DATA PROCESSING ADDENDUM

ADENDUM PEMROSESAN DATA

Version 2.0 · Updated 14 May 2026

This Data Processing Addendum ("DPA") supplements and forms part of the InsureMO Subscription General Terms and Conditions available at https://insuremo.com/en/legal-general-terms-and-conditions/, as updated from time to time between Client and Company, or other agreement(s) between Client and Company governing Client's use of the Services (the "Agreement"). This DPA is an agreement between you and the entity you represent ("Client") and the InsureMO Contracting Entity under the Agreement ("Company"). This DPA reflects the Parties' agreement with regard to the Processing of Client Data (as defined below) by Company on behalf of Client in order to provide the Services pursuant to the Agreement.

Adendum Pemrosesan Data ini ("DPA") melengkapi dan merupakan bagian dari Syarat dan Ketentuan Umum Langganan InsureMO yang tersedia di https://insuremo.com/en/legal-general-terms-and-conditions/, sebagaimana diperbarui dari waktu ke waktu antara Klien dan Perusahaan, atau perjanjian lain antara Klien dan Perusahaan yang mengatur penggunaan Layanan oleh Klien ("Perjanjian"). DPA ini merupakan perjanjian antara Anda dan entitas yang Anda wakili ("Klien") dan Entitas Perjanjian InsureMO berdasarkan Perjanjian ("Perusahaan"). DPA ini mencerminkan kesepakatan Para Pihak mengenai Pemrosesan Data Klien (sebagaimana didefinisikan di bawah) oleh Perusahaan atas nama Klien untuk menyediakan Layanan berdasarkan Perjanjian.

1. DEFINITIONS

1. DEFINISI

All capitalized terms shall follow the definition under the Agreement unless otherwise defined specifically in this DPA as below:

Semua istilah yang diawali huruf kapital akan mengikuti definisi dalam Perjanjian kecuali didefinisikan secara khusus dalam DPA ini sebagai berikut:

Client Data means the Personal Data that is uploaded to the Services under Client's InsureMO accounts, or otherwise provided by, or on behalf of Client to Company through the Use of the Services.

Data Klien berarti Data Pribadi yang diunggah ke Layanan melalui akun InsureMO Klien, atau yang diberikan oleh atau atas nama Klien kepada Perusahaan melalui Penggunaan Layanan.

Controller means the entity which, alone or jointly with others, determines the purposes and means of Processing of Personal Data.

Pengendali berarti entitas yang, sendiri atau bersama-sama dengan pihak lain, menentukan tujuan dan cara Pemrosesan Data Pribadi.

Data Protection Laws mean all legislations and regulations applicable to the Processing of Client Data under the Agreement, including GDPR (EU General Data Protection Regulation 2016/679) and other data protection legislations, as applicable.

Hukum Perlindungan Data berarti seluruh peraturan perundang-undangan yang berlaku terhadap Pemrosesan Data Klien berdasarkan Perjanjian, termasuk GDPR (Peraturan Perlindungan Data Umum Uni Eropa 2016/679) dan peraturan perlindungan data lainnya yang berlaku, termasuk Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP).

Process or Processing means any operation or set of operations performed on Client Data, including collection, storage, use, access, disclosure, erasure, destruction, and reading.

Memproses atau Pemrosesan berarti setiap operasi atau serangkaian operasi yang dilakukan terhadap Data Klien, termasuk pengumpulan, penyimpanan, penggunaan, akses, pengungkapan, penghapusan, pemusnahan, dan pembacaan.

Processor means the entity which Processes Personal Data on behalf of the Controller.

Prosesor Data Pribadi berarti entitas yang Memproses Data Pribadi atas nama Pengendali.

Security Incident means a breach of Company's security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, Client Data.

Insiden Keamanan berarti pelanggaran keamanan Perusahaan yang mengakibatkan pemusnahan, kehilangan, perubahan, pengungkapan tanpa izin, atau akses yang tidak sah terhadap Data Klien, baik secara tidak sengaja maupun melanggar hukum.

Sub-processor means the entity engaged by Processor to provide Processing activities on Personal Data on behalf of Controller.

Sub-prosesor berarti entitas yang ditunjuk oleh Prosesor untuk menjalankan kegiatan Pemrosesan Data Pribadi atas nama Pengendali.

Supervisory Authority means an independent public authority or national body responsible for monitoring the application of the applicable Data Protection Laws.

Otoritas Pengawas berarti otoritas publik independen atau lembaga nasional yang bertanggung jawab memantau penerapan Hukum Perlindungan Data yang berlaku.

2. DATA PROCESSING

2. PEMROSESAN DATA

2.1 Scope and Roles. This DPA applies when Client Data is Processed by Company as a Processor on behalf of Client as a Controller in order to provide Services pursuant to the Agreement. For clarity, this DPA applies only to the Processing of Personal Data in environments controlled by Company and Company's Sub-processors. For the avoidance of doubt, this includes Personal Data sent to Company through the Use of the Services but does not include Personal Data that remains on Client's premises or in any of Client's selected third party operating environments.

2.1 Ruang Lingkup dan Peran. DPA ini berlaku ketika Data Klien diproses oleh Perusahaan sebagai Prosesor atas nama Klien sebagai Pengendali untuk menyediakan Layanan berdasarkan Perjanjian. Untuk kejelasan, DPA ini hanya berlaku untuk Pemrosesan Data Pribadi di lingkungan yang dikendalikan oleh Perusahaan dan Sub-prosesor Perusahaan. Untuk menghindari keraguan, hal ini mencakup Data Pribadi yang dikirimkan kepada Perusahaan melalui Penggunaan Layanan, tetapi tidak mencakup Data Pribadi yang tetap berada di lokasi Klien atau di lingkungan operasional pihak ketiga yang dipilih oleh Klien.

2.2 Processing Details

2.2 Detail Pemrosesan

2.2.1 Subject matter. The subject matter of the data processing under this DPA is Client Data.

2.2.1 Pokok Perjanjian. Pokok pemrosesan data dalam DPA ini adalah Data Klien.

2.2.2 Duration of the Processing. The duration of the Processing of Client Data under this DPA corresponds to the duration of the Services unless otherwise agreed by the Parties in writing.

2.2.2 Jangka Waktu Pemrosesan. Jangka waktu Pemrosesan Data Klien berdasarkan DPA ini sesuai dengan jangka waktu Layanan kecuali disepakati lain oleh Para Pihak secara tertulis.

2.2.3 Purpose and Nature of the Processing. Company will Process Personal Data as necessary to perform the Services pursuant to the Agreement, as further specified in the Documentation, and as further instructed by Client in its Use of the Services. The nature of the Processing is the performance of the Services pursuant to the Agreement.

2.2.3 Tujuan dan Sifat Pemrosesan. Perusahaan akan Memproses Data Pribadi sebagaimana diperlukan untuk melaksanakan Layanan berdasarkan Perjanjian, sebagaimana lebih lanjut ditentukan dalam Dokumentasi, dan sebagaimana lebih lanjut diarahkan oleh Klien dalam Penggunaan Layanannya. Sifat Pemrosesan adalah pelaksanaan Layanan berdasarkan Perjanjian.

2.2.4 Type of Personal Data. Personal Data uploaded to the Services under Client's InsureMO accounts or otherwise provided by Client to Company.

2.2.4 Jenis Data Pribadi. Data Pribadi yang diunggah ke Layanan melalui akun InsureMO Klien atau yang diberikan oleh Klien kepada Perusahaan.

2.2.5 Categories of Data Subjects. The Data Subjects could include Client's customers, employees, suppliers and End Users.

2.2.5 Kategori Subjek Data Pribadi. Subjek Data Pribadi dapat mencakup pelanggan, karyawan, pemasok, dan Pengguna Akhir Klien.

2.3 Compliance with Law. Each party will comply with all Data Protection Laws applicable to and binding on it in the performance of this DPA. Client agrees that it shall comply with its obligations as a Controller under Data Protection Laws. Client will not use the Services in a way that would violate Data Protection Laws.

2.3 Kepatuhan terhadap Hukum. Setiap pihak wajib mematuhi seluruh Hukum Perlindungan Data yang berlaku dan mengikat dalam pelaksanaan DPA ini. Klien menyetujui bahwa Klien wajib memenuhi kewajibannya sebagai Pengendali berdasarkan Hukum Perlindungan Data. Klien tidak akan menggunakan Layanan dengan cara yang melanggar Hukum Perlindungan Data.

3. CLIENT INSTRUCTIONS

3. INSTRUKSI KLIEN

The Parties agree that this DPA and the Agreement constitute Client's documented instructions regarding Company's Processing of Client Data ("Documented Instructions"). Company will Process Client Data only in accordance with Documented Instructions from Client, unless otherwise required by Data Protection Laws. Additional instructions outside the scope of the Documented Instructions (if any) require prior written agreement between Company and Client, including agreement on any additional fees payable by Client to Company for carrying out such instructions. Client is entitled to terminate this DPA and the Agreement if Company declines to follow instructions requested by Client that are outside the scope of, or changed from, those given or agreed to be given in this DPA.

Para Pihak sepakat bahwa DPA ini dan Perjanjian merupakan instruksi tertulis Klien mengenai Pemrosesan Data Klien oleh Perusahaan ("Instruksi Tertulis"). Perusahaan akan Memproses Data Klien hanya sesuai dengan Instruksi Tertulis dari Klien, kecuali diwajibkan lain oleh Hukum Perlindungan Data. Instruksi tambahan di luar ruang lingkup Instruksi Tertulis (jika ada) memerlukan persetujuan tertulis terlebih dahulu antara Perusahaan dan Klien, termasuk kesepakatan mengenai biaya tambahan yang harus dibayarkan oleh Klien kepada Perusahaan untuk pelaksanaan instruksi tersebut. Klien berhak mengakhiri DPA ini dan Perjanjian apabila Perusahaan menolak untuk mengikuti instruksi yang diminta oleh Klien yang berada di luar ruang lingkup, atau berbeda dari, instruksi yang diberikan atau disepakati untuk diberikan dalam DPA ini.

4. CONFIDENTIALITY COMMITMENT

4. KOMITMEN KERAHASIAAN

Company will take reasonable steps to ensure that its personnel engaged in the Processing of Client Data (i) will Process such data only on Documented Instructions from Client, and (ii) will be obligated to maintain the confidentiality and security of such data. Company imposes appropriate contractual obligations upon its personnel, including relevant obligations regarding confidentiality, data protection and data security.

Perusahaan akan mengambil langkah-langkah yang wajar untuk memastikan bahwa personelnya yang terlibat dalam Pemrosesan Data Klien (i) akan Memproses data tersebut hanya berdasarkan Instruksi Tertulis dari Klien, dan (ii) wajib menjaga kerahasiaan dan keamanan data tersebut. Perusahaan menerapkan kewajiban kontraktual yang sesuai kepada personelnya, termasuk kewajiban yang relevan mengenai kerahasiaan, perlindungan data, dan keamanan data.

5. SECURITY OF DATA PROCESSING

5. KEAMANAN PEMROSESAN DATA

5.1 Company has implemented and will maintain appropriate technical and organizational measures, as set out in Annex 1 ("Security Measures"), for protection of the security, confidentiality and integrity of Client Data.

5.1 Perusahaan telah menerapkan dan akan mempertahankan langkah-langkah teknis dan organisasi yang sesuai, sebagaimana diatur dalam Lampiran 1 ("Tindakan Keamanan"), untuk melindungi keamanan, kerahasiaan, dan integritas Data Klien.

5.2 Company regularly monitors compliance with the Security Measures. Client acknowledges that the Security Measures are subject to technical progress and development and that Company may update or modify the Security Measures from time to time provided that such updates and modifications will not materially decrease the overall security of the Services. Company will, at Client's request, make available to Client corresponding information reasonably requested by Client regarding Company's security practices and policies.

5.2 Perusahaan secara berkala memantau kepatuhan terhadap Tindakan Keamanan. Klien mengakui bahwa Tindakan Keamanan tunduk pada kemajuan dan perkembangan teknologi dan bahwa Perusahaan dapat memperbarui atau memodifikasi Tindakan Keamanan dari waktu ke waktu dengan ketentuan bahwa pembaruan dan modifikasi tersebut tidak akan secara material mengurangi keamanan Layanan secara keseluruhan. Perusahaan akan, atas permintaan Klien, menyediakan kepada Klien informasi yang relevan yang diminta secara wajar oleh Klien mengenai praktik dan kebijakan keamanan Perusahaan.

6. SUB-PROCESSING

6. SUB-PEMROSESAN

6.1 General Authorization. Client acknowledges and agrees that Company may appoint its Affiliates, Amazon Web Services, Microsoft Azure, Google Cloud Platform and Oracle Cloud Infrastructure as Sub-processors to provide Processing activities on Client Data on behalf of Client.

6.1 Otorisasi Umum. Klien mengakui dan menyetujui bahwa Perusahaan dapat menunjuk Afiliasi, Amazon Web Services, Microsoft Azure, Google Cloud Platform, dan Oracle Cloud Infrastructure sebagai Sub-prosesor untuk menjalankan kegiatan Pemrosesan Data Klien atas nama Klien.

6.2 Company shall not engage a Sub-processor to carry out specific Processing activities which fall outside the general authorization granted above without Client's prior written authorization and, where such other Sub-processor is so engaged, Company shall ensure that the same contractual obligations set out in this DPA be imposed on that Sub-processor.

6.2 Perusahaan tidak akan menunjuk Sub-prosesor untuk menjalankan kegiatan Pemrosesan tertentu yang berada di luar otorisasi umum yang diberikan di atas tanpa otorisasi tertulis terlebih dahulu dari Klien dan, apabila Sub-prosesor lain tersebut ditunjuk, Perusahaan wajib memastikan bahwa kewajiban kontraktual yang sama sebagaimana diatur dalam DPA ini dikenakan kepada Sub-prosesor tersebut.

6.3 Company is responsible for its Sub-processors' compliance with Company's obligations in this DPA.

6.3 Perusahaan bertanggung jawab atas kepatuhan Sub-prosesornya terhadap kewajiban Perusahaan dalam DPA ini.

6.4 The Parties agree that if copies of Company's agreements with a Sub-processor must be sent by Company to Client as required by Data Protection Laws, such copies will be provided only upon reasonable request by Client and all commercial information and provisions unrelated to this DPA will be redacted beforehand.

6.4 Para Pihak sepakat bahwa apabila salinan perjanjian Perusahaan dengan Sub-prosesor harus dikirimkan oleh Perusahaan kepada Klien sebagaimana diwajibkan oleh Hukum Perlindungan Data, salinan tersebut hanya akan diberikan atas permintaan wajar Klien dan semua informasi komersial serta ketentuan yang tidak berkaitan dengan DPA ini akan diredaksi terlebih dahulu.

7. SECURITY INCIDENT NOTIFICATION

7. PEMBERITAHUAN INSIDEN KEAMANAN

7.1 Company will (i) notify Client of a Security Incident without undue delay after becoming aware of the Security Incident, and (ii) take reasonable steps to mitigate any adverse effects resulting from the Security Incident.

7.1 Perusahaan akan (i) memberitahukan Klien tentang Insiden Keamanan tanpa penundaan yang tidak perlu setelah mengetahui Insiden Keamanan tersebut, dan (ii) mengambil langkah-langkah yang wajar untuk mengurangi dampak buruk yang diakibatkan oleh Insiden Keamanan tersebut.

7.2 Notification(s) of Security Incidents will be delivered to Client by any means Company selects, including via email. It is Client's sole responsibility to ensure Client maintains accurate contact information with Company for each applicable Service.

7.2 Pemberitahuan Insiden Keamanan akan disampaikan kepada Klien melalui sarana apa pun yang dipilih oleh Perusahaan, termasuk melalui surel. Merupakan tanggung jawab penuh Klien untuk memastikan bahwa Klien menjaga informasi kontak yang akurat dengan Perusahaan untuk setiap Layanan yang berlaku.

7.3 Client is solely responsible for complying with its third-party notification obligations related to any Security Incident as required under Data Protection Laws.

7.3 Klien sepenuhnya bertanggung jawab untuk memenuhi kewajiban pemberitahuannya kepada pihak ketiga sehubungan dengan Insiden Keamanan apa pun sebagaimana diwajibkan oleh Hukum Perlindungan Data.

7.4 Company shall make reasonable efforts to assist Client in fulfilling Client's obligation, as required under Data Protection Laws, to notify the relevant Supervisory Authority and Data Subjects about such Security Incident.

7.4 Perusahaan akan mengupayakan secara wajar untuk membantu Klien dalam memenuhi kewajiban Klien, sebagaimana diwajibkan oleh Hukum Perlindungan Data, untuk memberitahukan kepada Otoritas Pengawas yang relevan dan Subjek Data Pribadi tentang Insiden Keamanan tersebut.

8. AUDIT

Subject to Client's commitment in confidentiality, Company shall allow for, and contribute to, audits conducted by Client or another auditor designated by Client, who shall not be a direct competitor of Company, including inspections to the extent required by Data Protection Laws, during Company's normal business hours without interference to Company's daily operations, in accordance with the following procedures: (a) Company will provide Client or its designated auditor with the most recent certifications and/or summary audit report(s), which Company has procured to regularly test, assess and evaluate the effectiveness of the security measures. (b) If further information is needed by Client to comply with its own or other Controllers audit obligations or a competent Supervisory Authority's request, Client shall inform Company in writing to enable Company to provide such information or to grant access to it. (c) To the extent that it is not possible to satisfy Client's audit rights as stipulated in Data Protection Laws or as required by a competent Supervisory Authority unless by way of onsite visit in Company's premise or facilities, Company shall allow the onsite visit provided that Client gives Company reasonable prior written notice of such onsite visit and such onsite visit shall be conducted on a Working Day during normal business hours mutually selected by the Parties to reduce any risk to Company's other clients, and only in a manner that causes minimal disruption to Company's business.

Dengan tunduk pada komitmen kerahasiaan Klien, Perusahaan wajib mengizinkan dan berkontribusi pada audit yang dilakukan oleh Klien atau auditor lain yang ditunjuk oleh Klien, yang tidak boleh merupakan pesaing langsung Perusahaan, termasuk inspeksi sejauh yang diwajibkan oleh Hukum Perlindungan Data, selama jam kerja normal Perusahaan tanpa mengganggu operasional harian Perusahaan, sesuai dengan prosedur berikut: (a) Perusahaan akan menyediakan kepada Klien atau auditor yang ditunjuknya sertifikasi terbaru dan/atau laporan audit ringkasan yang telah diperoleh Perusahaan untuk menguji, menilai, dan mengevaluasi efektivitas tindakan keamanan secara berkala. (b) Apabila Klien memerlukan informasi lebih lanjut untuk memenuhi kewajiban auditnya sendiri atau kewajiban audit Pengendali lain, atau atas permintaan Otoritas Pengawas yang berwenang, Klien wajib memberitahukan Perusahaan secara tertulis untuk memungkinkan Perusahaan memberikan informasi tersebut atau memberikan akses ke informasi tersebut. (c) Sejauh tidak memungkinkan untuk memenuhi hak audit Klien sebagaimana ditentukan dalam Hukum Perlindungan Data atau sebagaimana diwajibkan oleh Otoritas Pengawas yang berwenang kecuali melalui kunjungan di tempat ke lokasi atau fasilitas Perusahaan, Perusahaan wajib mengizinkan kunjungan di tempat tersebut dengan ketentuan bahwa Klien memberikan pemberitahuan tertulis yang wajar sebelumnya kepada Perusahaan dan kunjungan tersebut dilakukan pada Hari Kerja selama jam kerja normal yang disepakati bersama oleh Para Pihak.

9. TRANSFERS OF CLIENT DATA

9. PENGALIHAN DATA KLIEN

Client Data relating to the Services of the Agreement will be stored in a location as agreed with the Client. Company will not transfer Client Data to other locations/countries. In the event of a documented instruction from Client on international transfer of Client Data for purposes of performance of the Agreement or for Company to provide the Services initiated by Client, Client shall ensure its instructions will not breach the requirements under Data Protection Laws, and each Party will ensure such transfer is made in compliance with the requirements of Data Protection Laws.

Data Klien yang berkaitan dengan Layanan dalam Perjanjian akan disimpan di lokasi yang disepakati dengan Klien. Perusahaan tidak akan mengalihkan Data Klien ke lokasi/negara lain. Dalam hal adanya instruksi tertulis dari Klien mengenai pengalihan internasional Data Klien untuk keperluan pelaksanaan Perjanjian atau untuk Perusahaan menyediakan Layanan atas permintaan Klien, Klien wajib memastikan bahwa instruksinya tidak melanggar persyaratan berdasarkan Hukum Perlindungan Data, dan setiap Pihak wajib memastikan bahwa pengalihan tersebut dilakukan sesuai dengan persyaratan Hukum Perlindungan Data.

10. COMPANY ASSISTANCE

10. BANTUAN PERUSAHAAN

10.1 Company will assist Client, when reasonably requested by Client, by technical and organizational measures for the fulfillment of Client's obligation to comply with the rights of Data Subjects and in compliance with Client's obligations relating to the security of Processing, the notification to Supervisory Authorities and/or communication of a Security Incident to Data Subjects, as and when required by Data Protection Laws, taking into account the nature of the Processing and the information available to Company, subject to reasonable additional charges as mutually agreed by the Parties in advance for the efforts incurred based on the then-current charging standard of Company. If Client does not agree to the quote of Company, the Parties agree to reasonably cooperate to find a feasible solution.

10.1 Perusahaan akan membantu Klien, apabila diminta secara wajar oleh Klien, melalui tindakan teknis dan organisasi untuk pemenuhan kewajiban Klien dalam mematuhi hak-hak Subjek Data Pribadi dan dalam pemenuhan kewajiban Klien yang berkaitan dengan keamanan Pemrosesan, pemberitahuan kepada Otoritas Pengawas dan/atau komunikasi Insiden Keamanan kepada Subjek Data Pribadi, sebagaimana dan bilamana diwajibkan oleh Hukum Perlindungan Data, tunduk pada biaya tambahan yang wajar sebagaimana disepakati bersama oleh Para Pihak sebelumnya. Apabila Klien tidak menyetujui penawaran Perusahaan, Para Pihak sepakat untuk bekerja sama secara wajar untuk mencari solusi yang layak.

10.2 Data Protection Impact Assessment. Taking into account the nature of the Processing and the information available to Company, Company will assist Client in complying with Client's obligations in respect of data protection impact assessments and prior consultation with the responsible Supervisory Authority as and when required by the Data Protection Laws, by providing the necessary information reasonably requested by Client.

10.2 Penilaian Dampak Perlindungan Data. Dengan mempertimbangkan sifat Pemrosesan dan informasi yang tersedia bagi Perusahaan, Perusahaan akan membantu Klien dalam memenuhi kewajiban Klien terkait penilaian dampak perlindungan data dan konsultasi sebelumnya dengan Otoritas Pengawas yang bertanggung jawab sebagaimana dan bilamana diwajibkan oleh Hukum Perlindungan Data.

11. TERMINATION OF THE DPA

11. PENGAKHIRAN DPA

This DPA will continue in force and effect until the expiry or termination of the Agreement.

DPA ini akan tetap berlaku dan efektif hingga berakhirnya atau pengakhiran Perjanjian.

12. DELETION OR RETURN OF CLIENT DATA

12. PENGHAPUSAN ATAU PENGEMBALIAN DATA KLIEN

Upon termination of the Agreement, Company will, subject to the terms and conditions of the Agreement or otherwise agreed with the Client, delete or return Client Data in its possessions, unless otherwise required by applicable laws.

Setelah pengakhiran Perjanjian, Perusahaan akan, tunduk pada syarat dan ketentuan Perjanjian atau yang disepakati lain dengan Klien, menghapus atau mengembalikan Data Klien yang berada dalam kepemilikannya, kecuali diwajibkan lain oleh hukum yang berlaku.

13. LIMITATION OF LIABILITY

13. PEMBATASAN TANGGUNG JAWAB

EACH PARTY'S AND ALL OF ITS AFFILIATES' TOTAL AND AGGREGATE LIABILITIES ARISING OUT OF OR IN CONNECTION WITH THIS DPA, WHETHER IN CONTRACT, TORT OR UNDER ANY OTHER THEORY OF LIABILITY, ARE SUBJECT TO THE LIMITATION OF LIABILITY SET OUT IN THE AGREEMENT.

TOTAL DAN KUMULATIF TANGGUNG JAWAB SETIAP PIHAK DAN SELURUH AFILIASINYA YANG TIMBUL DARI ATAU SEHUBUNGAN DENGAN DPA INI, BAIK BERDASARKAN KONTRAK, PERBUATAN MELAWAN HUKUM ATAU TEORI TANGGUNG JAWAB LAINNYA, TUNDUK PADA PEMBATASAN TANGGUNG JAWAB YANG DIATUR DALAM PERJANJIAN.

14. MISCELLANEOUS

14. KETENTUAN LAIN-LAIN

14.1 In the event and to the extent of a conflict between the Agreement and this DPA, the terms of this DPA will prevail.

14.1 Dalam hal dan sejauh terdapat pertentangan antara Perjanjian dan DPA ini, ketentuan DPA ini yang akan berlaku.

14.2 Company has a Data Security Committee that includes a Data Protection Officer responsible for overseeing data protection and security measures. The Data Security Committee may be contacted at security-committee@insuremo.com.

14.2 Perusahaan memiliki Komite Keamanan Data yang mencakup Petugas Perlindungan Data yang bertanggung jawab mengawasi langkah-langkah perlindungan data dan keamanan. Komite Keamanan Data dapat dihubungi di security-committee@insuremo.com.

14.3 In the event of any discrepancy or inconsistency between the English and Bahasa Indonesia versions of this DPA, the English version shall prevail and shall be deemed the official version for all legal purposes.

14.3 Dalam hal terdapat ketidaksesuaian atau ketidakkonsistenan antara versi bahasa Inggris dan versi Bahasa Indonesia dari DPA ini, versi bahasa Inggris yang akan berlaku dan dianggap sebagai versi resmi untuk semua tujuan hukum.

ANNEX 1 – SECURITY MEASURES

LAMPIRAN 1 — TINDAKAN KEAMANAN

Company has implemented and will maintain for Client Data the following Security Measures, which are in conjunction with the security commitments in this DPA, and the following are Company's only responsibility with respect to the security of Client Data.

Category	Practices
Asset Management Manajemen Aset	Assets Security. Company identifies and manages data assets, and implements appropriate operating procedures to manage such assets according to the characteristics of different types of assets. Keamanan Aset. Perusahaan mengidentifikasi dan mengelola aset data, serta menerapkan prosedur operasional yang sesuai untuk mengelola aset tersebut sesuai dengan karakteristik berbagai jenis aset.
Access Control Pengendalian Akses	Access Control Policy. Company has set up a set of access control policies which standardizes user management, password management and system configuration, to ensure proper authority control. User Access Management. Company implements a formal user access provisioning process to assign or revoke access rights for all user types to each system. Company ensures that only relevant personnel can obtain appropriate access to their duties, and forms a list of user access and implements regular review of it. Company also adjusts and cancels the employee's user access right when the employee leaves post or departs from the company. Kebijakan Pengendalian Akses. Perusahaan telah menetapkan seperangkat kebijakan pengendalian akses yang menstandarkan manajemen pengguna, manajemen kata sandi, dan konfigurasi sistem untuk memastikan pengendalian wewenang yang tepat. Manajemen Akses Pengguna. Perusahaan menerapkan proses penyediaan akses pengguna formal untuk menetapkan atau mencabut hak akses bagi semua jenis pengguna ke setiap sistem. Perusahaan memastikan bahwa hanya personel yang relevan yang dapat memperoleh akses yang sesuai dengan tugasnya, membuat daftar akses pengguna, dan melakukan tinjauan berkala. Perusahaan juga menyesuaikan dan membatalkan hak akses pengguna karyawan ketika karyawan meninggalkan jabatan atau keluar dari perusahaan.
Cryptography Kriptografi	Cryptographic Controls. Company has formulated regulations on the management of using cryptographic control, including identification of the protection level based on risk assessment and considering the type, intensity and quality of encryption algorithm. Cryptographic Management. Company has formulated regulations on the cryptographic management so as to the whole process from the application, use, custody to destruction of key is under secure control. Kontrol Kriptografi. Perusahaan telah merumuskan peraturan mengenai pengelolaan penggunaan kontrol kriptografi, termasuk identifikasi tingkat perlindungan berdasarkan penilaian risiko serta mempertimbangkan jenis, intensitas, dan kualitas algoritma enkripsi. Manajemen Kriptografi. Perusahaan telah merumuskan peraturan manajemen kriptografi sehingga seluruh proses mulai dari permohonan, penggunaan, penyimpanan hingga pemusnahan kunci berada di bawah kendali yang aman.
Physical & Environmental Security Keamanan Fisik & Lingkungan	Secure Areas. Company specifies the boundaries of secure areas and takes appropriate control measures, such as physical isolation, access control systems, video surveillance, etc. Equipment and Facilities Security. Company ensures all kinds of equipment and facilities are placed in the appropriate area and appropriate protective measures are taken to reduce the risks from environmental threats and hazards, and opportunities for unauthorized access. Area Aman. Perusahaan menetapkan batas area aman dan mengambil tindakan pengendalian yang sesuai, seperti isolasi fisik, sistem kontrol akses, pengawasan video, dan lain-lain. Keamanan Peralatan dan Fasilitas. Perusahaan memastikan semua jenis peralatan dan fasilitas ditempatkan di area yang sesuai dan tindakan perlindungan yang tepat diambil untuk mengurangi risiko dari ancaman dan bahaya lingkungan, serta peluang akses tanpa izin.
Operational Security Control Pengendalian Keamanan Operasional	Operating Procedures. Company has established necessary management, operating responsibilities and procedures for all data processing facilities. Company controls the changes of data processing facilities and systems, and all system activities are under documented specification. Company also implements a clear allocation of responsibilities in accordance with the basic requirements of secure operations to reduce risks due to negligence or misuse of the system. Individuals unauthorized or unmonitored shall not be able to access, modify or use system. Planning and Management of Capacity. Company ensures that each controlled information system is able to identify capacity requirements so as to guarantee timely assessment and improvement of the availability and efficiency when necessary. Separation of Development, Testing and Operational Environments. Company identifies the separation level among the operation, testing and developing environment of the controlled information system to prevent overstepping or unauthorized operations. Protection from Malware. Company has established effective computer virus prevention, detection and killing mechanism, implements the detection and protection control to prevent malware, and improves employees' sense of prevention. Backup. Company implements backup procedures and implements effective test on the backup data. Audit Logging and Logging Protection. Company has established logging management regulations to prevent logging storage facilities from unauthorized tempering and operational problems. Important audit loggings are archived, including details such as user ID, date, time and key events, as well as system configuration, special access rights, the use of system utilities and applications. Control of Operational Software. Company implements management procedures on software installations, and designates special personnel who have the skills that meet the requirements of daily software installation to install software on operating systems according to the procedures. Clock Synchronization. Company synchronizes the clocks to ensure the accuracy of the system loggings. Technical Vulnerability Control. Company timely obtains the technical vulnerability information of controlled information systems to assess the protection of this kind of technical vulnerability and take appropriate control measures. Information Systems Audit Control. Company implements information systems audit strictly in accordance with relevant audit procedures and policies. Prosedur Operasional. Perusahaan telah menetapkan manajemen, tanggung jawab operasional, dan prosedur yang diperlukan untuk semua fasilitas pemrosesan data. Perusahaan mengendalikan perubahan fasilitas dan sistem pemrosesan data, dan semua aktivitas sistem berada di bawah spesifikasi yang terdokumentasi. Perusahaan juga menerapkan alokasi tanggung jawab yang jelas sesuai dengan persyaratan dasar operasi yang aman. Perencanaan dan Manajemen Kapasitas. Perusahaan memastikan setiap sistem informasi yang dikendalikan mampu mengidentifikasi kebutuhan kapasitas. Pemisahan Lingkungan Pengembangan, Pengujian, dan Operasional. Perusahaan mengidentifikasi tingkat pemisahan antar lingkungan operasional, pengujian, dan pengembangan untuk mencegah operasi yang melampaui batas atau tidak sah. Perlindungan dari Malware. Perusahaan telah menetapkan mekanisme pencegahan, deteksi, dan pembasmian virus komputer yang efektif. Pencadangan. Perusahaan menerapkan prosedur pencadangan dan melakukan pengujian efektif terhadap data cadangan. Pencatatan Audit dan Perlindungan Log. Perusahaan telah menetapkan peraturan manajemen pencatatan untuk mencegah penyimpanan log dari gangguan tanpa izin dan masalah operasional. Kontrol Perangkat Lunak Operasional. Perusahaan menerapkan prosedur manajemen instalasi perangkat lunak. Sinkronisasi Jam. Perusahaan menyinkronkan jam untuk memastikan akurasi log sistem. Kontrol Kerentanan Teknis. Perusahaan memperoleh informasi kerentanan teknis dari sistem informasi yang dikendalikan secara tepat waktu. Kontrol Audit Sistem Informasi. Perusahaan melaksanakan audit sistem informasi sesuai dengan prosedur dan kebijakan audit yang relevan.
Communications Security Keamanan Komunikasi	Network Security Management. Company implements network security management, divides the network secure areas, monitors and manages the network equipment and activities, develops network security policies and operating procedures, and protects the network information and supporting facilities. Information Processing Procedures. Company has established a management procedure that handles, processes, stores and classifies information consistent with its communications, and dispose and mark all the media according to the classification standard. Manajemen Keamanan Jaringan. Perusahaan menerapkan manajemen keamanan jaringan, membagi area aman jaringan, memantau dan mengelola perangkat dan aktivitas jaringan, mengembangkan kebijakan keamanan jaringan dan prosedur operasional, serta melindungi informasi jaringan dan fasilitas pendukungnya. Prosedur Pemrosesan Informasi. Perusahaan telah menetapkan prosedur manajemen yang menangani, memproses, menyimpan, dan mengklasifikasikan informasi sesuai dengan komunikasinya.
System Security Keamanan Sistem	Prevention of Data Disclosure. Company limits the risk of data disclosure, regularly assesses the external communications security of data, conceals and adjusts the communication behavior of the system to reduce the possibility that third parties will infer information from these actions. Company also regularly monitors the activities of individuals and system as well as the use of resources in computer systems under the existing laws and regulations. System Security Testing. Company implements security testing on information system regularly and take a comprehensive testing before the information system gets online. System Acceptance Testing. The requirements and principles of the acceptance of new system will be clearly defined, formed into documents and through testing before the construction of new information system. The upgrade of new system and the update of new version will be operated online as a product only after formal testing and acceptance. Pencegahan Pengungkapan Data. Perusahaan membatasi risiko pengungkapan data, secara berkala menilai keamanan komunikasi eksternal data, serta menyembunyikan dan menyesuaikan perilaku komunikasi sistem untuk mengurangi kemungkinan pihak ketiga menyimpulkan informasi dari tindakan tersebut. Pengujian Keamanan Sistem. Perusahaan menerapkan pengujian keamanan pada sistem informasi secara berkala dan melakukan pengujian menyeluruh sebelum sistem informasi beroperasi. Pengujian Penerimaan Sistem. Persyaratan dan prinsip penerimaan sistem baru akan didefinisikan secara jelas, didokumentasikan, dan melalui pengujian sebelum pembangunan sistem informasi baru.
Security Incident Control Pengendalian Insiden Keamanan	Policy on Information Security Incident. Company has established the monitoring, reporting, warning, disposal, rectification mechanism of information security incident. Company maintains a record of security incident, and knowledge gained from analyzing and resolving such incidents will be used to reduce the likelihood or impact of future incidents. Kebijakan Insiden Keamanan Informasi. Perusahaan telah menetapkan mekanisme pemantauan, pelaporan, peringatan, penanganan, dan perbaikan insiden keamanan informasi. Perusahaan memelihara catatan insiden keamanan, dan pengetahuan yang diperoleh dari menganalisis dan menyelesaikan insiden tersebut akan digunakan untuk mengurangi kemungkinan atau dampak insiden di masa mendatang.
Business Continuity Kelangsungan Bisnis	Business Continuity Management. Company has established the mechanism of identifying potential hazards that could lead to interruptions of business, as well as the possibility and impact of such interruptions and the security consequences due to the interruptions. Company has formulated continual planning and implements emergency drills to ensure timely recovery upon interruptions or failure in critical business processes and to guarantee the availability of information. Manajemen Kelangsungan Bisnis. Perusahaan telah menetapkan mekanisme untuk mengidentifikasi potensi bahaya yang dapat mengakibatkan gangguan bisnis, serta kemungkinan dan dampak gangguan tersebut beserta konsekuensi keamanannya. Perusahaan telah merumuskan perencanaan berkelanjutan dan menerapkan simulasi darurat untuk memastikan pemulihan tepat waktu dari gangguan atau kegagalan dalam proses bisnis penting dan untuk menjamin ketersediaan informasi.

Category

Practices

Asset Management

Manajemen Aset

Assets Security. Company identifies and manages data assets, and implements appropriate operating procedures to manage such assets according to the characteristics of different types of assets.

Keamanan Aset. Perusahaan mengidentifikasi dan mengelola aset data, serta menerapkan prosedur operasional yang sesuai untuk mengelola aset tersebut sesuai dengan karakteristik berbagai jenis aset.

Access Control

Pengendalian Akses

Access Control Policy. Company has set up a set of access control policies which standardizes user management, password management and system configuration, to ensure proper authority control. User Access Management. Company implements a formal user access provisioning process to assign or revoke access rights for all user types to each system. Company ensures that only relevant personnel can obtain appropriate access to their duties, and forms a list of user access and implements regular review of it. Company also adjusts and cancels the employee's user access right when the employee leaves post or departs from the company.

Kebijakan Pengendalian Akses. Perusahaan telah menetapkan seperangkat kebijakan pengendalian akses yang menstandarkan manajemen pengguna, manajemen kata sandi, dan konfigurasi sistem untuk memastikan pengendalian wewenang yang tepat. Manajemen Akses Pengguna. Perusahaan menerapkan proses penyediaan akses pengguna formal untuk menetapkan atau mencabut hak akses bagi semua jenis pengguna ke setiap sistem. Perusahaan memastikan bahwa hanya personel yang relevan yang dapat memperoleh akses yang sesuai dengan tugasnya, membuat daftar akses pengguna, dan melakukan tinjauan berkala. Perusahaan juga menyesuaikan dan membatalkan hak akses pengguna karyawan ketika karyawan meninggalkan jabatan atau keluar dari perusahaan.

Cryptography

Kriptografi

Cryptographic Controls. Company has formulated regulations on the management of using cryptographic control, including identification of the protection level based on risk assessment and considering the type, intensity and quality of encryption algorithm. Cryptographic Management. Company has formulated regulations on the cryptographic management so as to the whole process from the application, use, custody to destruction of key is under secure control.

Kontrol Kriptografi. Perusahaan telah merumuskan peraturan mengenai pengelolaan penggunaan kontrol kriptografi, termasuk identifikasi tingkat perlindungan berdasarkan penilaian risiko serta mempertimbangkan jenis, intensitas, dan kualitas algoritma enkripsi. Manajemen Kriptografi. Perusahaan telah merumuskan peraturan manajemen kriptografi sehingga seluruh proses mulai dari permohonan, penggunaan, penyimpanan hingga pemusnahan kunci berada di bawah kendali yang aman.

Physical & Environmental Security

Keamanan Fisik & Lingkungan

Secure Areas. Company specifies the boundaries of secure areas and takes appropriate control measures, such as physical isolation, access control systems, video surveillance, etc. Equipment and Facilities Security. Company ensures all kinds of equipment and facilities are placed in the appropriate area and appropriate protective measures are taken to reduce the risks from environmental threats and hazards, and opportunities for unauthorized access.

Area Aman. Perusahaan menetapkan batas area aman dan mengambil tindakan pengendalian yang sesuai, seperti isolasi fisik, sistem kontrol akses, pengawasan video, dan lain-lain. Keamanan Peralatan dan Fasilitas. Perusahaan memastikan semua jenis peralatan dan fasilitas ditempatkan di area yang sesuai dan tindakan perlindungan yang tepat diambil untuk mengurangi risiko dari ancaman dan bahaya lingkungan, serta peluang akses tanpa izin.

Operational Security Control

Pengendalian Keamanan Operasional

Operating Procedures. Company has established necessary management, operating responsibilities and procedures for all data processing facilities. Company controls the changes of data processing facilities and systems, and all system activities are under documented specification. Company also implements a clear allocation of responsibilities in accordance with the basic requirements of secure operations to reduce risks due to negligence or misuse of the system. Individuals unauthorized or unmonitored shall not be able to access, modify or use system. Planning and Management of Capacity. Company ensures that each controlled information system is able to identify capacity requirements so as to guarantee timely assessment and improvement of the availability and efficiency when necessary. Separation of Development, Testing and Operational Environments. Company identifies the separation level among the operation, testing and developing environment of the controlled information system to prevent overstepping or unauthorized operations. Protection from Malware. Company has established effective computer virus prevention, detection and killing mechanism, implements the detection and protection control to prevent malware, and improves employees' sense of prevention. Backup. Company implements backup procedures and implements effective test on the backup data. Audit Logging and Logging Protection. Company has established logging management regulations to prevent logging storage facilities from unauthorized tempering and operational problems. Important audit loggings are archived, including details such as user ID, date, time and key events, as well as system configuration, special access rights, the use of system utilities and applications. Control of Operational Software. Company implements management procedures on software installations, and designates special personnel who have the skills that meet the requirements of daily software installation to install software on operating systems according to the procedures. Clock Synchronization. Company synchronizes the clocks to ensure the accuracy of the system loggings. Technical Vulnerability Control. Company timely obtains the technical vulnerability information of controlled information systems to assess the protection of this kind of technical vulnerability and take appropriate control measures. Information Systems Audit Control. Company implements information systems audit strictly in accordance with relevant audit procedures and policies.

Prosedur Operasional. Perusahaan telah menetapkan manajemen, tanggung jawab operasional, dan prosedur yang diperlukan untuk semua fasilitas pemrosesan data. Perusahaan mengendalikan perubahan fasilitas dan sistem pemrosesan data, dan semua aktivitas sistem berada di bawah spesifikasi yang terdokumentasi. Perusahaan juga menerapkan alokasi tanggung jawab yang jelas sesuai dengan persyaratan dasar operasi yang aman. Perencanaan dan Manajemen Kapasitas. Perusahaan memastikan setiap sistem informasi yang dikendalikan mampu mengidentifikasi kebutuhan kapasitas. Pemisahan Lingkungan Pengembangan, Pengujian, dan Operasional. Perusahaan mengidentifikasi tingkat pemisahan antar lingkungan operasional, pengujian, dan pengembangan untuk mencegah operasi yang melampaui batas atau tidak sah. Perlindungan dari Malware. Perusahaan telah menetapkan mekanisme pencegahan, deteksi, dan pembasmian virus komputer yang efektif. Pencadangan. Perusahaan menerapkan prosedur pencadangan dan melakukan pengujian efektif terhadap data cadangan. Pencatatan Audit dan Perlindungan Log. Perusahaan telah menetapkan peraturan manajemen pencatatan untuk mencegah penyimpanan log dari gangguan tanpa izin dan masalah operasional. Kontrol Perangkat Lunak Operasional. Perusahaan menerapkan prosedur manajemen instalasi perangkat lunak. Sinkronisasi Jam. Perusahaan menyinkronkan jam untuk memastikan akurasi log sistem. Kontrol Kerentanan Teknis. Perusahaan memperoleh informasi kerentanan teknis dari sistem informasi yang dikendalikan secara tepat waktu. Kontrol Audit Sistem Informasi. Perusahaan melaksanakan audit sistem informasi sesuai dengan prosedur dan kebijakan audit yang relevan.

Communications Security

Keamanan Komunikasi

Network Security Management. Company implements network security management, divides the network secure areas, monitors and manages the network equipment and activities, develops network security policies and operating procedures, and protects the network information and supporting facilities. Information Processing Procedures. Company has established a management procedure that handles, processes, stores and classifies information consistent with its communications, and dispose and mark all the media according to the classification standard.

Manajemen Keamanan Jaringan. Perusahaan menerapkan manajemen keamanan jaringan, membagi area aman jaringan, memantau dan mengelola perangkat dan aktivitas jaringan, mengembangkan kebijakan keamanan jaringan dan prosedur operasional, serta melindungi informasi jaringan dan fasilitas pendukungnya. Prosedur Pemrosesan Informasi. Perusahaan telah menetapkan prosedur manajemen yang menangani, memproses, menyimpan, dan mengklasifikasikan informasi sesuai dengan komunikasinya.

System Security

Keamanan Sistem

Prevention of Data Disclosure. Company limits the risk of data disclosure, regularly assesses the external communications security of data, conceals and adjusts the communication behavior of the system to reduce the possibility that third parties will infer information from these actions. Company also regularly monitors the activities of individuals and system as well as the use of resources in computer systems under the existing laws and regulations. System Security Testing. Company implements security testing on information system regularly and take a comprehensive testing before the information system gets online. System Acceptance Testing. The requirements and principles of the acceptance of new system will be clearly defined, formed into documents and through testing before the construction of new information system. The upgrade of new system and the update of new version will be operated online as a product only after formal testing and acceptance.

Pencegahan Pengungkapan Data. Perusahaan membatasi risiko pengungkapan data, secara berkala menilai keamanan komunikasi eksternal data, serta menyembunyikan dan menyesuaikan perilaku komunikasi sistem untuk mengurangi kemungkinan pihak ketiga menyimpulkan informasi dari tindakan tersebut. Pengujian Keamanan Sistem. Perusahaan menerapkan pengujian keamanan pada sistem informasi secara berkala dan melakukan pengujian menyeluruh sebelum sistem informasi beroperasi. Pengujian Penerimaan Sistem. Persyaratan dan prinsip penerimaan sistem baru akan didefinisikan secara jelas, didokumentasikan, dan melalui pengujian sebelum pembangunan sistem informasi baru.

Security Incident Control

Pengendalian Insiden Keamanan

Policy on Information Security Incident. Company has established the monitoring, reporting, warning, disposal, rectification mechanism of information security incident. Company maintains a record of security incident, and knowledge gained from analyzing and resolving such incidents will be used to reduce the likelihood or impact of future incidents.

Kebijakan Insiden Keamanan Informasi. Perusahaan telah menetapkan mekanisme pemantauan, pelaporan, peringatan, penanganan, dan perbaikan insiden keamanan informasi. Perusahaan memelihara catatan insiden keamanan, dan pengetahuan yang diperoleh dari menganalisis dan menyelesaikan insiden tersebut akan digunakan untuk mengurangi kemungkinan atau dampak insiden di masa mendatang.

Business Continuity

Kelangsungan Bisnis

Business Continuity Management. Company has established the mechanism of identifying potential hazards that could lead to interruptions of business, as well as the possibility and impact of such interruptions and the security consequences due to the interruptions. Company has formulated continual planning and implements emergency drills to ensure timely recovery upon interruptions or failure in critical business processes and to guarantee the availability of information.

Manajemen Kelangsungan Bisnis. Perusahaan telah menetapkan mekanisme untuk mengidentifikasi potensi bahaya yang dapat mengakibatkan gangguan bisnis, serta kemungkinan dan dampak gangguan tersebut beserta konsekuensi keamanannya. Perusahaan telah merumuskan perencanaan berkelanjutan dan menerapkan simulasi darurat untuk memastikan pemulihan tepat waktu dari gangguan atau kegagalan dalam proses bisnis penting dan untuk menjamin ketersediaan informasi.