Komitmen Keamanan

Terakhir diperbarui: 24 Mei 2026

Cakupan: platform web Scalev, Scalev API, dan konektor Scalev MCP.

1.Keamanan Transport

Seluruh trafik HTTP ke domain produksi Scalev menggunakan HTTPS dengan TLS 1.2 atau lebih tinggi. HTTP Strict Transport Security (HSTS) diaktifkan dengan max-age=31536000, includeSubDomains, dan preload, dan domain Scalev terdaftar pada daftar preload utama browser modern.

DomainTLSHSTS
scalev.comTLS 1.2+preload
app.scalev.comTLS 1.2+preload
api.scalev.comTLS 1.2+preload
mcp.scalev.comTLS 1.2+preload

Penerbitan sertifikat dibatasi oleh DNS Certificate Authority Authorization (CAA) untuk hanya mengizinkan otoritas sertifikat yang disetujui (mis. Google Trust Services dan Let’s Encrypt). Penerbitan oleh CA lain akan ditolak pada tingkat DNS.

2.Otorisasi dan OAuth

Integrasi pihak ketiga, termasuk konektor Scalev MCP untuk asisten AI, menggunakan OAuth 2.1 dengan kontrol-kontrol berikut:

  • Dynamic Client Registration (RFC 7591) dan Client ID Metadata Document (RFC 8414) didukung untuk mendaftarkan klien pihak ketiga secara aman.
  • Proof Key for Code Exchange (PKCE) dengan metode S256 wajib pada setiap alur otorisasi.
  • Rotasi refresh token: setiap penggunaan refresh token menerbitkan refresh token baru dan menonaktifkan yang lama; penggunaan ulang token yang sudah dirotasi terdeteksi dan ditolak.
  • Persetujuan per-bisnis: pengguna memilih bisnis yang akan diotorisasi pada layar consent; token diterbitkan dengan ikatan ke scope dan bisnis yang disetujui.
  • Penegakan scope per-request: Scalev API memvalidasi token, scope, dan akses bisnis pada setiap panggilan API; permintaan di luar scope yang disetujui ditolak.
  • Pencabutan: pengguna dapat mencabut akses pihak ketiga kapan saja dari pengaturan Scalev atau melalui antarmuka asisten AI mereka.

Protected Resource Metadata (RFC 9728) dipublikasikan pada mcp.scalev.com/.well-known/oauth-protected-resource/mcp, dan Authorization Server Metadata (RFC 8414) pada api.scalev.com/v3/oauth/.well-known/oauth-authorization-server.

3.Header Keamanan HTTP

Seluruh respons HTTP dari domain Scalev menyertakan header keamanan berikut:

HeaderNilai
Strict-Transport-Securitymax-age=31536000; includeSubDomains; preload
X-Content-Type-Optionsnosniff
X-Frame-OptionsDENY (clickjacking protection)

Respons MCP otentikasi yang gagal mengirimkan header WWW-Authenticate dengan tautan ke metadata protected resource sesuai standar OAuth 2.1.

4.Audit Log dan Telemetri

Scalev mencatat panggilan API publik untuk tujuan audit, deteksi penyalahgunaan, dan investigasi insiden. Praktik logging:

  • Konektor MCP: hanya metadata operasional (request id, tool name, operation id, status, kode error, durasi). Bearer token, request body, dan response body tidak dicatat oleh konektor MCP.
  • Scalev API: mencatat panggilan machine-to-machine (OAuth dan API key) dengan metadata serta request/response body yang sudah disanitasi. Token bearer, kredensial, dan field sensitif disamarkan sebelum penyimpanan.
  • Retensi: log machine API tunduk pada partisi retensi dua minggu untuk meminimalkan permukaan data historis.
  • Akses: log tersedia bagi merchant pemilik bisnis melalui dashboard untuk audit independen.

5.Rate Limiting dan Anti-Penyalahgunaan

API publik Scalev menerapkan batas laju per-kredensial untuk mencegah penyalahgunaan dan melindungi sumber daya bersama. Klien yang melebihi batas menerima respons 429 Too Many Requests dengan informasi retry yang sesuai. Cloudflare WAF dan deteksi anomali tambahan beroperasi di tingkat edge untuk memblokir trafik berbahaya sebelum mencapai aplikasi.

6.Perlindungan Data

  • Enkripsi dalam transit: TLS 1.2+ pada seluruh komunikasi klien-server.
  • Enkripsi saat istirahat: data terenkripsi pada tingkat storage di penyedia infrastruktur (DigitalOcean) sesuai standar default penyedia.
  • Tidak menyimpan kartu penuh: Scalev tidak menyimpan nomor kartu lengkap atau CVV secara langsung; pemrosesan kartu didelegasikan kepada payment gateway berlisensi.
  • Sanitasi log: field sensitif (token, kredensial, payload pembayaran) disamarkan dalam log sebelum penyimpanan.

7.Keamanan Subprocessor

Scalev menggunakan penyedia layanan tepercaya yang memproses Data Pribadi atas nama Kami berdasarkan kontrak yang mewajibkan tingkat perlindungan setara dengan komitmen ini. Daftar subprocessor utama tersedia pada Kebijakan Privasi §4. Perubahan material pada daftar subprocessor diumumkan pada Platform.

8.Pelaporan Kerentanan

Kami menyambut laporan kerentanan keamanan yang bertanggung jawab. Jalur pelaporan resmi adalah file security.txt:

Komitmen tanggapan: Kami mengakui laporan keamanan dalam waktu dua hari kerja dan menargetkan resolusi kerentanan kritis (token, autentikasi, atau paparan data) sebelum pengungkapan publik.

Mohon untuk tidak melakukan pengujian penetrasi terhadap akun produksi pengguna lain, mengakses data yang bukan milik Anda, atau mengganggu ketersediaan Layanan. Pengujian terbatas pada akun pengujian milik sendiri dipersilakan.

9.Kontak Keamanan

Laporan kerentanansecurity.txt
Pertanyaan umumcs@scalev.com
Status layananstatus.scalev.com
Kebijakan Privasiscalev.com/privacy
Powered by Scalev