1. INDONESIA INTERNET GOVERNANCE FORUM
Mariam F. Barata
Jakarta, 08 September 2021
Nomor : 028/ID-IGF/IX/2021.
Lampiran : Rekomendasi Untuk Perbaikan Aplikasi PeduliLindungi.
Perihal : Rekomendasi Dan Masukan Perbaikan Aplikasi PeduliLindungi Kedepannya.
Kepada Yth :
1. Menteri Komunikasi Dan Informatika Republik Indonesia
2. Menteri Kesehatan Republik Indonesia
3. Menteri Dalam Negeri Republik Indonesia
4. Kepala Badan Siber Dan Sandi Negara
5. Direktur Utama PT. Telekomunikasi Indonesia (TELKOM), Tbk
DI TEMPAT
Dengan Hormat,
Bersama ini kami informasikan bahwa Forum Tata Kelola Internet Indonesia (Indonesia
Internet Governance Forum/ID-IGF) adalah wadah bagi para pemangku kepentingan
majemuk dalam Komunitas Teknologi Informasi dan Komunikasi (TIK) yang terdiri dari
Lembaga Pemerintah, Asosiasi Industri, Organisasi Masyarakat Sipil, Komunitas Teknis dan
Akademisi di Indonesia. ID-IGF dideklarasikan pada tahun 2012 dan menjadi bagian dari United
Nations IGF. Selengkapnya tentang dapatdilihat pada situs https://igf.id
Sehubungan dengan banyaknya keluhan pengguna aplikasi PeduliLindungi yang disampaikan
melalui berbagai forum formal maupun informal, para pemangku kepentingan majemuk ID-IGF
turut serta mendiskusikan dan menganalisa kinerja PeduliLindungi sejak bulan Juli 2021
sampai bulan September 2021 melalui WhatsApp Group ID-IGF dan pertemuan daring via
Zoom. Tujuannya untuk memetakan masalah dan mencari solusi demi perbaikan kinerja
aplikasi PeduliLindungi.
Hasilnya berupa penilaian dan rekomendasi solusi atas permasalahan aplikasi PeduliLindungi
yang ditujukan kepada 5 (lima) pihak yang terkait seperti terdapat pada lampiran surat
pengantar ini. Rekomendasi ID-IGF dipilah menjadi 2 (dua) sisi yaitu Teknis dan Tata Kelola.
Demikianlah surat dan masukan ini kami sampaikan, atas perhatian dan kerjasamanya kami
haturkan terima kasih.
Koordinator MAG,
Indonesia Internet Governance Forum (ID-IGF),
SEKRETARIAT
KANTOR KEMENTERIAN KOMUNIKASI DAN INFORMATIKA - DIREKTORAT JENDERAL APLIKASI INFORMATIKA
Gedung Utama Lantai 2, Jl. Medan Merdeka Barat No. 9. Jakarta Pusat 10110 - Indonesia
Email : sekretariat@igf.id Fax : 021.3810306
2. INDONESIA INTERNET GOVERNANCE FORUM
1
REKOMENDASI FORUM TATA KELOLA INTERNET INDONESIA (IGF INDONESIA)
Tanggal : 8 September 2021
Perihal : Penilaian dan Rekomendasi atas aplikasi PeduliLindungi
Ditujukan untuk : Kemenkominfo, Kemenkes, Kemendagri, BSSN dan PT Telkom
TEKNIS
No Permasalahan Rekomendasi Solusi Lembaga
Terkait
1 PL mencantumkan Syarat Penggunaan yang
tidak menjamin layanannya selalu bisa diakses
serta tidak menjamin data yang akurat dan
aman.
Mengubah Syarat Penggunaan
PL agar sesuai dengan
Peraturan Pemerintah nomor
71 Tahun 2019 tentang
Penyelenggara Sistem dan
Transaksi Elektronik pasal 3
yang mewajibkan setiap
Penyelenggara Sistem
Elektronik (PSE)
bertanggungjawab terhadap
penyelenggaraan sistemnya.
PT Telkom
2 Kebijakan Kerahasiaan PL tidak menjamin
keamanan data bila terjadi akses illegal.
Sesuai Peraturan Pemerintah
nomor 71 Tahun 2019 Pasal
31, PSE wajib melindungi
pengguna dan masyarakat
luas dari kerugian yang
ditimbulkan oleh sistem
elektronik yang
diselenggarakannya. Sehingga,
Kebijakan Kerahasiaan PL
harus memuat klausul di atas.
Selain itu data PL harus
dienkripsi dan hanya bisa
didekripsi oleh aplikasi PL.
PT Telkom
3 PL di Play Store sudah diunduh lebih dari 10
juta kali, dengan rating 3,8 dari 345 ribu
reviewer. Sedangkan App Store, PL memiliki
rating 2,7 dari 17 ribu reviewer. Komentar
paling relevan didominasi oleh bintang 1 dan 2
dengan keluhan umum berupa:
- aplikasi sering hang akibat tingginya jumlah
pengguna
- aplikasi mensyaratkan Global Positioning
System (GPS) aktif 24 jam sehingga batere
ponsel cepat habis
- kesalahan data penerima vaksin
- penerbitan sertifikat vaksin terlalu lama
- pengguna terus menerus diminta login ulang
Perbaikan desain arsitektur
aplikasi agar dapat
memanfaatkan optimal fitur
Software Development Kit
(SDK) dengan menerapkan
metode standar DEVSECOPS
yang komprehensif.Tidak
tambal sulam seperti
sekarang.
GPS tidak perlu aktif 24 jam,
sebagai pengganti berikan 4
pilihan pemakaian GPS:
pemakaian sekali, saat
PT Telkom
3. INDONESIA INTERNET GOVERNANCE FORUM
2
dan memasukkan NIK
- OTP sering gagal terkirim
digunakan, selalu aktif, dan
menolak pengaktifan.
PL perlu menggunakan
message broker untuk
antisipasi kegagalan request
akibat tingginya akses
pengguna pada saat
bersamaan.
Pengguna diberi pilihan untuk
tetap login dan tidak perlu
setiap saat harus memasukkan
NIK.
Harus ada mutu layanan
pengiriman one time password
(OTP) melalui SMS maupun
email maksimal 3 menit. Atau
bisa memakai model 2FA
dengan aplikasi token random
number generator yang dibuat
sendiri oleh developer.
PL bisa mengadopsi praktik
terbaik dari ISO 27001 untuk
keamanan teknologi informasi
dan ISO 27701 untuk
perlindungan data pribadi.
4 Fitur vaksinasi di PL sulit dipahami, tidak
menampilkan data dan lokasi akurat, serta
tidak real time.
PL membuat fitur sederhana
berisi lokasi, waktu, pilihan
untuk mendaftar vaksinasi.
Setelah mendaftar, pengguna
bisa langsung menerima
konfirmasi dan jadwal untuk
datang ke tempat vaksinasi
yang dipilih tanpa perlu daftar
ulang.
PT.
Telkom,
Kemenkes
5 Database PL dan berbagai fiturnya tidak
terintegrasi antara aplikasi web dan mobile
apps, yang mengakibatkan duplikasi akun dan
kerancuan penggunaan oleh pengguna
Perbaikan desain arsitektur
aplikasi dengan menerapkan
metode DEVSECOPS untuk
kontrol proses pengembangan
sehingga mengurangi bugs,
logical process error, fitur dan
UI/UX yang tidak user friendly
dan berbagai kesalahan
mendasar yang masih terjadi
pada versi release.
PT Telkom
4. INDONESIA INTERNET GOVERNANCE FORUM
3
Memastikan database
terenkripsi pada semua level
akses aplikasi.
6 PL mengumpulkan data-data yang melebihi
kebutuhannya sehingga memperbesar peluang
pelanggaran data pribadi pengguna:
- mengirimkan swa-foto dan KTP untuk
kredensial permintaan bantuan
- akses 24 jam GPS
- mengumpulkan IP address yang bisa
mengidentifikasi perangkat.
Menghapus ketentuan-
ketentuan ini karena tidak
sesuai dengan fungsi PL.
Selain itu jika ada kebocoran
data pengguna, akan dengan
mudah dipakai untuk social
engineering oleh pihak lain.
PT Telkom
7. Layanan call center PL sangat lambat merespon
keluhan pengguna
Menggunakan layanan
pelanggan profesional multi
channel 24 jam yang
memperlakukan pengguna PL
seperti nasabah sebuah bank.
PT Telkom
8 Keamanan database di cloud (aspek Integrity)
dan domain alamat PL serta ketahanan
(resilience) akses Pusat Data Nasional terkait
isu utama : Availability.
Mengubah arsitektur dan
topologi PDN selaku host PL
menjadi Multihome network
yang terhubung ke beberapa
peering (local exchange) dan
IP transit secara agregasi.
Untuk mencegah single point
of failure dan menjaga
robustness.
Replikasi PL ke sejumlah host
selain PDN dengan model
konvensional mirror site atau
CDN / Anycast untuk
menjamin availability dan
performa.
PT
Telkom,
BSSN
9 Sistem input PL memiliki celah keamanan
karena dilakukan secara manual melalui PCare
oleh ratusan ribu nakes. Sehingga membuat
waktu vaksinasi lebih lama dan banyaknya
kesalahan data penerima vaksin.
Digitalisasi form registrasi
sehingga tidak perlu daftar
ulang, cukup dengan scan QR
Code. Ini bisa memangkas
waktu tunggu dalam vaksinasi
massal menjadi hanya 25
menit/orang.
Petugas input data tidak harus
nakes untuk mengurangi
kesalahan input data. Nakes
fokus menjadi tim injeksi
vaksin sehingga target
kecepatan vaksinasi bisa
Kemenkes,
BSSN
5. INDONESIA INTERNET GOVERNANCE FORUM
4
tercapai. Praktik ini sudah di
ujicoba dan dalam 2 jam pasca
vaksinasi, sertifikat sudah
keluar tanpa ada kesalahan
data penerima vaksin.
10 Security Audit dan Bug Bounty Dilaksanakan secara periodik
untuk menjamin keamanan
sistem PL maupun data-data
pengguna yang tersimpan.
Membuat dokumentasi
terbuka yang memungkinkan
peer review memanfaatkan
standar dokumentasi
development seperti direktori
Git yang diselenggarakan oleh
platform GitHub.
Melibatkan Professional
Tester, baik Blue Team
maupun Red Team. Juga User
Acceptance Test memastikan
fungsionalitas FITUR mapun
UI/UX.
PT
Telkom,
BSSN
TATA KELOLA
No Permasalahan Rekomendasi Solusi Lembaga Terkait
1 PL bersifat mandatory, tetapi tidak
ada dalam daftar PSE resmi yang
terdaftar di Kemenkominfo
sebagaimana bisa dilihat di laman
https://pse.kominfo.go.id/
Segera mendaftarkan sebagai
PSE sehingga statusnya legal
dan tepercaya.
PT Telkom,
Kemenkominfo
2 Pewajiban PL untuk seluruh
penduduk Indonesia menimbulkan
diskriminasi pada hak masyarakat
Indonesia untuk mendapatkan
layanan publik. Sebab, penetrasi
ponsel cerdas di Indonesia baru
mencapai 58% populasi, sehingga
ada 42% masyarakat yang tidak bisa
mengunduh PL meski sudah vaksin.
Ada juga masyarakat yang memiliki
ponsel pintar dan sudah vaksin
namun tidak bersedia mengunduh
PL karena belum merasa terjamin
Membalik proses penerapan PL
sehingga lebih memudahkan
masyarakat yang tidak punya
ponsel pintar untuk tetap
beraktivitas.
Jadi di setiap tempat publik
disediakan terminal check-in
manual dengan input Nomor
Induk Kependudukan (NIK)
melalui layar dashboard
terhubung ke front-end PL
melalui API.
PT Telkom,
Kemenkominfo,
Kemendagri,
Kemenkes
6. INDONESIA INTERNET GOVERNANCE FORUM
5
keamanan data pribadinya.
Selain itu ada sekitar 3,8 juta orang
yang memiliki imunitas alami karena
sudah sembuh dari Covid-19 dan
baru bisa vaksin minimal 3 bulan
setelah sembuh.
Alternatif input lainnya dengan
RFID reader untuk tap chip KTP
Elektronik atau dengan scan QR
Code kartu vaksin.
Dengan cara ini, masyarakat
umum hanya perlu membawa
kartu vaksin atau e-KTP untuk
dipindai oleh petugas di area
publik.
Untuk warga yang tidak boleh
divaksin dan sudah sembuh dari
Covid-19, hanya perlu
membawa surat keterangan
dokter untuk mengakses
layanan publik.
3 Data NIK sudah tersebar di 1300
instansi, sehingga harus diakhiri,
disanitasi dan diganti dengan format
dan akses terenkripsi.
Menghapus semua data residen
e-KTP di kurang lebih 1300
instansi pengakses. Dilanjutkan
dengan melakukan enkripsi di
level database dan selanjutnya
hanya data dalam bentuk
encrypted saja yang bisa diakses
oleh 1300+ instansi melalui API
dengan kredensial aplikasi
(bukan memakai kredensial
operator supaya tidak terjadi
kasus operator vaksinasi akses
ke PL dan menyalahgunakan
wewenang).
Data PID, hanya bisa
ditampilkan sebagian (yang
berhubungan dengan keperluan
saja - misalnya untuk PL hanya
perlu NIK dan nama lengkap -
tanggal lahir tidak perlu karena
sudah ada di NIK) di front-end
aplikasi 1300+ instansi,
termasuk PL dengan selalu
meminta kredensial pengakses
agar orang lain tidak bisa akses -
hanya yang berkepentingan
saja.
Kemenkominfo,
Kemendagri
4 Kredential untuk mengakses PL
hanya dengan NIK dan nama
lengkap, padahal data-data ini
sangat mudah diakses publik. Lalu
Segera beralih ke Digital ID. Saat
ini di Indonesia sudah ada
produk Digital ID yang
digunakan luas dengan
Kemenkominfo,
Kemendagri
7. INDONESIA INTERNET GOVERNANCE FORUM
6
dikoreksi dengan kredensial 5
parameter data kependudukan yang
justru makin menyulitkan pengguna
untuk mengakses datanya sendiri.
pendekatan teknis yang
berbeda-beda. Misalnya
https://privy.id/ atau layanan
PANDI https://u.id/ dan bahkan
Kementerian Komunikasi dan
Informatika sendiri pernah
memiliki layanan SiVION
(difungsikan untuk layanan
Digital Signature).
5 Single Sign On Nasional berbasis
Digital ID untuk menggantikan NIK
yang sudah bocor dan tersebar luas
dengan kode National Identification
Number (NIN).
Digital ID bisa di-generate
dengan banyak metode, tinggal
pilih atau dimodifikasi menjadi
kredensial yang paling kuat,
tepercaya dan mudah
interoperabilitasnya. Modelnya
sebenarnya cukup sederhana,
walaupun sangat teknis pada
intinya menggabungkan
sejumlah PID dan unique data
yang akan mewakili identitas
seseorang atau institusi secara
digital : Data + National
Identification Number + CA +
random number + user
credential termasuk biometrik =
Digital ID (bisa untuk user
personal atau institusi /
merchant).
Dengan Digital ID ini maka yang
akan dipertukarkan dalam
transaksi elektronik bukan lagi
plain data pribadi penduduk
seperti KTP Elektronik, NIK.
Individu atau instansi/merchant
dikenali sebagai Identitas
Digital.
Kemenkominfo,
Kemendagri
Demikianlah rekomendasi dari IGF Indonesia. Semoga dapat menjadi bahan pertimbangan
pembuatan keputusan untuk kemajuan bangsa.
8. INDONESIA INTERNET GOVERNANCE FORUM
7
TIM PENYUSUN:
1. Ismail Fahmi - Founder Drone Emprit
2. Muhammad Salahuddien Manggalany - Deputy of Operation and Security, Cyber Security
Independent Resilience Team of Indonesia (CSRIT.ID)
3. Rendy Maulana Akbar – Direktur Qwords Company International/ Asosiasi Cloud and
Hosting Indonesia
4. Sigit Widodo – Direktur Digital DPP Partai Solidaritas Indonesia
5. Alfons Tanudjaya – Pengamat Sekuriti Vaksincom/ Internet Development Institute
6. Parlindungan Marius – Komite IDNOG
7. Basuki Suhardiman - Anggota MAG IGF Indonesia
8. Yudho Giri Cahyo- Ketua Umum PANDI/ Anggota MAG IGF Indonesia
9. Yuan Oktafian - Anggota MAG IGF Indonesia
10. Astari Yanuarti – Ketua Redaxi/Anggota MAG IGF Indonesia