Gojek Klaim Punya Program Perlindungan Data Pribadi, Seperti Apa?
Vice President (VP) Information Security Gojek, Hana Abriyansyah
Cyberthreat.di - Vice President (VP) Information Security Gojek, Hana Abriyansyah mengklaim perusahaannya memiliki program perlindungan data pribadi yang disebutnya personal data protection program untuk mengamankan data pengguna dan mitranya.
Hal itu disampaikan Hana menjawab pertanyaan peserta diskusi daring bertajuk "Catch Me if You Can: Advancing Data Protection Strategy to Further Prevent Personal Data Breach”, Selasa (24 November 2020).
Hana menjelaskan yang pertama kali dilakukan dalam program perlindungan data pribadi ini adalah memahami data apa yang diambil dan diproses. Setelah itu, harus tahu data itu masuknya dari mana, diprosesnya di mana, disimpan di mana.
"Setelah memiliki informasi itu, kami bisa menerapkan security control kepada sistem-sistem yang kami gunakan untuk memproses, mengambil, atau menyimpan data-data tersebut," ujarnya.
Kendati demikian, implementasi perlindungannya pun bertarget, lebih ke sistem, aplikasi dan produk yang digunakan untuk data-data tersebut.
Dalam menerapkan program, kata Hana, Gojek menyesuaikannya dengan regulasi yang berkaitan dengan perlindungan data pribadi (PDP). Seperti misalnya di Singapura, Gojek memenuhi regulasi PDP di sana.
"Jadi saat ini kami punya yang namanya personal data protection program, kami memiliki data string company juga memastikan bahwa personal data protection program kami berjalan sesuai dengan yang kami harapkan," ujarnya.
Selain program ini, Hana menjelaskan bahwa Gojek juga mengadopsi beberapa standar dan praktik baik (seperti National Institute of Standar and Technology (NIST) dan ISO 27001 yang memiliki ekbest practise) stensi yang fokus terhadap perlindungan data pribadi yakni ISO 27701. Dari semua standar ini, lanjutnya, Gojek membangun framework untuk menjalankan program perlindungan data pribadi ini.
Menurut Hana, upaya program perlindungan data ini seperti memenuhi standar ISO 27001 merupakan salah satu cara untuk mendapatkan kepercayaan masyarakat.
"Karena kalau memiliki sertifikasi kami akan diaudit secara rutin oleh auditor. Dengan begitu, kami bisa secara tidak langsung menunjukkan bahwa memiliki komitmen untuk selalu menjaga cybersecurity postur selalu tinggi, dan tujuan kami untuk melindungi data pribadi bukan main-main tapi kami tersertifikasi juga," katanya.
Hana menambahkan, pendekatan yang dilakukan Gojek yakni memonitor data apa yang dikumpulkan dari konsumen, dari driver, merchant, dan lainnya. Kemudian, memastikan input data yang masuk ke sistem dengan memonitoring itu.
"Kami tahu dari mana data itu masuk, dikumpulkannya seperti apa, bentuknya seperti apa, apakah bentuknya digital atau bentuk lain," kata Hana.
Setelah pendekatan itu, Hana menjelaskan, pihaknya akan mengikuti alur datanya, dari awal hingga akhir seperti apa. Konsumen menyetujui apa saja pada saat Gojek meminta data dari customer, consent apa yang diminta sehingga dari itu pihaknya bisa menyesuaikan dan tidak digunakan diluar persetujuan.
"Itu penting, karena data yang kami minta dari customer, atau dari individu itu hanya bisa digunakan sesuai dengan consent yang diberikan oleh subjek datanya, kita tidak bisa menggunakan data tersebut untuk keperluan lain yang tidak sesuai," kata Hana.
Dari situ, kata Hana, pihaknya mengikuti lagi apakah data tersebut diproses di sistem apa saja, digunakan oleh apa saja, memonitor sesuai persetujuannya atau tidak.
Begitu pula dengan data yang dibagikan dengan pihak ketiga. Hana mengatakan, hal itu dilakukan sesuai dengan persetujuan, jika tidak ada persetujuan dari pemilik data maka integrasi ke pihak ketiga, tidak bisa dilakukan. Pihaknya juga merekam segala aktivitas program perlindungan data ini dengan menggunakan suatu solusi teknologi bernama data discovery.
"Jadi kita bisa tahu personal data yang kami miliki apa saja bentuknya, apakah nama, alamat, atau yang lainnya, dan di mana data itu disimpan di sistem kami. Nah dari semua dokumentasi yang dipunya itu, kami selalu bisa memonitor apakah program ini masih sesuai atau tidak," ujarnya.
Hana menjelaskan, selain memonitor pihaknya juga menginvestigasi kalau ada kesalahan dan memperbaiki agar sesuai persetujuan.
Selain terkait proses penyimpanan, Hana mengklaim saat meminta persetujuan kepada pemilik data pihaknya juga memastikan pemilik data tahu bagaimana cara menghapus data di sistem mereka. "Apakah mereka bisa melakukan request ke kita atau prosesnya akan dilakukan otomatis saat mereka berhenti berlangganan," katanya.
Catatan Cyberthreat.id, pada bulan April dan Mei lalu sejumlah orang yang baru mendaftar sebagai calon mitra GoFood, salah satu layanan Gojek, mendapat telepon atau dihubugi lewat WhatsApp oleh orang yang mengaku dari Gojek. Beberapa dimintai transferan uang agar akunnya cepat aktif, beberapa lainnya mengatakan dimintai data nomor ATM. (Baca: Marak Mitra Baru GoFood Jadi Target Penipuan, Data Gojek Bocor?).
Simaklah cerita Eva. Pada 14 Mei lalu baru saja mendaftar sebagai mitra GoFood di aplikasi GoBiz besutan Gojek. Tak lama, mendapat telepon dari nomor 08126110087 yang mengaku sebagai orang Gojek dan meminta kode OTP (pasword sekali pakai) yang dikirim lewat SMS. Eva tak memenuhi permintaan itu.
Yang bikin Eva terheran-heran, pelaku tahu persis nama lengkapnya, alamat emailnya, dan juga mengetahui kalau Eva sedang proses mendaftar di GoBiz.
Selain lewat telepon, Eva juga mengaku dihubungi lewat pesan WhatsApp menggunakan nomor berbeda. Kata dia, yang diincar pelaku bukan akun Gopay melainkan nomor kartu ATM.
"Parah si, orang dalem yg nyebarin datanya apa gimana yak, heran.." tulis Eva, pemilik akun Twitter @nengeepp.
Cerita Eva itu ditanggapi oleh seorang netizen yang juga mengaku mengalami kejadian serupa. Pemilik akun Twitter @alan_dofa itu mengatakan dirinya mendapat telepon dari nomor 0816382617 tak lama setelah mendaftar sebagai mitra GoFood di GoBiz.
"Nah barusan kejadian saya alamin anehnya kok tau saya baru daftar gobiz alhamdulillah saya udah hapal suara modus penipuan kaya begini akhirnya dia senewen sendiri saya jawab asal asalan," tulis @alan_dofa sembari melampirkan tangkapan layar panggilan masuk di ponselnya.
Pada 12 Mei, akun @srikandii6 juga mengeluhkan hal yang sama.
"Gobiz-nya Gojek banyak ya kebocoran datanya, ampe di telp abang astuti di luar jam kerja customer servicenya. Bangga dong, karya anak bangsa!," sindir @srikandii6.
Jika merunut kejadiannya, setidaknya ada dua hal yang mungkin terjadi: dilakukan oleh petugas internal Gojek/GoFood yang mendapat akses ke data pendaftar baru, atau ada pihak ketiga yang menyusup ke aplikasi GoBiz yang dibuat terpisah dari GoFood dan Gojek.
Sayangnya, manajemen Gojek juga memberikan jawaban yang mirip dengan jawaban template yang diperoleh saat seseorang melaporkan kasusnya lewat sosial media semacam Twitter..
VP Corporate Affairs Gojek Food Ecosystem Rosel Lavina mengimbau mitra untuk langsung menghubungi Pusat Bantuan Mitra Usaha Gojek di 1500 171 atau mitrausaha@gojek.com jika menemukan adanya transaksi atau telepon mencurigakan. Ia juga mengimbau pengguna dan mitra untuk menghindari pembayaran di luar aplikasi. Selalu mengamankan data pribadi dan tidak membagikan kode One Time Password (OTP), serta menggunakan PIN.
“Adukan apabila ada hal mencurigakan melalui email resmi dan halaman bantuan di aplikasi Gojek," kata Rosel dilansir Katadata.co.id, awal Mei lalu. []
