# Kebijakan Akses & Otorisasi
Kebijakan ini memastikan bahwa hanya pihak yang berwenang yang dapat mengakses data pribadi.
## 1. Prinsip Dasar
– least privilege,
– need-to-know,
– separation of duties.
## 2. Pengelolaan Akses Pengguna
– approval formal untuk akses baru,
– pencabutan akses otomatis setelah resign,
– review akses berkala minimal 3 bulan.
## 3. Keamanan Akun
– password policy,
– MFA untuk admin & sistem sensitif,
– device restriction untuk akses sensitif.
## 4. Akses Vendor
– akses dibatasi waktu,
– hanya melalui VPN atau secured channel,
– audit log wajib.
Kebijakan ini mencegah akses tidak sah dan ancaman internal.
