# Pengendalian Akses (Access Control)
Pengendalian akses memastikan bahwa hanya individu yang berwenang yang dapat menggunakan atau melihat data pribadi.
## Prinsip Utama Pengendalian Akses
### 1. Least Privilege
Setiap pengguna hanya memiliki akses minimum sesuai pekerjaannya.
### 2. Need-to-Know
Pengguna hanya boleh mengakses data jika benar-benar diperlukan.
### 3. Role-Based Access Control (RBAC)
Hak akses berdasarkan peran:
– Admin,
– Finance,
– HR,
– IT,
– Customer Support.
### 4. Multi-Factor Authentication (MFA)
Wajib digunakan untuk:
– admin sistem,
– akses cloud,
– akses server,
– akses aplikasi sensitif.
—
## Pengendalian Akses Teknis
### 1. Password Policy
– panjang minimal 12 karakter,
– kombinasi simbol, angka, huruf besar/kecil,
– rotasi berkala,
– larangan password reuse.
### 2. Session Management
– auto logout,
– session timeout,
– device tracking.
### 3. API Access Control
– API key rotation,
– OAuth2,
– IP whitelisting.
—
## Audit Akses
Wajib dilakukan secara berkala untuk:
– meninjau akun dormant,
– mencabut akses karyawan resign,
– meninjau akses vendor.
Pengendalian akses adalah salah satu kontrol terpenting dalam UU PDP.
