ProyectaSecurity

Security

Last Updated: May 21, 2026

Diterjemahkan untuk kenyamanan Anda. Jika terjadi konflik antara versi ini dan versi bahasa Inggris, versi bahasa Inggris yang berlaku.

Proyecta adalah platform tempat kode sumber, perintah (prompt), dan data proyek Anda mengalir melalui sistem AI dan lingkungan eksekusi terisolasi. Melindungi data tersebut merupakan fondasi cara kami membangun Layanan. Halaman ini merangkum praktik keamanan kami dalam bahasa yang sederhana; halaman ini melengkapi Kebijakan Privasi, Ketentuan Layanan, dan daftar Subprosesor kami.

Untuk pertanyaan keamanan, peninjauan keamanan enterprise, atau untuk melaporkan kerentanan, hubungi security@proyecta.dev.

1. Infrastruktur dan Hosting

Layanan berjalan di Google Cloud Platform, infrastruktur native Kubernetes yang dioperasikan di wilayah cloud yang sudah mapan. Load balancer Layer-7 yang dikelola Google dengan Google Cloud Armor berada di depan endpoint publik kami, menyediakan perlindungan DDoS, firewall aplikasi web, dan pembatasan laju (rate limiting); aset statis disajikan melalui Google Cloud CDN. Cloudflare menyediakan DNS otoritatif dan validasi sertifikat TLS, serta pengiriman edge untuk aplikasi yang diterbitkan pengguna (*.proyecta.live).

Kami tidak mengoperasikan pusat data sendiri. Penyedia cloud kami memelihara sertifikasi keamanan infrastruktur independen mereka sendiri, dan daftar terkini penyedia yang memproses data atas nama kami dipublikasikan di halaman Subprosesor kami.

2. Enkripsi

  • Saat transit: Semua lalu lintas antara Anda dan Layanan dienkripsi menggunakan TLS 1.2 atau lebih tinggi.
  • Saat diam: Konten Pelanggan, data akun, dan cadangan dienkripsi saat diam.
  • Rahasia: Kredensial dan token integrasi disimpan terenkripsi dan tidak pernah ditampilkan di kode sisi klien atau log.

3. Kontrol Akses

  • Kontrol akses berbasis peran. Akses ke sistem produksi dan data pelanggan dibatasi pada personel Proyecta yang berwenang berdasarkan prinsip hak istimewa minimum (least-privilege).
  • Pencatatan audit. Tindakan administratif dan akses data dicatat untuk akuntabilitas.
  • Kredensial bercakupan. Kredensial layanan dan integrasi dibatasi pada izin minimum yang diperlukan untuk fungsinya.
  • Kewajiban kerahasiaan. Personel yang memiliki akses ke Konten terikat oleh kewajiban kerahasiaan dan menerima pelatihan keamanan.

Sebagaimana dijelaskan dalam Kebijakan Privasi kami, personel yang berwenang mengakses Konten hanya seperlunya untuk menyediakan dukungan, men-debug masalah, memelihara keandalan, atau mematuhi kewajiban hukum.

4. Penanganan Kode Anda dan Data AI

Ini adalah pertanyaan yang paling diperhatikan kebanyakan pelanggan, jadi kami menyatakannya secara terang:

  • Kami tidak melatih model AI dengan Konten Anda. Kami tidak menggunakan kode, perintah, atau data Anda untuk melatih atau menyempurnakan model AI kami, dan kami tidak mengirimkan Konten Anda ke penyedia AI untuk tujuan melatih model mereka.
  • Konten diproses untuk melayani Anda, bukan untuk ditambang. Konten Anda diproses semata-mata untuk memberikan respons di dalam sesi Anda sendiri.
  • Penyedia AI pihak ketiga memproses masukan secara sementara. Untuk menghasilkan respons, masukan dikirim ke penyedia model AI (Anthropic, OpenAI, Google) melalui API mereka. Kami menggunakan tingkatan API yang, berdasarkan ketentuan API penyedia tersebut saat ini, tidak digunakan untuk melatih model mereka dengan masukan pelanggan. Kami tidak mengendalikan penyedia ini, dan penanganan data mereka diatur oleh ketentuan mereka sendiri, yang harus Anda tinjau secara independen (lihat Ketentuan §10.2).
  • Hanya analitik agregat. Setiap analitik yang kami turunkan untuk meningkatkan Layanan menggunakan data agregat dan di-deidentifikasi yang tidak dapat digunakan untuk mengidentifikasi Anda atau merekonstruksi Konten Anda.

5. Isolasi Runtime

Kode yang dihasilkan dan dieksekusi oleh Layanan berjalan di dalam lingkungan runtime terisolasi — pod Kubernetes berdedikasi dan tersandbox yang disediakan per beban kerja. Runtime terisolasi satu sama lain dan dihancurkan sesuai jadwal siklus hidupnya, sehingga membatasi blast radius dari setiap eksekusi tunggal.

6. Manajemen Kerentanan

  • Kami melakukan penilaian kerentanan dan pengujian keamanan Layanan secara berkala.
  • Kami memantau dependensi perangkat lunak kami untuk kerentanan yang diketahui dan menerapkan pembaruan berdasarkan prioritas risiko.
  • Pengungkapan yang bertanggung jawab. Jika Anda yakin telah menemukan kerentanan keamanan, silakan laporkan ke security@proyecta.dev. Kami akan mengkonfirmasi laporan Anda, menyelidiki dengan cepat, dan terus memberi tahu Anda. Mohon berikan kami kesempatan yang wajar untuk memperbaiki sebelum melakukan pengungkapan publik.

7. Retensi dan Penghapusan Data

Kami menyimpan informasi hanya selama yang diperlukan untuk menyediakan Layanan dan memenuhi kewajiban hukum. Riwayat percakapan, termasuk perintah dan keluaran yang dihasilkan, disimpan sampai Anda menghapusnya atau menghentikan akun. Saat penghentian akun Anda memiliki jendela 30 hari untuk mengekspor data Anda, setelah itu data dihapus sesuai dengan jadwal retensi kami. Detail lengkap ada di Kebijakan Privasi §4.

8. Tanggap Insiden

Kami memelihara proses tanggap insiden untuk peristiwa keamanan. Dalam hal terjadi pelanggaran yang melibatkan data pribadi Anda, kami akan memberitahu pelanggan yang terdampak dalam 72 jam setelah penemuan jika memungkinkan, atau lebih cepat jika diwajibkan oleh hukum yang berlaku, termasuk sifat insiden, data yang terdampak, dan tindakan yang direkomendasikan.

9. Subprosesor

Kami menggunakan sekumpulan penyedia layanan pihak ketiga yang telah disaring untuk mengoperasikan Layanan. Masing-masing terikat secara kontraktual untuk melindungi data yang diproses atas nama kami. Daftar lengkap dan terkini — termasuk tujuan masing-masing penyedia, data yang diprosesnya, dan lokasinya — dipublikasikan di halaman Subprosesor kami, yang menjelaskan cara kami memberikan pemberitahuan tentang perubahan.

10. Kepatuhan dan Peninjauan Keamanan

  • Perjanjian Pemrosesan Data. Pelanggan yang bertindak sebagai pengendali data dapat meminta DPA yang melengkapi Kebijakan Privasi kami dengan komitmen perlindungan data tambahan. Hubungi legal@proyecta.dev.
  • Kuesioner keamanan. Kami dengan senang hati melengkapi kuesioner keamanan vendor dan mendukung peninjauan keamanan enterprise — hubungi security@proyecta.dev.
  • Transparansi subprosesor. Daftar subprosesor kami bersifat publik dan selalu diperbarui.

Seiring pertumbuhan Proyecta, kami terus memperluas program keamanan dan kepatuhan formal kami. Untuk status terkini dari sertifikasi atau atestasi tertentu, silakan hubungi kami dan kami akan berbagi posisi kami saat ini.

11. Kontak

Related Documents

Questions?

Contact Legal

Reach us at legal@proyecta.dev for any inquiries.