AI membuka kemampuan baru — dan permukaan serangan baru. Panduan ini merangkum praktik keamanan AI untuk perusahaan Indonesia, selaras dengan UU PDP dan ekspektasi regulator. Ini bukan nasihat hukum atau audit keamanan.
Tiga area keamanan AI
| Area | Risiko | Praktik |
|---|---|---|
| Data | Kebocoran, akses berlebih | Enkripsi (transit & diam), hak akses minimal, minimisasi data |
| Model | Akses tak sah, manipulasi | Kontrol akses model, integritas bobot, isolasi |
| Input/Output | Injeksi prompt, kebocoran via output | Validasi input, penyaringan output, batasan konteks |
Prinsip hak akses minimal
Aturan paling dasar: AI hanya boleh mengakses data dan sistem yang benar-benar relevan. Agen yang bertindak otomatis (lihat apa itu AI agent) menuntut batas tindakan yang jelas dan persetujuan manusia untuk langkah berdampak tinggi.
Self-hosting mengurangi permukaan serangan
Mengirim data sensitif ke layanan pihak ketiga menambah titik risiko. Self-hosting dan inferensi lokal menjaga data dan model di lingkungan Anda, mengurangi permukaan serangan sekaligus menyederhanakan kepatuhan UU PDP.
Pemantauan & jejak audit
Keamanan tidak berhenti di pencegahan. Jejak audit atas akses, input, dan keputusan AI penting untuk mendeteksi penyalahgunaan dan memenuhi akuntabilitas — bagian dari tata kelola AI dan audit keputusan AI.
Selaras dengan regulator
Selaraskan praktik dengan UU PDP, ekspektasi BSSN soal keamanan siber, dan aturan sektor seperti POJK 11/2022 + SEOJK 29/2022 untuk perbankan — lihat aturan OJK.
osFoundry mendukung praktik ini dengan kontrol akses workspace, kunci terenkripsi yang tidak dicatat, jejak audit tamper-evident, SSO via WorkOS, dan self-hosting di akun cloud Anda. dgm, mitra integrasi independen, merancang arsitektur AI yang aman sejak desain.
Kesimpulan
Keamanan AI berarti melindungi data, model, dan input/output dengan hak akses minimal, self-hosting bila perlu, dan jejak audit — selaras UU PDP, BSSN, dan aturan sektor. Hubungi dgm untuk merancang arsitektur AI yang aman.