Keamanan di iTutor
Sekolah, universitas, dan tim Pembelajaran & Pengembangan mempercayakan data pembelajaran siswa serta karyawan kepada iTutor. Berikut cara kami melindungi data tersebut — ditulis untuk tim pengadaan, admin TI, dan orang tua yang menginginkan jawaban konkret, bukan bahasa pemasaran.
Enkripsi data
Semua lalu lintas antara browser Anda, aplikasi iTutor, dan backend kami dienkripsi dalam transit menggunakan TLS 1.3. Data saat tersimpan — termasuk materi belajar yang diunggah, profil akun, dan catatan kemajuan — dienkripsi dengan enkripsi simetris berstandar industri pada lapisan penyimpanan.
Kredensial autentikasi tidak pernah disimpan dalam teks biasa; kata sandi di-hash menggunakan algoritma modern yang membutuhkan memori besar dengan salt per pengguna.
Kontrol akses
Akses aplikasi dikelola dengan kontrol akses berbasis peran. Pada akun individu, hanya pemilik akun yang dapat membaca datanya sendiri. Pada akun institusional, administrator mendefinisikan peran guru dan siswa, dan visibilitas dibatasi pada kelas, kursus, atau kelompok yang ditetapkan. Akses data lintas-penyewa dicegah di lapisan kueri — tidak ada jalur kueri yang dapat mengembalikan data dari penyewa yang bukan tempat peminta terdaftar.
Akses staf iTutor ke data produksi dibatasi, dicatat, dan hanya diberikan ketika diperlukan untuk menyelidiki tiket dukungan atau mendiagnosis insiden. Tindakan staf pada data pengguna dapat diaudit.
Opsi autentikasi
Akun individu menggunakan autentikasi email dan kata sandi, dengan opsi masuk melalui Google atau Apple ID. Akun institusional dapat mewajibkan Single Sign-On (SAML 2.0, OIDC, atau LTI 1.3) sehingga institusi tetap menjadi sumber kebenaran untuk identitas. Autentikasi dua faktor tersedia di semua tingkatan akun.
Pencadangan dan pemulihan
Database produksi dicadangkan setiap hari dengan pemulihan titik-waktu selama jendela retensi yang ditentukan. Cadangan dienkripsi saat tersimpan dan disimpan di lokasi geografis terpisah dari sistem utama. Prosedur pemulihan diuji secara berkala.
Pemantauan dan respons insiden
Log aplikasi dan infrastruktur diagregasi untuk pemantauan keamanan. Kami memiliki proses respons insiden internal yang mencakup deteksi, penahanan, eradikasi, pemulihan, dan tinjauan pasca-insiden. Insiden material yang memengaruhi data pelanggan dikomunikasikan kepada pelanggan yang terdampak tanpa penundaan yang tidak wajar, sesuai persyaratan regulasi.
Uji penetrasi
iTutor menjalani uji penetrasi pihak ketiga tahunan yang mencakup aplikasi web, permukaan API, dan sistem autentikasi. Temuan dilacak hingga remediasi selesai. Laporan ringkasan tersedia bagi pelanggan institusional berdasarkan NDA atas permintaan.
Postur kepatuhan
iTutor dibangun dengan prinsip privasi-sejak-desain yang selaras dengan Regulasi Perlindungan Data Umum Uni Eropa (GDPR). Untuk pelanggan institusional, kami menawarkan Perjanjian Pemrosesan Data yang menguraikan hubungan pengontrol/pemroses, daftar sub-pemroses, opsi residensi data bila berlaku, dan alur kerja permintaan subjek data.
Untuk penerapan di sekolah, kami mengikuti ekspektasi privasi sektor pendidikan: minimisasi data, tidak ada pembuatan profil iklan perilaku pada siswa, dan pembatasan ketat analitik hanya untuk tujuan pendidikan.
Pengungkapan kerentanan
Jika Anda menemukan masalah keamanan di iTutor, kami ingin mendengarnya. Silakan kirim email ke alamat di bawah ini beserta langkah-langkah untuk mereproduksi, dampaknya, dan materi bukti konsep apa pun. Kami berkomitmen untuk mengakui laporan Anda dalam 5 hari kerja, memberikan pembaruan status dalam 14 hari, dan mengoordinasikan waktu pengungkapan yang bertanggung jawab bersama Anda.