# Legalitas Penetration Testing
Pentest **tidak boleh dilakukan** tanpa izin tertulis. Tanpa legalitas yang jelas, pentest dapat dianggap sebagai tindakan ilegal (unsanctioned hacking).
—
# 1. Dokumen Legal yang Wajib Ada
### 1.1 Authorization Letter
Dokumen izin resmi dari pemilik sistem yang menyatakan:
– siapa yang menguji,
– apa yang diuji,
– kapan diuji.
### 1.2 Rules of Engagement
Dokumen teknis tentang batasan & izin eksploitasi.
### 1.3 NDA (Non-Disclosure Agreement)
Menjamin kerahasiaan data:
– temuan tidak boleh disebarkan,
– bukti eksploitasi dilindungi.
### 1.4 Kontrak Pentest
Jika engagement dilakukan pihak ketiga.
—
# 2. Risiko Hukum Jika Tanpa Legalitas
Tanpa izin, pentest dianggap:
– unauthorized access,
– cyber crime,
– pelanggaran privasi,
– pelanggaran UU ITE,
– pelanggaran UU PDP.
—
# 3. Regulasi yang Relevan di Indonesia
– UU ITE Pasal 30 (akses ilegal),
– UU PDP (akses dan penyalahgunaan data),
– PP PSTE,
– ISO 27001 Annex A (kontrol keamanan).
—
# 4. Tanggung Jawab Penguji
– tidak merusak data,
– tidak mengunduh data sensitif kecuali perlu,
– menjaga integritas sistem,
– menghormati hukum & etika cybersecurity.
Legalitas adalah pilar utama keamanan engagement pentest.
