# Aturan Main (Rules of Engagement)
Rules of Engagement (RoE) adalah dokumen resmi yang menentukan peraturan operasional pelaksanaan pentest. RoE memastikan bahwa pentest berlangsung aman, legal, dan terkendali.
—
# 1. Parameter Utama RoE
### 1.1 Waktu Pelaksanaan
– tanggal mulai & selesai,
– jam aktif (office hour atau 24/7),
– blackout period.
### 1.2 Serangan yang Diizinkan
– eksploitasi terbatas,
– enumeration,
– privilege escalation terkendali.
### 1.3 Serangan yang Dilarang
– DoS / DDoS,
– fuzzing intensif tanpa izin,
– destructive payload,
– social engineering (kecuali diminta),
– eksploitasi data produksi secara penuh.
### 1.4 Batasan Akses
– akses ke data finansial nyata,
– data kesehatan,
– sistem HR,
– core banking / core ERP.
—
# 2. Mekanisme Komunikasi Selama Testing
– channel resmi (Slack, Teams, WA),
– eskalasi insiden (P1, P2, P3),
– siapa yang harus dihubungi untuk cut-off testing.
—
# 3. Identitas Penguji (Tester Identification)
Penguji harus:
– terdaftar,
– menyimpan ID & kontak,
– memiliki pengalaman yang relevan.
—
# 4. Proteksi terhadap Data Sensitif
– masking data,
– screenshot dibatasi,
– akses log sensitif harus dientry minimal.
—
# 5. Disaster Recovery
Jika pentest menyebabkan gangguan layanan:
– segera hentikan testing,
– aktifkan rollback,
– berikan laporan insiden internal.
RoE adalah dokumen wajib sebelum engagement berjalan.
