| Administrative Score (SA) | Reason | ||||
|---|---|---|---|---|---|
| 0030789804011000 | Rp 289,821,000 | 82.6 | 86.08 | - | |
PT Integra Pratama | 00*2**4****35**0 | - | - | - | SIUP tidak Sesuai, Tidak Memenuhi Persyaratan b.Pekerjaan yang serupa (similar) berdasarkan jenis pekerjaan, kompleksitas pekerjaan, metodologi, teknologi, atau karakteristik lainnya yang bisa menggambarkan kesamaan, paling kurang 3 (tiga) pekerjaan dalam kurun waktu 3 (tiga) tahun terakhir baik di lingkungan pemerintah maupun swasta, termasuk pengalaman subkontrak, dan c. Nilai pekerjaan sejenis tertinggi dalam kurun waktu 10 (sepuluh) tahun terakhir paling kurang sama dengan 50% (lima puluh persen) nilai HPS/Pagu Anggaran |
| 0024272197014000 | - | - | - | Tidak Memenuhi persyaratan a.Pekerjaan di bidang Jasa Konsultansi Nonkonstruksi paling kurang 1 (satu) pekerjaan dalam kurun waktu 1 (satu) tahun terakhir baik di lingkungan pemerintah maupun swasta, termasuk pengalaman subkontrak, b.Pekerjaan yang serupa (similar) berdasarkan jenis pekerjaan, kompleksitas pekerjaan, metodologi, teknologi, atau karakteristik lainnya yang bisa menggambarkan kesamaan, paling kurang 3 (tiga) pekerjaan dalam kurun waktu 3 (tiga) tahun terakhir baik di lingkungan pemerintah maupun swasta, termasuk pengalaman subkontrak, dan c.Nilai pekerjaan sejenis tertinggi dalam kurun waktu 10 (sepuluh) tahun terakhir paling kurang sama dengan 50% (lima puluh persen) nilai HPS/Pagu Anggaran | |
| 0029296340061000 | - | - | - | Tidak memenuhi Persyaratan b.Pekerjaan yang serupa (similar) berdasarkan jenis pekerjaan, kompleksitas pekerjaan, metodologi, teknologi, atau karakteristik lainnya yang bisa menggambarkan kesamaan, paling kurang 3 (tiga) pekerjaan dalam kurun waktu 3 (tiga) tahun terakhir baik di lingkungan pemerintah maupun swasta, termasuk pengalaman subkontrak | |
| 0964114557043000 | - | 60.61 | - | Tidak Memenuhi Passing Grade penilaian Unsur Proposal Teknis Metodologi dan Pendekatan | |
PT Kandis Mahardika Konsultan | 08*6**8****17**0 | - | - | - | Tidak Memenuhi persyaratan a.Pekerjaan di bidang Jasa Konsultansi Nonkonstruksi paling kurang 1 (satu) pekerjaan dalam kurun waktu 1 (satu) tahun terakhir baik di lingkungan pemerintah maupun swasta, termasuk pengalaman subkontrak, b.Pekerjaan yang serupa (similar) berdasarkan jenis pekerjaan, kompleksitas pekerjaan, metodologi, teknologi, atau karakteristik lainnya yang bisa menggambarkan kesamaan, paling kurang 3 (tiga) pekerjaan dalam kurun waktu 3 (tiga) tahun terakhir baik di lingkungan pemerintah maupun swasta, termasuk pengalaman subkontrak, dan c.Nilai pekerjaan sejenis tertinggi dalam kurun waktu 10 (sepuluh) tahun terakhir paling kurang sama dengan 50% (lima puluh persen) nilai HPS/Pagu Anggaran |
| 0669658882015000 | - | - | - | Tidak memenuhi Persyaratan b.Pekerjaan yang serupa (similar) berdasarkan jenis pekerjaan, kompleksitas pekerjaan, metodologi, teknologi, atau karakteristik lainnya yang bisa menggambarkan kesamaan, paling kurang 3 (tiga) pekerjaan dalam kurun waktu 3 (tiga) tahun terakhir baik di lingkungan pemerintah maupun swasta, termasuk pengalaman subkontrak | |
| 0022456784071000 | - | - | - | - | |
| 0745982538011000 | - | - | - | Tidak memenuhi Persyaratan b.Pekerjaan yang serupa (similar) berdasarkan jenis pekerjaan, kompleksitas pekerjaan, metodologi, teknologi, atau karakteristik lainnya yang bisa menggambarkan kesamaan, paling kurang 3 (tiga) pekerjaan dalam kurun waktu 3 (tiga) tahun terakhir baik di lingkungan pemerintah maupun swasta, termasuk pengalaman subkontrak | |
PT Aladdin Teknologi Solusi | 08*0**0****11**0 | - | - | - | Tidak Memenuhi persyaratan a.Pekerjaan di bidang Jasa Konsultansi Nonkonstruksi paling kurang 1 (satu) pekerjaan dalam kurun waktu 1 (satu) tahun terakhir baik di lingkungan pemerintah maupun swasta, termasuk pengalaman subkontrak, b.Pekerjaan yang serupa (similar) berdasarkan jenis pekerjaan, kompleksitas pekerjaan, metodologi, teknologi, atau karakteristik lainnya yang bisa menggambarkan kesamaan, paling kurang 3 (tiga) pekerjaan dalam kurun waktu 3 (tiga) tahun terakhir baik di lingkungan pemerintah maupun swasta, termasuk pengalaman subkontrak, dan c.Nilai pekerjaan sejenis tertinggi dalam kurun waktu 10 (sepuluh) tahun terakhir paling kurang sama dengan 50% (lima puluh persen) nilai HPS/Pagu Anggaran |
| 0031568017022000 | - | - | - | - | |
| 0017645896062000 | - | - | - | Tidak hadir klarifikasi kualifkasi dan Pembuktian Kualifikasi | |
| 0704511484063000 | - | - | - | - | |
| 0019581149014000 | - | - | - | - | |
| 0316598531451000 | - | - | - | Tidak memenuhi persyaratan c.Nilai pekerjaan sejenis tertinggi dalam kurun waktu 10 (sepuluh) tahun terakhir paling kurang sama dengan 50% (lima puluh persen) nilai HPS/Pagu Anggaran | |
| 0940635147011000 | - | 77.5 | - | Tidak memenuhi passing grade unsur kualifikasi tenaga ahl | |
PT Digtra Teknologi Awan | 06*0**1****15**0 | - | - | - | - |
| 0021855986017000 | - | - | - | - | |
| 0821010295447000 | - | - | - | - | |
PT Prima Nusa Gemilang | 08*7**5****05**0 | - | - | - | - |
Aidan Consultancy Services | 09*2**1****48**0 | - | - | - | - |
| 0021395843054000 | - | - | - | - | |
CV Bintang Multimedia Indonesia | 02*0**3****07**0 | - | - | - | - |
PT Insan Membangun Bangsa | 09*7**6****18**0 | - | - | - | - |
| 0027103373617000 | - | - | - | - | |
| 0708820691428000 | - | - | - | - | |
CV Dodo Property | 07*5**6****09**0 | - | - | - | - |
| 0707441903074000 | - | - | - | - |
KERANGKA ACUAN KERJA
PENGUJIAN KEAMANAN (PENETRATION TESTING)
SISTEM TEKNOLOGI INFORMASI PPATK TAHUN 2023
A. PROGRAM KEGIATAN
Kementerian/Lembaga : (078) PUSAT PELAPORAN DAN ANALISIS
TRANSAKSI KEUANGAN
Unit Eselon I : (078) PUSAT PELAPORAN DAN ANALISIS
TRANSAKSI KEUANGAN
Program : (078.01.06) Program pencegahan dan
pemberantasan tindak pidana pencucian uang dan
pendanaan terorisme
Unit Eselon II : Pusat Teknologi Informasi
Kegiatan : (3381) Pengelolaan Teknologi Informasi
B. LATAR BELAKANG
1. Dasar Hukum
Berdasarkan pasal 81 d an pasal 82 Peraturan Kepala PPATK Nomor 5 Tahun 2022 tentang
Organisasi dan Tata Kerja Pusat Pelaporan dan Analisis Transaksi Keuangan, bahwa Pusat
Teknologi Informasi mempunyai :
a. Tugas :
Melaksanakan pengembangan dan pengelolaan data serta menyelenggarakan sistem
informasi di lingkungan PPATK.
b. Fungsi :
1) koordinasi dan integrasi pengelolaan teknologi informasi PPATK;
2) penyiapan penyusunan dan pemutakhiran kebijakan teknis, rencana strategis,
standarisasi tata kelola dan arsitektur teknologi informasi dan komunikasi;
3) pelaksanaan pengelolaan program teknologi informasi;
4) perancangan, pengembangan dan pemeliharaan sistem aplikasi dan informasi;
1 | K A K P e n e t r a t i o n T e s t
Dokumen ini telah ditandatangani menggunakan sertifikat elektronik dari Balai Sertifikasi Elektronik (BSrE), Badan Siber dan Sandi Negara (BSSN)
This document is signed using digital certificate by Balai Sertifikat Elektronik (BSrE), Badan Siber dan Sandi Negara (BSSN)
5) pengelolaan layanan serta infrastruktur jaringan teknologi informasi dan
komunikasi;
6) pengelolaan basis data dan sistem layanan data;
7) pengelolaan dan pemantauan keamanan teknologi informasi dan komunikasi; dan
8) pelaksanaan dukungan administrasi Pusat.
2. Gambaran Umum
Dalam pemenuhan dan pengelolaan sistem teknologi informasi PPATK, Pusat Teknologi
Informasi sebagai Unit kerja yang membidanginya mempunyai tanggung jawab untuk
mempersiapkan kebutuhan sistem teknologi informasi yang terkait infrastruktur
teknologi informasi.
Di era industri 4.0 teknologi semakin berkembang, salah satunya digitalisasi melalui
website. PPATK saat ini memiliki puluhan website yang dipublikasikan melalui internet.
Website tersebut menyajikan informasi maupun kemudahan bagi pengguna baik internal
maupun eksternal namun juga disisi lain memiliki resiko potensi ancaman keamanan
melalui serangan siber yang semakin berkembang setiap tahunnya. Oleh karena itu
diperlukan kegiatan mitigasi resiko antara lain melakukan pengujian penetrasi keamanan
(pentest) dengan pihak swasta melalui lelang terbuka.
Dengan dilakukannya simulasi serangan/penyusupan terukur (penetration test) tersebut
diharapkan dapat diketahui secara dini kelemahan/kerentanan/celah keamanan
(vulnerability) pada sistem teknologi informasi PPATK, yang dapat dimanfaatkan oleh
pihak yang tidak bertanggungjawab (hacker/cracker) sebagai jalan masuk untuk
melakukan serangan yang dapat berdampak serius bagi PPATK, seperti perusakan dan
pembocoran data sensitif maupun gangguan terhadap operasional sistem teknologi
informasi PPATK.
C. KEGIATAN
1. Uraian Kegiatan
Kegiatan pengujian keamanan (penetration test) dilakukan pada sistem teknologi
informasi PPATK yang dianggap masih memiliki tingkat risiko tinggi terhadap aksi serangan
atau penyusupan, yang pada tahun ini difokuskan pada 5 aplikasi front-end PPATK yaitu:
a) Sistem Informasi Jaringan Dokumentasi dan Informasi Hukum (JDIH),
b) Sistem Informasi Naskah,
c) Sistem Informasi Seleksi ,
d) Sistem Informasi Satu data, dan
2 | K A K P e n e t r a t i o n T e s t
Dokumen ini telah ditandatangani menggunakan sertifikat elektronik dari Balai Sertifikasi Elektronik (BSrE), Badan Siber dan Sandi Negara (BSSN)
This document is signed using digital certificate by Balai Sertifikat Elektronik (BSrE), Badan Siber dan Sandi Negara (BSSN)
e) Sistem Informasi Pelaporan test.
Hasil temuan kerentanan yang diperoleh dari kegiatan tersebut kemudian dianalisis,
dikonfirmasi, dan diverifikasi oleh pihak pelaksana yang sekaligus juga memberikan usulan
dan masukan terkait penerapan kendali/kontrol maupun tindakan lain yang diperlukan
(mitigation/countermeasure) guna menutup celah keamanan (vulnerability) tersebut,
sehingga dapat menurunkan tingkat risiko maupun dampak yang mungkin ditimbulkannya.
Hasil yang diperoleh dari kegiatan uji coba tersebut disusun dalam Laporan Hasil Uji Coba
Keamanan TI.
2. Batasan Kegiatan
Kegiatan pengujian keamanan (penetration test) sistem teknologi informasi PPATK pada
difokuskan pada aplikasi front-end dengan batasan pengujian sebagai berikut:
A. Sistem Informasi Jaringan Dokumentasi dan Informasi Hukum (JDIH)
Merupakan sistem informasi yang menyajikan peraturan perundang-undangan
dan bahan dokumentasi hukum lainnya secara tertib, terpadu, dan
berkesinambungan sebagai sarana pemberian pelayanan informasi hukum yang
mudah, murah, cepat, dan akurat.
Sistem ini terdiri dari:
• 2 IP address dan 2 (satu) buah aplikasi (JDIH eksternal dan internal).
• 2 (satu) login sistem dalam satu interface.
• tidak ada static pages.
• 10 (sepuluh) modul dan 36 sub modul dengan dynamic pages.
B. Sistem Informasi Naskah
Merupakan aplikasi yang menyimpan naskah/dokumen yang di tanda tangani
secara digital dengan akses secara publik. Kegunaan aplikasi Naskah adalah
sebagai media untuk verifikasi keaslian naskah yang diberikan kepada eksternal
dengan authentikasi id naskah dan token.
Sistem ini terdiri dari:
• 1 IP address dan 1 (satu) buah aplikasi
• Tidak terdapat login aplikasi, hanya input token sebagai authentikasi
naskah/dokumen.
• 1 (satu) static pages (landing page).
• 1 (satu) modul dengan 3 (tiga) dynamic pages.
3 | K A K P e n e t r a t i o n T e s t
Dokumen ini telah ditandatangani menggunakan sertifikat elektronik dari Balai Sertifikasi Elektronik (BSrE), Badan Siber dan Sandi Negara (BSSN)
This document is signed using digital certificate by Balai Sertifikat Elektronik (BSrE), Badan Siber dan Sandi Negara (BSSN)
C. Sistem Informasi Seleksi
Merupakan aplikasi yang memuat informasi terkait seleksi terbuka jabatan
pimpinan tinggi pratama di PPATK yang dapat diakses secara terbuka oleh semua
pihak sehingga mendukung dan menindaklanjuti Peraturan Menteri
Pendayagunaan Aparatur Negara dan Reformasi Birokrasi Nomor 15 Tahun 2019
tentang Pengisian Jabatan Pimpinan Tinggi Secara Terbuka dan Kompetitif di
lingkungan Instansi Pemerintah.
Sistem ini terdiri dari:
• 1 IP address dan 1 (satu) buah aplikasi
• 1 (satu) login sistem dalam satu interface
• 5 (Lima) modul
D. Sistem Informasi Satu data
Merupakan media bagi pakai data PPATK yang dapat diakses melalui pemanfaatan
teknologi informasi dan komunikasi yang dikembangkan dan dikelola oleh PPATK
untuk mendukung kebijakan Satu Data Indonesia.
Sistem ini terdiri dari:
• 1 IP address dan 1 (satu) buah aplikasi
• 1 (satu) login sistem dalam satu interface, khusus untuk diakses internal
• 4 (empat) static pages
• 4 (empat) modul dengan 24 (dua puluh empat) dynamic pages.
E. Sistem Informasi Pelaporan test
Merupakan merupakan sistem pelaporan goaml development yg digunakan
pihak pelapor dan stakeholder untuk melakukan ujicoba laporan goAML.
Sistem ini terdiri dari:
• 1 IP address dan 1 (satu) buah aplikasi
• 3 (tiga) login system
• 5 (lima) static pages.
• 6 (enam) modul, 21 dua puluh satu sub modul dengan dynamic pages.
Hasil yang diharapkan dari kegiatan ujicoba, antara lain:
1. Tidak dapat memperoleh hak akses baik sebagai user maupun administrator;
2. Data/file tidak dapat diambil (data/file PPATK dan data/informasi pribadi pegawai);
3. Tidak dapat memasukkan file berbahaya dan dieksekusi (pengujian pertahanan
internal server)/back door;
4. Tidak terjadi pengubahan/manipulasi source code;
4 | K A K P e n e t r a t i o n T e s t
Dokumen ini telah ditandatangani menggunakan sertifikat elektronik dari Balai Sertifikasi Elektronik (BSrE), Badan Siber dan Sandi Negara (BSSN)
This document is signed using digital certificate by Balai Sertifikat Elektronik (BSrE), Badan Siber dan Sandi Negara (BSSN)
5. Tidak bisa mengambil alih perangkat server; dan
6. Denial all service.
3. Tempat Pelaksanaan Kegiatan
Pelaksanaan kegiatan pengujian keamanan (penetration test) sistem teknologi informasi
PPATK dilaksanakan secara hybrid yaitu offline maksimal 6 kali kedatangan ke kantor
PPATK yang berlokasi di Jl. Ir.H. Juanda No.35 Jakarta Pusat dan selebihnya ujicoba
dilakukan secara online.
4. Indikator Kinerja
a. Keluaran (Output)
Laporan kegiatan pengujian keamanan (penetration test) sistem teknologi informasi
PPATK yang sekurang-kurangnya berisi mengenai:
• Pelaksanaan simulasi, hasil temuan kelemahan/kerentanan/celah keamanan
(vulnerability),
• Informasi dampak temuan,
• Pembuktian (Proof of Concept)
• Usulan penerapan kendali/kontrol atau rekomendasi saran perbaikan,
• Tindakan lain yang diperlukan (mitigation/countermeasure).
Laporan kegiatan pengujian terdiri dari:
1. Laporan temuan awal, pada bulan pertama dalam bentuk softcopy presentation
atau dokumen yang dikirimkan via email atau link sharing.
2. Laporan antara atau progres, tiap 1 minggu setelah laporan awal, dalam bentuk
softcopy presentation atau dokumen yang dikirimkan via email atau link sharing.
3. Laporan final, dikirimkan dalam bentuk hardcopy dan softcopy.
b. Outcome
Keluaran dari kegiatan ini yaitu berupa untuk menutup kelemahan/kerentanan/celah
keamanan (vulnerability) sebagai upaya untuk menurunkan tingkat risiko maupun
dampak yang ditimbulkan serta meningkatkan ketahanan dan kesadaran akan keamanan
informasi PPATK.
5 | K A K P e n e t r a t i o n T e s t
Dokumen ini telah ditandatangani menggunakan sertifikat elektronik dari Balai Sertifikasi Elektronik (BSrE), Badan Siber dan Sandi Negara (BSSN)
This document is signed using digital certificate by Balai Sertifikat Elektronik (BSrE), Badan Siber dan Sandi Negara (BSSN)
D. STRATEGI PENCAPAIAN KELUARAN
1. Penunjukan Pelaksana Kegiatan
Pelaksana dari kegiatan pengujian keamanan (penetration test) sistem teknologi informasi
PPATK pada tahun 2023 ini merupakan konsultan yang ditunjuk berdasarkan peraturan
pemerintah terkait kegiatan pengadaan barang/jasa pada lembaga/instansi pemerintah,
yang dilakukan oleh Unit Kerja Pengadaan Barang/Jasa (UKPBJ) PPATK. Penanggung jawab
kegiatan Pelaksanaan dan Penyusunan Laporan Hasil Uji Coba Sistem Keamanan TI adalah
Kepala Pusat Teknologi Informasi.
2. Metode Evaluasi Teknis Calon Pelaksana
Pelaksana memiliki persyaratan sebagai berikut:
a. Project Manager (1 orang):
1) Pengalaman di bidang ujicoba sistem keamanan terkait sekurang-kurangnya 3
tahun
2) Tingkat pendidikan formal sekurang-kurangnya setara dengan Strata-1 (S1)
dengan jurusan Teknik Informatika/ Informatika / Manajemen Informatika/ Teknik
Komputer/ Ilmu Komputer / Sistem Informasi.
b. Information Security Expert (1 orang):
1) Pengalaman di bidang ujicoba sistem keamanan terkait sekurang-kurangnya 2
tahun.
2) Tingkat pendidikan formal sekurang-kurangnya setara dengan Strata-1 (S1)
dengan jurusan Teknik Informatika/ Informatika /Manajemen Informatika/ Teknik
Komputer/ Ilmu Komputer / Sistem Informasi/ Matematika/ Fisika.
3) Sertifikasi professional di bidang penetration testing seperti contohnya CEH, OSCP,
dan sertifikat sejenis.
c. Information Security Professional / Security Engineer (2 orang):
1) Pengalaman di bidang ujicoba sistem keamanan terkait sekurang-kurangnya 2
tahun
2) Tingkat pendidikan formal sekurang-kurangnya setara dengan Strata-1 (S1)
dengan jurusan Teknik Informatika/ Informatika /Manajemen Informatika/ Teknik
Komputer/ Ilmu Komputer / Sistem Informasi/ Matematika/ Fisika.
3) Sertifikasi professional di bidang penetration testing seperti contohnya CEH, OSCP,
dan sertifikat sejenis.
d. Tenaga Administrasi (1 orang):
1) Pengalaman sekurang-kurangnya 2 tahun
2) Tingkat pendidikan formal sekurang-kurangnya setara dengan Diploma-3 (D3).
6 | K A K P e n e t r a t i o n T e s t
Dokumen ini telah ditandatangani menggunakan sertifikat elektronik dari Balai Sertifikasi Elektronik (BSrE), Badan Siber dan Sandi Negara (BSSN)
This document is signed using digital certificate by Balai Sertifikat Elektronik (BSrE), Badan Siber dan Sandi Negara (BSSN)
3. Tahapan Pelaksanaan Kegiatan
Proses yang dilakukan dalam kegiatan pengujian keamanan (penetration test) sistem
teknologi informasi PPATK pada tahun 2023 ini menggunakan pendekatan black box dan
grey box, dengan tahapan secara umum yaitu sebagai berikut :
1) Mempelajari dan mengumpulkan informasi terkait dengan lingkungan dan
aplikasi/sistem JDIH, Naskah, Seleksi, Satu Data dan Pelaporan Test di PPATK yang
masuk dalam lingkup pengujian (reconnaissance & information gathering).
2) Melakukan vulnerability assessment, penetration test, analisis, konfirmasi & verifikasi,
dan membuat usulan perbaikan (mitigation/countermeasure).
3) Menyusun dan menyampaikan laporan (laporan progress, temuan awal dan laporan
final) kegiatan pengujian keamanan sistem teknologi informasi PPATK tahun 2023.
4. Perkiraan Waktu Pelaksanaan Kegiatan
Waktu pelaksanaan kegiatan pengujian keamanan (penetration test) sistem teknologi
informasi PPATK pada tahun diperkirakan membutuhkan waktu selama 60 (enam puluh)
hari kalender (tidak termasuk waktu untuk proses penunjukan pelaksana).
5. Biaya Pelaksanaan Kegiatan
Biaya pelaksanaan kegiatan tersebut menggunakan DIPA PPATK TA. 2023 dengan kode
akun 3381.CCL.001.054.B.522131 – Belanja Jasa Konsultan yaitu sebesar Rp 300.000.000,-
(tiga ratus juta rupiah) termasuk pajak.
Penanggung Jawab
Pejabat Pembuat Komitmen PTI
Jumta Jaya
7 | K A K P e n e t r a t i o n T e s t
Dokumen ini telah ditandatangani menggunakan sertifikat elektronik dari Balai Sertifikasi Elektronik (BSrE), Badan Siber dan Sandi Negara (BSSN)
This document is signed using digital certificate by Balai Sertifikat Elektronik (BSrE), Badan Siber dan Sandi Negara (BSSN)| Authority | |||
|---|---|---|---|
| 9 January 2023 | Jasa Konsultasi Badan Usaha Pendampingan Implementasi Sistem Manajemen Keamanan Informasi (Smki) Berbasis Iso 27001 | Bendahara Umum Negara (Kementerian Keuangan) | Rp 700,000,000 |
| 26 July 2021 | Pengadaan Penetration Testing Jaringan Dan Aplikasi Pusat Monitoring Telekomunikasi (Pmt) | Kementerian Komunikasi Dan Informatika | Rp 480,000,000 |
| 13 July 2023 | Jasa Konsultan Badan Usaha Pendampingan Penyusunan Dokumen Dan Implementasi Iso 27001:2022 | Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah | Rp 300,000,000 |