Tiga Serangan yang Pernah Terjadi pada Cloud Database

Cloud computing

Pada dunia digital seperti sekarang cloud computing sudah ada dimana-mana. Cloud computing tidak hanya solusi teknis yang dapat mengurangi biaya infrastruktur, tetapi juga model bisnis yang dapat dijual dan disewakan [4]. Dalam berbagai kasus pengguna menggunakan cloud tanpa mengetahui bagaimana menggunakannya. Hal ini menimbulkan sejumlah ancaman keamanan yang terkait dengan cloud computing. Cloud computing didefinisikan oleh US National Institute of Standards and Technology (NIST). Mereka mendefinisikan cloud computing sebagai model untuk dapat akses jaringan on-demand yang ada dimana-mana ke kumpulan sumber daya computing yang dapat dikonfigurasi (misalnya jaringan, server, penyimpanan, aplikasi, dan layanan)[2]. Skema cloud computing secara sederhana bisa dilihat pada Gambar 1. Skema Cloud Computing[3].

Gambar 1. Skema Cloud Computing [3]

Cloud computing terbagi menjadi 3 jenis, pada artikel ini pembahasan akan fokus kepada cloud computing platform as a service yaitu cloud database. Berdasarkan jenisnya cloud computing terbagi ke dalam beberapa jenis seperti pada Gambar 2. Jenis Cloud Computing [5].

Gambar 2. Jenis Cloud Computing [5]

Cloud database

Cloud computing tidak hanya mempengaruhi teknologi tetapi juga masuk ke dalam lingkup database. Semakin berkembangnya teknologi cloud computing, maka permintaan layanan database juga bisa semakin banyak. Cloud database merupakan database yang dapat diakses oleh client dari cloud service yang didistribusikan ke user melalui internet oleh cloud provider. cloud database membantu penyimpanan data yang semula menggunakan hard driver, CD ataupun hardware lainnya. Dengan menggunakan cloud data hanya perlu disimpan pada remote database yang telah disediakan oleh pihak ketiga [1], [2]. terdapat dua cara cloud database, yang pertama adalah menjalankan database pada server bersama di layanan cloud. Kedua adalah cloud database yang disediakan oleh penyedia cloud yang menghosting database dan menyediakan akses ke pengguna. Pengguna dapat memilih database sesuai dengan kebutuhan setiap penyedia layanan.[11]

  1. Untuk mode virtual machine image, pengguna cloud database dapat membeli ruang server dari penyedia, karena pengguna dapat menjalankan database pilihan pengguna dan mengunggah virtual machine image dengan salinan database yang optimal. Hal ini dapat dilakukan dengan membuat cloud database dengan mudahnya karena vendor sudah membuatnya dengan sederhana dan mudah untuk dipahami. Edisi oracle 11 g enterprise bisa untuk go image di layanan web Amazon EC2. Seseorang dapat membuat cloud database dengan oracle untuk microsoft azure, dengan cara yang sama.
  2. Penyedia layanan cloud database juga memiliki layanan DBaaS. Salah satu keuntungan dari mode cloud database ini yaitu semuanya menjadi tanggung jawab dari penyedia layanan. Pengguna hanya membayar berdasarkan penggunaan saja.
  3. Penyedia hosting cloud database bekerjasama dengan pihak ketiga. Misalnya MongoDB tersedia di layanan web Amazon dan juga Azure. Konsol yang disediakan oleh penyedia layanan cloud membantu mengakses dan menggunakan database. penguna dapat membuat cloud database, backup dan memantau operasi.
Gambar 3. Cloud Database [11]

Hal yang berkaitan dengan keamanan sistem informasi adalah yang berkaitan dengan jaringan komputer dan data yang ditransfer melalui jaringan komputer tersebut. Beberapa ancaman bisa terjadi dan dapat menyebabkan kerugian yang cukup besar, hal ini harus disadari oleh setiap individu yang terlibat dalam pemakaian cloud database. Oleh karena itu, setiap individu sudah seharusnya mengetahui ancaman apa saja yang mungkin terjadi dan pernah terjadi, dan bagaimana hal itu dapat terjadi.

Serangan-serangan yang pernah terjadi pada cloud database

Ancaman serangan dan contoh kasus serangan yang mungkin dan pernah terjadi pada cloud database  adalah sebagai berikut:

Continue reading Tiga Serangan yang Pernah Terjadi pada Cloud Database

Multi-tenancy pada Cloud, Pertimbangan dan Resiko Keamananya

Anda tentu sudah tidak asing lagi dengan istilah “cloud” yang sejak beberapa tahun silam menjadi sangat populer di telinga kita bahkan sampai saat ini terus berkembang dan para raksasa IT di dunia terus bersaing untuk menjadi penyedia layanan cloud yang terbaik. Kali ini kita akan coba eksplorasi walau tidak secara medalam tentang ide dibalik arsitektur cloud yaitu multi-tenancy.

Multi-tenancy adalah arsitektur cloud yang memungkinkan setiap tenant dari suatu layanan cloud berbagi daya komputasi dengan tenant Continue reading Multi-tenancy pada Cloud, Pertimbangan dan Resiko Keamananya

Kebocoran Data Hasil Uji Darah pada Repositori Awan Amazon

Penggunaan Komputasi Awan dalam mendukung keberlangsungan bisnis suatu perusahaan telah banyak ditemui di seluruh dunia. Hasil yang diperoleh lebih baik dan membutuhkan waktu implementasi yang sedikit dibandingkan dengan investasi dan pembangunan data center sendiri. Namun semakin besarnya keuntungan yang ditawarkan, terdapat pula banyak kerentanan yang dapat membahayakan data yang dimiliki perusahaan.

sumber Continue reading Kebocoran Data Hasil Uji Darah pada Repositori Awan Amazon

Top 10 Risiko Keamanan Pada Cloud

Top 10 Risiko Keamanan Pada Cloud

Dengan banyaknya perkembangan teknologi zaman sekarang baik dari segi infrakstruktur, jaringan dan telekomunikasi. Salah satu perkembangan teknologi tersebut adalah Cloud. Cloud bisa disebut sebuah teknologi yang mana dapat diakses dimanapun menggunakan jaringan internet. Menurut [1] cloud juga dapat mengarah kepada software dan service yang berjalan di internet dibandingkan di computer sendiri. Beberapa contoh layanan penyedia cloud diantaranya : Apple iCLoud, Dropbox, Netflix, Amazon cloud drive, Google Driver dan lain-lain. Banyak keuntungan yang didapatkan jika menggunakan cloud diantaranya setiap data yang disimpan di Cloud, dapat diakses dimana saja dan kapanpun dengan menggunakan koneksi internet. Disamping beberapa keuntungan yang dimiliki oleh CLoud, cloud juga juga memiliki beberapa resiko keamanan.

OWASP (The Open Web Application Security Projek) merupakan organisasi/komunitas yang fokus dibidang Keamanan Aplikasi. Semua kegiatan OWASP didedikasikan agar dapat membantu organisasi memahami, mengembangkan, memperoleh, mengoperasikan dan me-maintain aplikasi yang aman atau dapat dipercaya. Semua hasil penelitian yang dilakukan oleh OWASP di sosialisasikan kepada siapapun yang ingin meningkatkan keamanan aplikasi dan semua itu bersifat terbuka baik berupa dokumen, tool, metodologi, artikel, serta teknologi. OWASP tidak melakukan afiliasi dengan perusahan teknologi manapun. Hal ini agar owasp bebas dari tekanan dan mampu bersifat objektif dalam memberikan informasi mengenai keamanan yang erat kaitannya dengan teknologi informasi.

OWASP mempublikasikan top 10 resiko keamanan pada cloud. Risiko keamanan tersebut diantaranya

  1. R1: Accountability & Data Risk
  2. R2: User Identity Federation
  3. R3: Regulatory Compliance
  4. R4: Business Continuity & Resilliency
  5. R5: User Privacy and Secondary Usage of Data
  6. R6: Service and Data Integration
  7. R7: Multi Tenancy and Physical Security
  8. R8: Incidence Analysis and Forensic Support
  9. R9: Infrastructure Security
  10. R10: Non Production Environment Exposure

Continue reading Top 10 Risiko Keamanan Pada Cloud

Standar Keamanan Cloud dan Hukumnya di Indonesia

Pendahuluan

Cloud computing (CC) atau terjemah bebas dalam bahasa Indonesia, Komputasi Awan, merupakan suatu model yang memberikan kenyamanan akses suatu jaringan sesuai keperluan pada suatu wadah bersama terdiri atas sumber daya komputasi (seperti jaringan, server, penyimpanan, aplikasi, dan layanan) yang dapat dikonfigurasi dengan cepat. [1] Namun, dibalik kenyamanan tersebut terdapat beberapa ancaman yang dapat membahayakan, baik individu, kelompok, bahkan negara. Beberapa ancaman yang dapat membahayakan cloud computing adalah kebocoran data, pencurian kredensial, peretasan API, eksploitasi kerentanan sistem, pembajakan akun, hilangnya data secara permanen, penyalahgunaan layanan cloud, dan serangan DOS. [2] Oleh karena itu, perlu ada standar keamanan yang diterapkan pada penyedia cloud computing. Selain itu, perlu juga hukum yang membatasi penggunaan cloud computing, terutama data yang menyangkut banyak orang dan data rahasia. Pada tulisan ini akan dibahas standar keamanan yang perlu dipenuhi suatu penyedia cloud computing serta hukum yang berlaku di Indonesia terkait cloud computing.

Jenis Layanan Cloud

Beberapa jenis layanan cloud [1], yaitu:

  • Infrastructure as a Service (IaaS): IaaS menyediakan penyimpanan atau sumber daya komputasi yang dapat diakses online. Misalnya, Google Cloud Storage, Microsoft Windows Azure Storage, dan Dropbox.
  • Platform as a Service (PaaS): PaaS menyediakan sebuah platform kepada pelanggan untuk menjalankan aplikasi. Biasanya PaaS menyediakan software development tool untuk membangun suatu aplikasi pada platform. Jenis aplikasi umum yang biasa dijalankan pada platform adalah suatu skrip (seperti PHP, Python) atau kode byte (seperti C#). Contoh penyedia PaaS, seperti Google App Engine atau Microsoft Azure.
  • Software as a Service (SaaS): SaaS menyediakan akses penuh terhadap software atau aplikasi. Aplikasi tersebut seperti email server, email client, atau document editor. Biasanya layanan SaaS dapat diakses melalui browser.

Ilustrasi jenis-jenis layanan cloud adalah seperti pada gambar berikut.

Gambar 1. Jenis-jenis layanan cloud computing [3]

Standar Keamanan

Suatu penyedia cloud computing perlu memenuhi standard untuk menjamin keamanan penggunanya. Berikut ini merupakan pemetaan standard keamanan yang perlu diperhatikan oleh penyedia cloud computing. [4]

Standar Autentikasi dan Otorisasi

Tabel 1. Standard keamanan: autentikasi dan otorisasi

Kategori Standard yang Tersedia Organisasi
Autentikasi dan Otorisasi RFC 5246

Secure Sockets Layer (SSL)/ Transport Layer Security (TLS)

IETF
RFC 3820: X.509

Public Key Infrastructure (PKI) Proxy Certificate Profile

IETF
RFC5280: Internet X.509

Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

IETF
RFC 5849

OAuth (Open Authorization Protocol)

IETF
ISO/IEC 9594-8:2008 | X.509

Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks

ISO/IEC

& ITU-T

ISO/IEC 29115 | X.1254

Information technology — Security techniques — Entity authentication assurance framework

ISO/IEC

& ITU-T

FIPS 181

Automated Password Generator

NIST
FIPS 190

Guideline for the Use of Advanced Authentication Technology Alternatives

NIST
FIPS 196

Entity Authentication Using Public Key Cryptography

NIST
OpenID Authentication OpenID
eXtensible Access Control Markup Language (XACML) OASIS
Security Assertion Markup Language (SAML) OASIS

Standar Kerahasiaan

Tabel 2. Standard keamanan: kerahasiaan (confidentiality)

Kategori Standard yang Tersedia Organisasi
Kerahasiaan RFC 5246

Secure Sockets Layer (SSL)/ Transport Layer Security (TLS)

IETF
Key Management Interoperability Protocol (KMIP) OASIS
XML Encryption Syntax and Processing W3C
FIPS 140-2

Security Requirements for Cryptographic Modules

NIST
FIPS 185

Escrowed Encryption Standard (EES)

NIST
FIPS 197

Advanced Encryption Standard (AES)

NIST
FIPS 188

Standard Security Label for Information Transfer

NIST

Standar Integritas

Tabel 3. Standard keamanan: integritas (integrity)

Kategori Standard yang Tersedia Organisasi
Integritas XML signature (XMLDSig) W3C
FIPS 180-4

Secure Hash Standard (SHS)

NIST
FIPS 186-4

Digital Signature Standard (DSS)

NIST
FIPS 198-1

The Keyed-Hash Message Authentication Code (HMAC)

NIST

Standar Manajemen Identitas

Tabel 4. Standard keamanan: manajemen identitas

Kategori Standard yang Tersedia Organisasi
Manajemen identitas X.idmcc

Requirement of IdM in Cloud Computing

ITU-T
FIPS 201-1

Personal Identity Verification (PIV) of Federal Employees and Contractors

NIST
Service Provisioning Markup Language (SPML) OASIS
Web Services Federation Language (WS-Federation) Version 1.2 OASIS
WS-Trust 1.3 OASIS
Security Assertion Markup Language (SAML) OASIS
OpenID Authentication 1.1 OpenID Foundation

Standar Monitoring Keamanan dan Respon Insiden

Tabel 5. Standard keamanan: monitoring keamanan dan respon insiden

Kategori Standard yang Tersedia Organisasi
Monitoring Keamanan dan Respon Insiden ISO/IEC WD 27035-1

Information technology — Security techniques — Information security incident management — Part 1: Principles of incident management

ISO/IEC
ISO/IEC WD 27035-3

Information technology — Security techniques — Information security incident management — Part 3: Guidelines for CSIRT operations

ISO/IEC
ISO/IEC WD 27039; Information technology — Security techniques — Selection, deployment and operations of intrusion detection systems ISO/IEC
ISO/IEC 18180

Information technology – Specification for the Extensible Configuration Checklist Description Format (XCCDF) Version 1.2 (NIST IR 7275)

ISO/IEC
X.1500

Cybersecurity information exchange techniques

ITU-T
X.1520: Common vulnerabilities and exposures ITU-T
X.1521

Common Vulnerability Scoring System

ITU-T
PCI Data Security Standard PCI
FIPS 191

Guideline for the Analysis of Local Area Network Security

NIST

Standar Kendali Keamanan

Tabel 6. Standard keamanan: kendali keamanan

Kategori Standard yang Tersedia Organisasi
Kendali Keamanan Cloud Controls Matrix Version 1.3 CSA
ISO/IEC 27001:2005

Information Technology – Security Techniques Information Security Management Systems Requirements

ISO/IEC
ISO/IEC WD TS 27017

Information technology — Security techniques — Information security management – Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002

ISO/IEC
ISO/IEC 27018

Code of Practice for Data Protection Controls for Public Cloud Computing Services

ISO/IEC
ISO/IEC 1st WD 27036-4

Information technology – Security techniques – Information security for supplier relationships – Part 4: Guidelines for security of cloud services

ISO/IEC

Standar Manajemen Kebijakan Keamanan

Tabel 7. Standard keamanan: manajemen kebijakan keamanan

Kategori Standard yang Tersedia Organisasi
Manajemen Kebijakan Keamanan ATIS-02000008

Trusted Information Exchange (TIE)

ATIS
FIPS 199

Standards for Security Categorization of Federal Information and Information Systems

NIST
FIPS 200

Minimum Security Requirements for Federal Information and Information Systems

NIST
ISO/IEC 27002

Code of practice for information security management

ISO/IEC
eXtensible Access Control Markup Language (XACML) OASIS

Standar Ketersediaan

Tabel 8. Standard keamanan: ketersediaan (availability)

Kategori Standard yang Tersedia Organisasi
Ketersediaan ATIS-02000009

Cloud Services Lifecycle Checklist

ATIS
ISO/PAS 22399:2007

Societal security – Guideline for incident preparedness and operational continuity management

ISO

Peraturan di Indonesia

Berdasakan definisi yang pada awal tulisan, dapat dilihat bahwa cloud computing dapat digunakan oleh pribadi, kelompok, perusahaan, maupun pemerintahan. Pengguna memiliki kebebasan terhadap layanan cloud computing yang dipakainya. Namun, kebebasan tersebut perlu dibatasi terutama hal-hal yang berkaitan dengan keamanan negara atau data-data rahasia. Oleh karena itu, perlu aturan yang membatasi penggunaan cloud computing.

Berdasarkan Undang-undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) [5] dan Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) [6], penyedia layanan cloud computing termasuk ke dalam kategori Penyelenggara Sistem Elektronik (PSE) yang perlu mematuhi aturan-aturan berikut. [6]

  • Kewajiban pendaftaran bagi PSE pelayanan publik (Pasal 5)
  • Kewajiban sertifikasi kelaikan hardware (Pasal 6)
  • Kewajiban didaftarkannya software bagi PSE pelayanan publik (Pasal 7)
  • Ketentuan tentang penggunaan tenaga ahli (Pasal 10)
  • Kewajiban-kewajiban dalam tata kelola sistem elektronik (Pasal 12)
  • Penerapan manajemen risiko penyelenggaraan sistem elektronik (Pasal 13)
  • Kewajiban memiliki kebijakan tata kelola dan SOP (Pasal 14)
  • Kewajiban dan ketentuan tentang pengelolaan kerahasiaan, keutuhan, dan ketersediaan data pribadi (Pasal 15)
  • Pemenuhan persyaratan tata kelola bagi PSE untuk pelayanan publik (Pasal 16)
  • Penempatan pusat data dan pusat pemulihan bencana serta mitigasi atas rencana keberlangsungan kegiatan penyelenggara sistem elektronik (Pasal 17)
  • Pengamanan penyelenggaraan sistem elektronik (Pasal 18 s.d. 19)
  • Kewajiban sertifikasi kelaikan sistem bagi PSE pelayanan publik (Pasal 30 s.d. 32)

Aturan Penempatan Pusat Data dan Pusat Pemulihan Data

Berdasarkan PP PSTE Pasal 17 ayat (2) dan (3), yaitu PSE untuk pelayanan publik diwajibkan untuk menempatkan pusat data dan pusat pemulihan bencana di wilayah Indonesia. Adapun isi dari PP PSTE Pasal 17 ayat (2) dan (3) sebagai berikut.

  • Ayat (2): Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menempatkan pusat data dan pusat pemulihan bencana di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan, dan penegakan kedaulatan negara terhadap data warga negaranya.
  • Ayat (3): Ketentuan lebih lanjut mengenai kewajiban penempatan pusat data dan pusat pemulihan bencana di wilayah Indonesia sebagaimana dimaksud pada ayat (2) diatur oleh Instansi Pengawas dan Pengatur Sektor terkait sesuai dengan ketentuan peraturan perundang-undangan setelah berkoordinasi dengan Menteri.

Penjelasan PP PSTE

Berdasarkan penjelasan pada PP PSTE, pusat data yang dimaksud pada ayat (2) di atas adalah suatu fasilitas yang digunakan untuk menempatkan Sistem Elektronik dan komponen terkaitnya untuk keperluan penempatan, penyimpanan, dan pengolahan data. Sedangkan pusat pemulihan bencana adalah suatu fasilitas yang digunakan untuk memulihkan kembali data atau informasi serta fungsi-fungsi penting Sistem Elektronik yang terganggu atau rusak akibat terjadinya bencana yang disebabkan oleh alam atau manusia.

Meskipun ada aturan yang membatasi penempatan pusat data, sanksi untuk penyelenggara yang melanggar tidak diatur secara tegas. Berdasarkan Pasal 84 PP PSTE tentang sanksi administratif, sanksi diberikan jika PSE pelayanan publik tidak memiliki rencana keberlangsungan kegiatan untuk menanggulangi gangguan atau bencana sesuai dengan risiko dari dampak yang ditimbulkan (Pasal 17 ayat 1 PP PSTE). Permasalahannya adalah pelanggaran terhadap aturan penempatan pusat data atau pusat pemulihan data termasuk ke dalam “tidak memiliki rencana keberlangsungan kegiatan” atau tidak. Hal tersebut tidak ada penjelasannya pada dokumen PP PSTE.

Aturan Penempatan Informasi Elektronik

Setelah pembahasan penempatan pusat data dan pusat pemulihan data, berikutnya adalah penempatan informasi elektronik. Pada bagian ini akan dibahas aturan penempatan informasi elektronik bagi suatu lembaga atau perusahaan pelayanan publik dalam penempatan data-datanya ketika menggunakan jasa penyedia cloud computing. Oleh karena itu, dua paragraf berikut menjelaskan lebih dahulu mengenai definisi pelayanan publik dan hal-hal yang berkaitan dengannya.

Definisi Pelayanan Publik

Berdasarkan Undang-Undang Nomor 25 Tahun 2009 tentang Pelayanan Publik [7] dan Peraturan Pemerintah Nomor 96 Tahun 2012  tentang Pelaksanaan Undang-Undang Nomor 25 Tahun 2009 tentang Pelayanan Publik (PP Pelayanan Publik) [8], definisi Pelayanan Publik adalah kegiatan atau rangkaian kegiatan dalam rangka pemenuhan kebutuhan pelayanan sesuai dengan peraturan perundang-undangan bagi setiap warga negara dan penduduk atas barang, jasa, dan/atau pelayanan administratif yang disediakan oleh penyelenggara pelayanan publik. Lalu, definisi Penyelenggara Pelayanan Publik adalah setiap institusi penyelenggara negara, korporasi, lembaga independen yang dibentuk berdasarkan undang-undang untuk kegiatan pelayanan publik, dan badan hukum lain yang dibentuk semata-mata untuk kegiatan pelayanan publik (Pasal 1 angka 2 PP Pelayanan Publik).

Penyelenggara Pelayanan Publik

Berdasarkan PP Pelayanan Publik [8], penyelenggaraan Pelayanan Publik termasuk dalam kategori pelayanan jasa publik yang pembiayaannya tidak bersumber dari anggaran pendapatan dan belanja negara atau anggaran pendapatan dan belanja daerah  tetapi ketersediaannya menjadi misi negara yang ditetapkan dalam peraturan perundang-undangan (Pasal 5 huruf c PP Pelayanan Publik). Penyelenggara Pelayanan Publik dapat berupa badan hukum lain (selain instansi pemerintah, BUMN, atau lembaga independen) yang menyelenggarakan Pelayanan Publik dalam rangka pelaksanaan Misi Negara (Pasal 10 ayat 1 huruf b PP Pelayanan Publik). Badan hukum lain yang dimaksud adalah badan swasta (korporasi atau yayasan) yang menyelenggarakan Pelayanan Publik dalam rangka pelaksanaan Misi Negara. Hal tersebut terjadi karena keterbatasan kemampuan pemerintah sehingga dilaksanakan oleh badan swasta dengan biaya dai pemerintah atau subsidi. Badan hukum lain dapat dikategorikan sebagai Pelayanan Publik jika memiliki besaran nilai aktiva paling sedikitk 50 kali besaran pendapatan per kapita per tahun di wilayah administrasi pemerintahan penyelenggara pada tahun berjalan dan jaringan pelayanan yang pengguna pelayanannya tidak dibatasi oleh wilayah administrasi pemerintahan (Pasal 10 ayat 2 PP Pelayanan Publik).

Contoh

Berdasarkan penjelasan dua paragraf di atas, misalkan ada rumah sakit menggunakan jasa penyedia cloud computing. Lalu, rumah sakit tersebut memiliki nilai aktiva (aset) sebesar Rp300 miliar, dengan asumsi pendapatkan per kapita nasional sebesar Rp50 juta, maka nilai minal pengkategorian sebuah badan hukum yang menjalankan misi negara sebagai penyelenggara pelayanan publik adalah sebesar Rp2,5 miliar (Rp50 juta dikali 50). Oleh karena itu, rumah sakit tersebut termasuk ke dalam kategori penyelenggaraan layanan publik. Konsekuensinya adalah rumah sakit tersebut harus menggunakan jasa penyedia cloud computing yang lokasi pusat data dan pusat pemulihan datanya ada di wilayah Indonesia (Pasal 17 ayat 2 PP PSTE).  Hal tersebut berarti, secara tidak langsung penyedia jasa cloud computing yang dipakai oleh rumah sakit tersebut termasuk ke dalam PSE pelayananan publik.

Berbeda hal jika penyedia jasa cloud computing memberikan pelayanan kepada perusahaan perminyakan untuk keperluan internal sistem informasi manajemen perusahaan, maka penyedia jasa cloud computing tersebut tidak termasuk ke dalam PSE pelayanan publik atau tidak memiliki kewajiban terhadap pasal-pasal PP PSTE terkait penyelenggaraan PSE untuk pelayanan publik.

Daftar Pustaka

[1] P. Mell and T. Grance, “The NIST Definition of Cloud Computing Recommendations of the National Institute of Standards and Technology,” Nist Spec. Publ., vol. 145, p. 7, 2011.

[2] F. Y. Rashid, “The dirty dozen: 12 cloud security threats,” 2016. [Online]. Available: https://www.infoworld.com/article/3041078/security/the-dirty-dozen-12-cloud-security-threats.html.

[3] Security European Union Agency for Network and Information, “Cloud standards and security,” no. August, pp. 1–23, 2014.

[4] W. Bumpus, “NIST Cloud Computing Standards Roadmap,” NIST Cloud Comput. Stand., pp. 1–3, 2013.

[5] Presiden RI, “Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi danTransaksi Layanan Elektronik,” no. 1, pp. 1–29, 2008.

[6] Government of Indonesia, “PP No. 82/2012 Penyelenggaraan Sistem dan Transaksi Elektronik,” pp. 1–54, 2012.

[7] P. R. INDONESIA, “UU RI No.25/2009 Tentang Pelayanan Publik,” pp. 1–44, 2009.

[8] P. R. INDONESIA, “Pelaksanaan Undang-Undang Nomor 25 Tahun 2009 Tentang Pelayanan Publik,” pp. 1–26, 2012.