTC juga harus dienkripsi dengan WSS dan TLS 1.3.

Enkripsi data statis. Saat rekaman panggilan, log sistem, dan data pelanggan disimpan di database cloud, harus dienkripsi dengan algoritma enkripsi kuat seperti AES-256. Kehilangan atau pencurian fisik perangkat penyimpanan tidak akan dapat membaca data secara langsung.

Kontrol akses IAM & prinsip zero trust. Terapkan hak akses minimal untuk semua pengguna dan panggilan API yang mengakses sistem, dan wajibkan otentikasi multi-faktor. Agen hanya dapat melihat informasi pelanggan yang diperlukan untuk menyelesaikan pekerjaan mereka, dan tidak dapat mengekspor data secara massal.

Dalam mode private cloud, departemen infrastruktur cloud harus memastikan tingkat keamanan fisik dan pemantauan keamanan jaringan yang setara dengan pusat data lokal. Keamanan di lingkungan cloud adalah "shared responsibility model": penyedia bertanggung jawab atas keamanan cloud, perusahaan bertanggung jawab atas keamanan di cloud.

4. Daftar Periksa Evaluasi Vendor: Lokasi Pusat Data, Audit Pihak Ketiga, Prosedur Respons Kebocoran Data

Dengan lingkungan kepatuhan Indonesia yang semakin kompleks, keputusan pemilihan vendor sangat penting. Berikut daftar periksa untuk perusahaan Indonesia:

Lokasi pusat data & kepatuhan. Pastikan vendor memiliki node pusat data lokal di Indonesia (Jakarta atau sekitarnya). Ini adalah cara paling langsung untuk memenuhi persyaratan lokalisasi data UU PDP. Untuk skenario yang melibatkan informasi kartu pembayaran, pastikan vendor memiliki sertifikasi PCI DSS.

Sertifikasi & audit pihak ketiga. Minta vendor memberikan laporan SOC 2 Type II dan sertifikat ISO 27001 yang masih berlaku, serta verifikasi status pendaftaran Komdigi.

Prosedur respons kebocoran data & SLA. SLA vendor harus secara jelas mengatur bagaimana melapor ke otoritas pengawas dalam 72 jam. Juga harus ada "rencana pemulihan bencana" yang jelas dan komitmen untuk membantu analisis akar penyebab pasca-insiden.

Di Indonesia, penyedia cloud lokal seperti Digiserve menyediakan solusi ICT terkelola end-to-end yang dirancang khusus untuk membantu perusahaan lokal memenuhi persyaratan cloud compliance. Memilih vendor dengan pengalaman operasional lokal secara efektif dapat mengurangi risiko operasional akibat ketidaktahuan akan regulasi Indonesia.

5. Tanggung Jawab Internal Perusahaan: Audit Akses Karyawan, Pelatihan Keamanan, Pengujian Penetrasi Berkala

Bahkan dengan platform cloud yang aman, manajemen karyawan internal tetap menjadi garis pertahanan terakhir. Tidak peduli seberapa aman platformnya, kebocoran kredensial karyawan internal dapat menyebabkan konsekuensi bencana.

Audit perilaku akses karyawan. Catat setiap operasi agen yang mengakses profil pelanggan, dan tetapkan aturan pemicu peringatan otomatis. Jika seseorang mengakses dan mengekspor data pelanggan secara berurutan di luar jam kerja, sistem keamanan harus segera membekukan akun dan mengirim peringatan ke administrator.

Pelatihan kesadaran keamanan. Pelatihan tidak hanya mencakup pengetahuan dasar UU PDP Indonesia, tetapi juga latihan praktis mengenali email phishing. Agen harus dididik untuk tidak pernah mengirim tangkapan layar data pribadi pelanggan melalui aplikasi pesan instan yang tidak sah.

Pengujian penetrasi berkala. Setiap enam bulan atau satu tahun, departemen IT internal harus mengundang white-hat hacker bersertifikat untuk melakukan pengujian serangan eksternal simulasi pada sistem call center.

Keamanan data harus dimasukkan ke dalam indikator kinerja operasional perusahaan. Penanggung jawab kebocoran data tidak hanya departemen IT, tetapi juga manajemen puncak dan kepala bisnis harus bertanggung jawab. Perusahaan harus menyelesaikan peningkatan sistem sebelum lembaga penegak PDP secara resmi dibentuk dan mulai menegakkan hukum.

FAQ

1. Apa yang harus dilakukan jika penyedia cloud call center tidak memiliki pusat data di Indonesia?
Pilih vendor lain. UU PDP Indonesia memerlukan kepastian hukum tentang transfer data lintas batas. Jika tidak ada pusat data lokal, perusahaan harus memastikan bahwa negara tujuan transfer memiliki tingkat perlindungan data yang setara dengan Indonesia, dan mendapatkan persetujuan eksplisit dari subjek data. Untuk menghindari kompleksitas ini, sangat disarankan untuk memilih vendor yang telah men-deploy node lokal di Indonesia.

2. Apakah sertifikasi ISO 27001 wajib bagi semua cloud call center di Indonesia?
Tidak secara hukum wajib, tetapi telah menjadi standar industri de facto untuk melayani klien perusahaan besar dan lembaga keuangan. OJK dalam pengawasannya secara implisit mendorong lembaga keuangan untuk hanya bekerja sama dengan vendor yang memiliki sertifikasi manajemen keamanan informasi seperti ISO 27001. Untuk usaha kecil dan menengah, meskipun tidak diwajibkan, memiliki sertifikasi tetap menjadi pembeda kredibilitas yang penting.

3. Berapa biaya pelanggaran PDP Law untuk kebocoran data di cloud call center?
UU PDP tidak mencantumkan jumlah denda spesifik dalam pasal, tetapi memberikan kerangka. Denda maksimal dapat mencapai puluhan miliar Rupiah, bahkan pencabutan izin usaha. Selain itu, kebocoran data juga dapat memicu tuntutan perdata dari konsumen yang dirugikan, yang kerugiannya bisa berkali-kali lipat dari denda administratif. Biaya kepatuhan jauh lebih kecil daripada biaya pelanggaran.

Sistem Call Center Udesk dengan konektivitas stabil dan fitur lengkap—coba gratis dan tingkatkan kualitas layanan telepon Anda.

Artikel ini merupakan karya asli Udesk. Jika akan diterbitkan ulang, wajib selalu mencantumkan sumber aslinya：https://id.udeskglobal.com/blog/keamanan-data-cloud-call-center-standar-yang-harus-dipenuhi