CPS CA Digisign V3.3

CA Digisign CPS V3.
3 |2
Lembar Catatan Review / Revisi

Review / Revision Sheet
Date Rev Description By

May 1, 1.0 Dokumen Awal Manager Kebijakan
2019 Initial Release Policy Manager
August 6, 1.1 Perubahan Judul CPS, menjadi PSrE Policy Authority

2019 Terdaftar
CPS title change, to Registered PSrE
August 6. 1.2 Penghapusan Point 1.4.1 (OID) Policy Authority

2019 Point 1.4.1 deletion (OID)
August 6, 1.3 Penghapusan tabel 1.4.1 Policy Authority

2019 Table 1.4.1 deletion
August 6, 1.4 Penghapusan point 5.5.1 Policy Authority

2019 Point 5.5.1 deletion
June 16, 2.0 Perubahan Judul CPS dan seluruh kalimat Policy Authority
2020 PSrE Terdaftar, menjadi PSrE Tersertifikasi
Change of CPS Title and editioral of
Registered PSrE, into Certified PSrE
Penambahan Nomor Level pada point 6.2.1

Addition of Level Number at point 6.2.1
May 17, 3.0 1.1 Uraian Digisign sebagai PSrE Non Policy Authority
2021 Instansi
Description of Digisign as a Non-Agency
PSrE
1.2 Update OID

OID Update
1.3.2 Menghilangkan proses CSR

CSR process elimination
1.4.1 Menghilangkan Level 2 pada layanan

Elimination Level 2 on the service
1.5.4 Memperjelas status dan PIC peran PA

PIC status and PA role clarification
2.1 Melengkapi dokumen-dokumen di

repositori
Repository documents completion
2.3 Waktu dirubah dari 1 jam menjadi 30

menit
Time changes from 1 hour to 30 minutes
3.2.1 Detail pengamanan

Security details
3.2.2 Detail persyaratan

CA Digisign CPS V3.3 |3
Details of requirements
3.2.3 Detail persyaratan

Details of requirements
3.2.4 NPWP dan Alamat dihilangkan

Removal of NPWP and Address
4.1.1 Detail persyaratan Sertifikat Details of

Certificate requirements
4.1.2 Penambahan tanggung jawab Digisign

Addition on Digisign responsibilities
4.2.2 Penambahan detail alasan penolakan

Details of reasons for rejection added
4.2.3 Perubahan waktu permohonan

Sertifikat
Change of time for Certificate application
4.5.1 Penambahan detail perlindungan kunci

privat
Added private key protection details
4.5.2 Penambahan informasi dokumen

Relying Parties Agreement Addition of
Relying Parties Agreement document
information
4.6 Penambahan Not before pada

pembaharuan
Added Not before to the update
4.6.1 Informasi H-30 Sertifikat akan

kadaluarsa
Information H-30 Certificate expiration
4.9.1 Penambahan responder OCSP Addition

of OCSP responders
4.9.8 Di Update OCSP menjadi 30 menit

Update OCSPto 30 minutes
4.12.1 Detail spesifikasi tingkat keamanan

Detailed security level specifications
5.2.1 Penyempurnaan trusted role Enhanced

trusted roles
5.3.8 Penambahan detail dokumen yang

disediakan
Adding detailed documents provided
5.4.1 Penambahan detail kejadian yang

direkam
Added details of recorded events
5.4.2 Update menjadi 1 bulan sekali Update

to once a month
5.6 Perubahan kunci digisign di tahun ke 8

(Interlock)
Digisign key signing change in year 8
(Interlock)
6.2.8 Update quorum

Quorum update
6.4.2 Detail perlindungan data aktivasi

Activation data protection details
6.8 Update pencocokan waktu

Time match update
7.1.2.1 Penambahan table Sertifikat Pemilik

Addition Subscriber Certificate table
8 Update detail audit kepatuhan dan penilaian

Update details of compliance audit and
assessment
9.1.2 update biaya

Fee update
9.1.3 update biaya

Fee update
9.4.3 Penambahan OCSP

Addition of OCSP
9.4.4 Update perlindungan informasi pribadi

Update protection of personal information
9.9.1 Penambahan kebijakan jaminan

Addition warranty policy
9.15 Penambahan Root CA Indonesia

AdditionRoot CA Indonesia
September 3.1 1.2 Penyesuaian identifikasi dan nama Staff Policy

8, 2021 dokumen Authority
Customization of document identification and
name
4.9.7 Penyesuaian frekuensi penerbitan crl

Adjustment of crl issuance frequency
5.2.1 Penyempurnaan poin trusted role

Improvement on trusted role points
5.4.5 Penyempurnaan backup Log audit,

secara realtime
Improved audit log backup, in realtime
5.4.6 Penyesuaian Prosedur Backup

Lainya, update Redaksional
Adjustment of other Backup Procedures,
editorial update
January 3.2 Perubahan Judul dokumen, dari Certificate Staff Policy

10, 2022 Practice Statement menjadi Certification Authority
Practice Statement.
Change of document title, from Certificate
Practice Statement to Certification Practice
Statement.
1.1 Memperbaiki kalimat pada bagian

Ringkasan Summary section sentences
correction

Identifikasi
Identification section sentences editorial
1.3.1 Revisi Definisi PSrE Induk dan

Berinduk.
Revision of definition of Root PSRE and
Subordinate PSRE
1.3.2 Revisi Bagian Otoritas Pendaftaran

(RA), termasuk fungsi RA.
Revision of the Registration Authority (RA)
Section, including RA functions.
1.4.1 Menghapus poin a. Otentikasi pada

penerbitan Sertifikat untuk transaksi.
Termasuk memperbaiki kalimat penjelasan
tentang Level Sertifikat.
Point a deletion. Authentication on issuance
of Certificates for transactions. Including
fixing the explanatory sentence about
Certificate Level.
1.5.1 Menambahkan no kontak PA menjadi

+62 21 3111 6109/10.
Added PA contact number to +62 21 3111
6109/10.
1.5.3 Melengkapi personil membantu PA

dalam kesesuaian CPS dengan CP.
Equip personnel assist PA in conformance of
CPS with CP.
3.2.3 Autentikasi identitas orang

perseorangan Level 3 bagi WNA.
Level 3 individual identity authentication for
individual Foreigner.
4.9.3.1 Menambahkan Prosedur Permintaan

Pencabutan oleh Perorangan
Individual Revocation Request Procedure
added
5.5.3 Memperbaiki kalimat bagian

Perlindungan arsip.
Archive protection section sentence editorial.

Frekuensi atau keadaan asesmen.
Frequency section or the state of the
assessment sentence fixing.
Memperbaiki Redaksional pada beberapa

kalimat, dan menyiapkan bilingual.
Editorial in sentences, and bilingual
preparation.
9.16.6 Penambahan Poin Bahasa –
Additional Point for Language
Perubahan CPS menjadi Dua Bahasa –

Changes on CPS to bilingual
8 Januari 3.3 Perubahan tipe nama: Distingusihed Name Staff Policy Authorit
2022 untuk O: perseorangan, menjadi O;Personal.
Poin 3.1.1
Changes on Distinguished Name for
O:perseorangan to O:Personal. Point 3.1.1
Daftar Isi / Table of Contents
1. PENGANTAR / INTRODUCTION 16
1.1 Ringkasan / Overview ............................................................................................................... 16
1.2 Identifikasi dan Nama Dokumen / Document Name and Identification .................................. 16
1.3 Partisipan IKP / PKI Participant ................................................................................................ 17
1.3.1 Penyelenggara Sertifikasi Elektronik / Certification Authority (PSrE)................................ 17
1.3.2 Otoritas Pendaftaran / Registration Authority (RA) .......................................................... 18
1.3.3 Pemilik / Subscriber ........................................................................................................... 19
1.3.4 Pihak Pengandal / Relying Parties ..................................................................................... 19
1.3.5 Partisipan Lain / Other Participants................................................................................... 20
1.4 Kegunaan Sertifikat / Certificate Usage ................................................................................... 21
1.4.1 Penggunaan Sertifikat yang Semestinya / Proper Use of Certificate ................................. 21
1.4.2 Penggunaan Sertifikat yang Dilarang / Prohibited Uses of Certificate .............................. 22
1.5 Administrasi Kebijakan / Administrative Policy........................................................................ 22
1.5.1 Organisasi Pengelola Dokumen / Document Management Organization ........................ 23
1.5.2 Kontak yang Dapat Dihubungi / Contact Person ............................................................... 23
1.5.3 Personil yang Menentukan Kesesuaian CPS dengan Kebijakan / Person Determining CPS
Suitability for the Policy ..................................................................................................... 23
1.5.4 Prosedur Persetujuan CPS / CPS Approval Procedure ....................................................... 23
1.6 Definisi dan dan Akronim / Definition and Acronym ............................................................... 24
2 TANGGUNG JAWAB PUBLIKASI DAN REPOSITORI / PUBLICATION AND

REPOSITORY RESPONSIBILITIES 24
2.1 Repositori / Repository............................................................................................................. 24
2.2 Publikasi Informasi Sertifikat / Public Information Certificate ................................................. 24
2.3 Waktu atau Frekuensi Publikasi / Publication Time or Frequency ........................................... 25
2.4 Kendali Akses pada Repositori / Access Control on Repository ............................................... 25
3 IDENTIFIKASI DAN AUTENTIKASI / IDENTIFICATION AND AUTHENTICATION

25
3.1 Penamaan / Naming ................................................................................................................ 25
3.1.1 Tipe Nama / Type of Names .............................................................................................. 25
3.1.2 Kebutuhan Nama yang Bermakna / The Requirement for a Meaningful Name ............... 26
3.1.3 Anonimitas atau Pseudonimitas Pemilik / Anonymity and Pseudonimity of Subscribers . 26
3.1.4 Aturan Interpretasi Berbagai Bentuk Nama / Rules for the Interpretation of Various
Forms of Names ................................................................................................................. 26
3.1.5 Keunikan Nama / Distinguished Name .............................................................................. 26
3.1.6 Pengakuan, Autentikasi, dan Peran Merek Dagang / Recognition, Authentication and the
Role of Trademarks ............................................................................................................ 27
3.2 Validasi Identitas Awal / Initial Identification Validation ......................................................... 27
7
3.2.1 Pembuktian Kepemilikan / Method to Prove Possession of Private Key ........................... 27

3.2.2 Autentikasi Identitas Organisasi / Badan Usaha / Authentication of Organization Identity
........................................................................................................................................... 27
3.2.3 Autentikasi Identitas Orang Perseorangan / Individual Identity Authentication .............. 29
3.2.4 Informasi Pemilik yang Tidak Terverifikasi / Unverified Subscriber Information............... 30
3.2.5 Validasi Otoritas / Validation Authority............................................................................. 30
3.2.6 Kriteria Inter-operasi / Inter-Operational Criteria ............................................................. 31
3.3 Identifikasi dan Autentikasi untuk Permintaan Pergantian Kunci / Identification and
Authentication for Re-Key Requests ......................................................................................... 31
3.3.1 Identifikasi dan Autentikasi untuk Re-Key Rutin / Identification and Authentication for
Routine Re-Key ................................................................................................................... 31
3.3.2 Identifikasi dan Autentikasi untuk Re-Key setelah Pencabutan / Identification and
Authentication for Re-Key After Revocation ...................................................................... 31
3.4 Identifikasi dan Autentikasi untuk Permintaan Pencabutan / Identification and
Authentication for Revocation Request ................................................................................... 32
4 PERSYARATAN OPERASIONAL SIKLUS SERTIFIKAT / CERTIFICATE LIFE

CYCLE OPERATIONAL REQUIREMENTS 32
4.1 Permohonan Sertifikat / Certificate Application ...................................................................... 32
4.1.1 Siapa yang Dapat Mengajukan Permohonan Sertifikat / Who may Apply For A Certificate
........................................................................................................................................... 32
4.1.2 Pendaftaran dan Tanggung Jawabnya / Enrollment Process and Responsibilities ............ 33
4.2 Pemrosesan Permohonan Sertifikat / Certificate Application Processing ............................... 34
4.2.1 Melaksanakan Fungsi-fungsi Identifikasi dan Autentikasi / Performing identification and
Authentication Functions ................................................................................................... 34
4.2.2 Persetujuan atau Penolakan Permohonan Sertifikat / Approval or Rejection of Certificate
Application ......................................................................................................................... 34
4.2.3 Waktu Pemrosesan Permohonan Sertifikat / Time to Process of Certificate Application 35
4.3 Penerbitan Sertifikat / Certificate Issuance ............................................................................. 35
4.3.1 Tindakan Digisign Selama Penerbitan Sertifikat / Digisign Actions During Certificate
Issuance ............................................................................................................................. 35
4.3.2 Pemberitahuan ke Pemilik oleh Digisign tentang Diterbitkannya Sertifikat / Notification
to Subscriber by Digisign of Issuance of Certificate ........................................................... 36
4.4 Penerimaan Sertifikat / Certificate Acceptance ....................................................................... 36
4.4.1 Sikap yang Dianggap Menerima Sertifikat / Actions That Are Considered Receiving
Certificates ......................................................................................................................... 36
4.4.2 Publikasi Sertifikat oleh Digisign / Certificate Publication by Digisign .............................. 36
4.4.3 Pemberitahuan Penerbitan Sertifikat oleh Digisign ke Entitas Lain / Notification of
Certificate Issuance by Digisign to Other Entities .............................................................. 36
4.5 Pasangan Kunci dan Penggunaan Sertifikat / Key Pair and Certificate Usage ......................... 37
4.5.1 Pemilik Kunci Privat dan Penggunaan Sertifikat / Subscriber’s Private Key and Certificate
Usage ................................................................................................................................. 37
4.5.2 Kunci Publik Pihak Pengandal dan Penggunaan Sertifikat Penggunaan Kunci Publik dan
Sertifikat oleh Pihak Pengandal / Relying Party Public Key and Certificate Usage ........... 37
4.6 Pembaruan Sertifikat / Certificate Renewal............................................................................. 38
4.6.1 Kondisi Untuk Pembaruan Sertifikat / Circumstance For Certificate Renewal .................. 38
4.6.2 Siapa yang Boleh Meminta Pembaruan / Who May Request Renewal............................. 38
4.6.3 Pemrosesan Permintaan Pembaruan Sertifikat / Certificate Renewal Request Processing
........................................................................................................................................... 38
4.6.4 Pemberitahuan Penerbitan Sertifikat Baru ke Pemilik / Notification of New Certificate
Issuance to Subscriber ....................................................................................................... 39
4.6.5 Melakukan Penerimaan Pembaruan / Perpanjangan Sertifikat / Conduct Constituting
Acceptance of Certificate Renewal/Extension ................................................................... 39
4.6.6 Publikasi Pembaruan / Perpanjangan Sertifikat oleh Digisign / Publication of Renewal
Certificate by Digisign ........................................................................................................ 39
4.7 Re-Key Sertifikat / Certificate Re-Key ....................................................................................... 39
4.7.1 Kondisi untuk Re-Key Sertifikat / Circumstance for Certificate Re-Key ............................. 39
4.7.2 Siapa yang Dapat Meminta Sertifikasi Public Key yang Baru / Who Can Request
Certification of a New Public Key ...................................................................................... 40
4.7.3 Pemrosesan Permintaan Re-Key Sertifikat / Certificate Re-Key Request Processing ........ 40
4.7.5 Melaksanakan Penerimaan Sertifikat Re-Key / Conduct Constituting Acceptance of a Re-
Key Certificate .................................................................................................................... 40
4.7.6 Publikasi Sertifikat Re-Key oleh Digisign / Publication of the Re-Key Certificate by the
Digisign .............................................................................................................................. 40
4.8 Modifikasi Sertifikat / Certificate Modification ........................................................................ 41
4.8.1 Kondisi untuk Modifikasi Sertifikat / Condition to Modify Certificate ............................... 41
4.8.2 Siapa yang Dapat Meminta Modifikasi Sertifikat / Who May Request Certificate
Modification ...................................................................................................................... 41
4.8.3 Pemrosesan Permintaan Modifikasi Sertifikat / Certificate Modification Request
Processing .......................................................................................................................... 41
4.8.5 Sikap yang dianggap sebagai menerima Sertifikat yang Dimodifikasi / Conduct
Constituting Acceptance of Modified Certificate ............................................................... 42
4.8.6 Publikasi Sertifikat yang Dimodifikasi oleh Digisign / Publication of Modified Certificate by
Digisign .............................................................................................................................. 42
4.9 Pencabutan dan Pembekuan Sertifikat - Certificate Revocation and Suspension ................... 42
4.9.1 Kondisi untuk Pencabutan - Circumstances For Revocation.............................................. 42
CA Digisign CPS V 3 . 3 | 10
4.9.2 Siapa yang Dapat Meminta Pencabutan / Who May Request Revocation........................ 43
4.9.3 Prosedur Permintaan Pencabutan / Revocation Application Procedure ........................... 43
4.9.4 Tenggang Waktu Permohonan Pencabutan / Revocation Application Grace Period ........ 44
4.9.5 Jangka Waktu Digisign Memproses Permintaan Pencabutan / Time Within which Digisign
Must Process the Revocation Request ............................................................................... 45
4.9.6 Persyaratan Pemeriksaan untuk Pihak Pihak Pengandal / Requirements Checking for
Relying Parties ................................................................................................................... 45
4.9.7 Frekuensi Penerbitan CRL / CRL Publishing Frequency...................................................... 45
4.9.8 Latensi Maksimum untuk CRL / CRL Maximum Latency ................................................... 45
4.9.9 Ketersediaan Pemeriksaan Pencabutan/Status secara Online / Daring / Online
Revocation/Status Checking Availability ........................................................................... 46
4.9.10 Persyaratan Pemeriksaan Pencabutan secara Online / Online Revocation Checking
Requirements ..................................................................................................................... 46
4.9.11 Bentuk Lain Pengumuman Pencabutan / Other Forms of Revocation Announcement..... 46
4.9.12 Persyaratan Khusus Keterpaparan / Exposure Specific Requirements Re-Key Compromise
........................................................................................................................................... 46
4.9.13 Kondisi untuk Pembekuan / Condition for Suspension ...................................................... 46
4.9.14 Siapa yang Dapat Meminta Pembekuan / Who May Request for Suspension .................. 46
4.9.15 Prosedur untuk Permintaan Pembekuan / Certificate Suspension Request Procedure .... 47
4.9.16 Pembatasan pada Masa Pembekuan / Suspension Limitation .......................................... 47
4.10 Layanan Status Sertifikat / Certificate Status Service .............................................................. 47
4.10.1 Karakteristik Operasional / Operational Characteristic..................................................... 47
4.10.2 Ketersediaan Layanan / Service Availability ...................................................................... 47
4.10.3 Fitur Pilihan / Optional Feature ......................................................................................... 47
4.11 Akhir Berlangganan / End of Subscribtion ................................................................................ 47
4.12 Pemulihan dan Penitipan Kunci / Recovery and Escrow Key ................................................... 48
4.12.1 Kebijakan dan Praktik Escrow Kunci dan Pemulihan / Key Escrow and Recovery Policies
and Practices...................................................................................................................... 48
4.12.2 Kebijakan dan Praktik Enkapsulasi Kunci dan Pemulihan Kunci / Key Encapsulation and
Key Recovery Policies and Practices................................................................................... 48
5 FASILITAS, PENGELOLAAN, DAN KENDALI OPERASI / FACILITIES,

MANAGEMENT, AND OPERATION CONTROL 48
5.1 Kendali Fisik / Physical Control................................................................................................. 48
5.1.1 Lokasi dan Konstruksi / Site Location and Construction .................................................... 48
5.1.2 Akses Fisik / Physical Access .............................................................................................. 48
5.1.3 Listrik dan AC / Power and Air Conditioning ...................................................................... 49
5.1.4 Keterpaparan Air / Water Exposure .................................................................................. 49
5.1.5 Pencegahan dan Perlindungan Kebakaran / Fire Prevention and Protection.................... 50
5.1.6 Media Penyimpanan / Media Storage............................................................................... 50
5.1.7 Pembuangan Limbah / Waste Disposal ............................................................................. 50
5.1.8 Off-Site Backup / Backup Off-Site ...................................................................................... 50

5.2 Kontrol Prosedur / Procedure Control...................................................................................... 50
5.2.1 Peran yang Dipercaya / Trusted Role ................................................................................ 50
5.2.2 Jumlah Orang yang Diperlukan per/tiap Tugas / Number of Personnel Required per Task
........................................................................................................................................... 52
5.2.3 Identifikasi dan Autentikasi untuk Setiap Peran / Identification and Authentication for
Each Role ........................................................................................................................... 52
5.2.4 Peran yang Memerlukan Pemisahan Tugas / Roles Requiring Segregation of Duties....... 53
5.3 Kontrol Personil / Personnel Control ....................................................................................... 53
5.3.1 Persyaratan Kualifikasi, Pengalaman, dan Perizinan / Qualification, Experience and
Clearance Requirements ................................................................................................... 53
5.3.2 Prosedur Pemeriksaan Latar Belakang / Background Check Procedure ............................ 53
5.3.3 Persyaratan Pelatihan / Training Requirement ................................................................. 54
5.3.4 Frekuensi Pelatihan Ulang dan Persyaratannya / Retraining Frequency and Requirement
........................................................................................................................................... 54
5.3.5 Frekuensi dan Urutan Rotasi Pekerjaan / Frequency and Sequence of Job Rotation ........ 55
5.3.6 Sanksi untuk Tindakan yang Tidak Terotorisasi / Sanctions for Unauthorized Actions ..... 55
5.3.7 Persyaratan Kontraktor Independen / Independent Contractor Requirement ................. 55
5.3.8 Dokumentasi yang Disediakan untuk Personil / Documentation Supplied to Personnel .. 55
5.4 Prosedur Log Audit / Audit Log Procedure ............................................................................... 56
5.4.1 Jenis Kejadian yang Direkam / Types of Recorded Events ................................................. 56
5.4.2 Frekuensi Pemrosesan Log / Log Processing Frequency.................................................... 56
5.4.3 Periode Retensi untuk Log Audit / Retention Period for Audit Log ................................... 57
5.4.4 Proteksi Log Audit / Audit Log Protection ......................................................................... 57
5.4.5 Prosedur Backup Log Audit / Audit Log Backup Procedure ............................................... 57
5.4.6 Sistem Pengumpulan Audit (Internal vs External) - Audit Collection System (Internal vs
External)............................................................................................................................. 58
5.4.7 Pemberitahuan ke Subyek Penyebab Kejadian / Notification to Subject Cause of Event . 58
5.4.8 Penilaian Kerentanan / Vulnerability Assesment .............................................................. 58
5.5 Pengarsipan Record / Record Archive ...................................................................................... 59
5.5.1 Tipe Record yang Diarsipkan / Types of Archived Record ................................................. 59
5.5.2 Periode Retensi Arsip / Archive Retention Period ............................................................. 59
5.5.3 Perlindungan Arsip / Archive Protection ........................................................................... 59
5.5.4 Persyaratan Record Stempel Waktu / Timestamp Record Requirement........................... 60
5.5.5 Sistem Pengumpulan Arsip / Archive Collection System ................................................... 60
5.5.6 Prosedur untuk Memperoleh dan Memverifikasi Informasi Arsip / Procedures for
Obtaining and Verifying Archival Information................................................................... 60
5.6 Penggantian Kunci / Key Replacement..................................................................................... 60
5.7 Pemulihan Bencana dan Kondisi Terkompromi / Disaster and Compromised Recovery ........ 61
5.7.1 Prosedur Penanganan Insiden dan Keadaan Terkompromi / Procedure for Handling
Incidents and Compromised Circumstances ..................................................................... 61
5.7.2 Sumber Daya Komputasi, Perangkat Lunak, dan/atau Data Rusak / Computing Resources,
Software and/or Data are Corrupted ................................................................................ 62
5.7.3 Prosedur Kunci Privat Entitas Terkompromi / Compromised Entity Private Key Procedure
........................................................................................................................................... 62
5.7.4 Kapabilitas Keberlangsungan Bisnis setelah suatu Bencana / Business Continuity
Capability after a Disaster ................................................................................................. 62
5.8 Penutupan Digisign / Digisign Termination ............................................................................. 63
6 KENDALI KEAMANAN TEKNIS / TECHNICAL SECURITY CONTROL 63
6.1 Pembangkitan dan Instalasi Pasangan Kunci / Generation and Installation of Key Pairs ........ 64
6.1.1 Pembangkitan Pasangan Kunci / Key Pair Generation ...................................................... 64
6.1.2 Pengiriman Kunci Privat ke Pemilik / Delivery of Private Key to Subscriber ...................... 64
6.1.3 Pengiriman Kunci Publik ke Penerbit Sertifikat / Delivery of Public Key to Certificate Issuer
........................................................................................................................................... 64
6.1.4 Pengiriman Kunci Publik Digisign kepada Pihak Pengandal Digisign / Public Key Delivery to
Relying Parties ................................................................................................................... 65
6.1.5 Ukuran Kunci / Key Size ..................................................................................................... 65
6.1.6 Parameter Pembangkitan dan Pengujian Kualitas Kunci Publik / Public Key Generation
and Quality Checking ......................................................................................................... 65
6.1.7 Tujuan Penggunaan Kunci (pada field key usage - X509 V3) / Key Usage Purpose (in key
usage field - X509 v3)......................................................................................................... 65
6.2 Kontrol Kunci Privat Dan Kontrol Teknis Modul Kriptografi / Private Key Control And
Cryptographic Module Technical Control ................................................................................. 66
6.2.1 Kendali dan Standar Modul Kriptografi / Cryptographic Module Standards and Controls66
6.2.2 Kendali Multi Personil (n dari m) Kunci Privat / Multi Personnel Control ( n of m) Private
Key ..................................................................................................................................... 66
6.2.3 Escrow Kunci Privat / Private Key Escrow .......................................................................... 66
6.2.4 Backup Kunci Privat / Private Key Backup ......................................................................... 66
6.2.5 Pengarsipan Kunci Privat / Private Key Archive ................................................................. 67
6.2.6 Perpindahan Kunci Privat ke dalam atau dari Modul Kriptografi / Transfer of Private Keys
Into or From the Cryptography Module ............................................................................. 67
6.2.7 Penyimpanan Kunci Privat pada Modul Kriptografis / Private Key Storage on
Cryptographic Module ....................................................................................................... 67
6.2.8 Metode Pengaktifan Kunci Privat / Private Key Activation Method.................................. 67
6.2.9 Metode Penonaktifan Kunci Privat / Private Key Deactivation Method ........................... 68
6.2.10 Metode Penghancuran Kunci Privat / Private Key Destruction Method ........................... 68
6.2.11 Pemeringkatan Modul Kriptografis / Cryptographic Module Ranking .............................. 68
6.3 Aspek Lain dari Manajemen Pasangan Kunci / Other Aspects of Key Pair Management ....... 68
6.3.1 Pengarsipan Kunci Publik / Public Key Archiving ............................................................... 68
6.3.2 Periode Operasional Sertifikat dan Periode Penggunaan Pasangan Kunci / Certificate
Operation and Key Pair Usage Period................................................................................ 68
6.4 Data Aktivasi / Activation Data ................................................................................................ 69
6.4.1 Aktivasi Generasi Data dan Instalasi - Activation Data Generation and Installation......... 69
6.4.2 Perlindungan Data Aktivasi / Activation Data Protection ................................................. 69

6.4.3 Aspek Lain mengenai Data Aktivasi / Other Aspects of Activation Data ........................... 69
6.5 Kontrol Keamanan Komputer / Computer Security Control..................................................... 69
6.5.1 Persyaratan Teknis Keamanan Komputer yang Spesifik/Khusus / Specific Computer
Security Technical Requirements ....................................................................................... 69
6.5.2 Peringkat Keamanan Komputer / Computer Security Rank .............................................. 71
6.6 Kontrol Teknis Siklus Hidup / Technical Control Life Cycle ...................................................... 71
6.6.1 Kontrol Pengembangan Sistem / System Development Control....................................... 71
6.6.2 Kontrol Manajemen Keamanan / Security Management Control ..................................... 71
6.6.3 Kontrol Keamanan Siklus Hidup / Life Cycle Security Control ............................................ 71
6.6.4 Kontrol Keamanan Jaringan / Network Security Control ................................................... 72
6.6.5 Stempel Waktu / Timestamp ............................................................................................. 72
7 SERTIFIKAT, CRL, DAN PROFIL OCSP / CRL CERTIFICATE AND OCSP

PROFILE 72
7.1 Profil Sertifikat / Certificate Profile .......................................................................................... 72
7.1.1 Nomor Versi / Version Number (s) .................................................................................... 73
7.1.2 Ekstensi Sertifikat / Certificate Extension .......................................................................... 73
7.1.3 Pengidentifikasi Objek Algoritma / Algorythm Object Identifier ....................................... 75
7.1.4 Format Nama / Name Forms ............................................................................................. 75
7.1.5 Batasan Nama / Name Contraints ..................................................................................... 76
7.1.6 Pengidentifikasi Objek Kebijakan Sertifikat / Certificate Policy Object Identifier.............. 76
7.1.7 Penggunaan Ekstensi Batasan Kebijakan / Restrictions Extension Use Policy ................... 76
7.1.8 Kualifikasi Kebijakan Sintaksis dan Semantik / Syntax and Semantic Policy Qualification 76
7.1.9 Memproses Semantik untuk Ekstensi Kebijakan Sertifikat Kritis / Processing Semantics
for Critical Certificate Policy Extensions............................................................................. 76
7.2 Profil CRL / CRL Profile.............................................................................................................. 76
7.2.1 Nomor Versi / Version Number(s) ..................................................................................... 76
7.2.2 Ekstensi Entry CRL dan CRL / CRL Entry Extension and CRL ............................................... 77
7.3 Profil OCSP / OCSP Profile ........................................................................................................ 77
7.3.1 Nomor Versi / Version Number ......................................................................................... 77
7.3.2 Ekstensi OCSP / OCSP Extension ........................................................................................ 77
8 AUDIT KEPATUHAN DAN PENILAIAN LAINNYA / COMPLIANCE AUDITS AND

OTHER ASSESSMENTS 77
8.1 Frekuensi atau Keadaan Asesmen / Assesment Frequency and Condition .............................. 78
8.2 Identitas / Kualifikasi Asesor / Assesor Identity/Qualification ................................................. 78
8.3 Hubungan Asesor dengan Badan yang Dinilai / Assesor Relationship with the Assesed Entity
.................................................................................................................................................. 79
8.4 Topik yang Dicakup oleh Asesmen / Topics Covered By The Assesment ................................. 79
8.5 Tindakan yang Diambil sebagai Hasil dari Kekurangan / Actions Taken Resulting From The
Deficiencies............................................................................................................................... 79
8.6 Komunikasi Hasil / Result Communication............................................................................... 80
8.7 Internal Audit ........................................................................................................................... 80
9 BISNIS LAIN DAN MASALAH HUKUM / OTHER BUSINESS AND LEGAL

MATTERS 80
9.1 Biaya / Fee ................................................................................................................................ 80
9.1.1 Biaya Penerbitan atau Pembaruan Sertifikat / Certificate Accessing Fee ......................... 80
9.1.2 Biaya Pengaksesan Sertifikat / Revocation or Status Information Access Fee .................. 80
9.1.3 Biaya Pengaksesan Informasi Pencabutan atau Status / Charges for Accessing Revocation
or Status Information......................................................................................................... 81
9.1.4 Biaya Layanan Lainnya / Other Service Fee ....................................................................... 81
9.1.5 Kebijakan Pengembalian / Refund Policy .......................................................................... 81
9.2 Tanggung Jawab Keuangan / Financial Liabilities .................................................................... 81
9.2.1 Cakupan Asuransi / Insurance Coverage ........................................................................... 81
9.2.2 Aset lainnya / Other Asset ................................................................................................. 82
9.2.3 Jaminan Asuransi atau Garansi untuk Entitas Akhir / Insurance or Warranty for End-Entity
........................................................................................................................................... 82
9.3 Kerahasiaan Informasi Bisnis / Business Information Confidentiality ...................................... 82
9.3.1 Cakupan Informasi Rahasia / Scope of Confidential Information ...................................... 82
9.3.2 Informasi yang Tidak Dalam Cakupan Informasi yang Rahasia / Information Not Within
the Scope of Confidential Information ............................................................................... 83
9.3.3 Tanggung Jawab untuk Melindungi Informasi yang Rahasia / Responsibilities in
Protecting Confidential Information .................................................................................. 83
9.4 Privasi Informasi Pribadi / Personal Information Privacy......................................................... 83
9.4.1 Rencana Privasi Privacy Plan ............................................................................................. 83
9.4.2 Informasi yang Dianggap Pribadi / Information Treated as Private .................................. 84
9.4.3 Informasi yang tidak Dianggap Pribadi / Information not Deemed Private ....................... 84
9.4.4 Tanggung Jawab Melindungi Informasi Pribadi / Responsibilities in Protecting Private
Information ........................................................................................................................ 84
9.4.5 Catatan dan Persetujuan untuk memakai Informasi Pribadi / Notes and Consent to Use
Private Information............................................................................................................ 84
9.4.6 Pengungkapan Berdasarkan Proses Peradilan atau Administratif / Disclosures Based on
Judicial or Administrative Process ..................................................................................... 85
9.4.7 Keadaan Pengungkapan Informasi Lain / Circumstances of Disclosure of Other
Information ........................................................................................................................ 85
9.5 Hak atas Kekayaan Intelektual / Intellectual Property Rights .................................................. 85
9.6 Pernyataan dan Jaminan / Statements and Warranty............................................................. 85
9.6.1 Pernyataan dan Jaminan Digisign / Digisign Statements and Waranty ............................ 85
9.6.2 Pernyataan dan Jaminan RA / RA Statements and Warranty ........................................... 86
9.6.3 Pernyataan dan Jaminan Pemilik / Subscriber Statements and Warranty ........................ 86
9.6.4 Pernyataan dan Jaminan Pihak Pengandal / Relying Parties Statements and Warranty .. 87
9.6.5 Pernyataan dan Jaminan dari Partisipan Lain / Other Participants Statements and
Warranty............................................................................................................................ 88
9.7 Pelepasan Jaminan / Warranty Release................................................................................... 88
9.8 Pembatasan Tanggung Jawab / Limitation of Liabilities .......................................................... 89
9.8.1 Pembatasan Tanggung Jawab Digisign – Digisign Limitation of Liabilities ........................ 89
9.8.2 Pembatasan Tanggung Jawab RA / RA Limitation of Liabilities ......................................... 89
9.9 Ganti Rugi / Indemnity ............................................................................................................. 90
9.9.1 Ganti Rugi oleh Digisign / Indemnity by Digisign ............................................................... 90
9.9.2 Ganti Rugi oleh Pemilik Sertifikat / Indemnity by Certificate Subscribers ......................... 90
9.9.3 Ganti Rugi oleh Pihak Pengandal Ganti Rugi oleh Pemilik Sertifikat / Indemnity by the
Relying Party Indemnity by the Certificate Subscriber....................................................... 90
9.10 Jangka Waktu dan Pengakhiran / Period of Time and Termination ......................................... 91
9.10.1 Jangka Waktu / Period of Time .......................................................................................... 91
9.10.2 Pengakhiran / Termination ................................................................................................ 91
9.10.3 Efek Pengakhiran dan Keberlangsungan / Termination and Continuity Effect ................. 91
9.11 Pemberitahuan Individu dan Komunikasi dengan Partisipan / Individual Notice and
Communications with Participants .......................................................................................... 91
9.12 Amendemen / Amendement .................................................................................................... 91
9.12.1 Prosedur untuk Amendemen / Amendment Procedure .................................................... 91
9.12.2 Periode dan Mekanisme Pemberitahuan / Period and Mechanism Notification.............. 92
9.12.3 Keadaan Dimana OID Harus Diubah / Circumstances for OID Must Be Change................ 92
9.13 Provisi Penyelesaian Ketidaksepahaman / Dispute Resolution Provisions .............................. 92
9.14 Hukum yang Mengatur / Governing Law ................................................................................. 92
9.15 Kepatuhan atas Hukum yang Berlaku / Compliance to The Governing Law ............................ 93
9.16 Provisi Rupa-rupa / Other Provision ......................................................................................... 93
9.16.1 Seluruh Perjanjian / Entire Agreement .............................................................................. 93
9.16.2 Pengalihan / Assignment ................................................................................................... 93
9.16.3 Keterpisahan / Severability ................................................................................................ 93
9.16.4 Penegakan Hukum (Biaya Pengacara dan Pengalihan Hak-hak) / Enforcement (Legal Fees
and Waiver of Rights) ........................................................................................................ 94
9.16.5 Keadaan Memaksa / Force Majeure .................................................................................. 94
9.16.6 Bahasa / Language ............................................................................................................ 94
9.17 Provisi Lain / Other Provision ................................................................................................... 95
LAMPIRAN / APPENDIX 96
A. Tabel Akronim / Table of Acronyms ......................................................................................... 96
B. Definisi / Definition .................................................................................................................. 97
1. PENGANTAR / INTRODUCTION
1.1 Ringkasan / Overview
Infrastruktur Kunci Publik (IKP) Indonesia adalah hierarki IKP dengan rantai kepercayaan yang
dimulai dari Penyelenggara Sertifikat Elektronik (PSrE) Induk. Kementerian Komunikasi dan
Informatika Republik Indonesia (Kemenkominfo) mengoperasikan PSrE Induk sesuai dengan
Peraturan Pemerintah nomor 71 Tahun 2019 tentang Penyelenggara Sistem dan Transaksi
Elektronik. PSrE dibawah PSrE Induk terdiri atas 2 (dua) jenis PSrE yaitu PSrE Instansi
Penyelenggara Negara (PSrE Instansi) dan PSrE non-Instansi Penyelenggara Negara (PSrE
non-Instansi). Digisign adalah PSrE Indonesia (PSrE Berinduk) non-Instansi yang menerbitkan
Sertifikat dibawah PSrE Induk. Sebagai PSrE non-instansi, Digisign menerbitkan Sertifikat
kepada warga negara Indonesia dan warga negara asing, baik orang perseorangan maupun
badan usaha untuk kepentingan pribadi atau swasta dalam transaksi eletronik.
Indonesia's Public Key Infrastructure (PKI) is a hierarchy of PKIs with a chain of trust starting
from the Main Certification Authority (CA/PSrE). The Ministry of Communication and Information
Technology of the Republic of Indonesia (Kemenkominfo) operates the Root PSRE in
accordance with Government Regulation number 71 of 2019 concerning Electronic System and
Transaction Operators. PSrE under the Subordinate PSrE consists of 2 (two) types of PSrE,
namely PSrE for State Organizing Agencies (Instansi PSrE) and PSrE for non-State Organizing
Agencies (PSrE for non-Agencies). Digisign is a non-Agency Indonesian PSrE (Subordinate
PSrE) that issues Certificates under the Root PSrE. As a non-agency PSrE, Digisign issues
Certificates to Indonesian citizens and foreign nationals, both individuals and business entities
for personal or private interests in electronic transactions.
Dokumen Certification Practice Statement / Penyelenggara Sertifikasi Elektronik Berinduk (CPS

Digisign) ini mendefinisikan persyaratan prosedural dan operasional yang dianut oleh Digisign
saat menerbitkan dan mengelola obyek yang ditandatangani secara elektronik dalam
lingkungan IKP Indonesia. CPS ini sesuai dengan Standard Request for Comments 3647 (RFC
3647) dari Internet Engineering Task Force (IETF) tentang Internet X.509 Public Key
Infrastructure Certificate Policy and Certification Practices Statement Framework.
This Certification Practice Statement / Digisign Certification Authority (CPS Digisign) document
defines the procedural and operational requirements adopted by Digisign when issuing and
managing electronically signed objects within the Indonesian PKI environment..This CPS
complies with the Standard Request for Comments 3647 (RFC 3647) from the Internet
Engineering Task Force (IETF) regarding the Internet X.509 Public Key Infrastructure Certificate
Policy and Certification Practices Statement Framework.
1.2 Identifikasi dan Nama Dokumen / Document Name and Identification
Digisign, sesuai kewenangannya, ditetapkan untuk memiliki Object Identifier (OID) dengan
nomor identifikasi joint-iso-itu-t(2) country(16) id(360) gov(1) kominfo(1) rootca(1) psre-
berinduk(3) non-asn(12) digisign(2). Berikut merupakan OID (tidak termasuk Extended
Validation Certificate) yang digunakan oleh Digisign:
1. 2.16.360.1.1.1.3.12 (PSrE Non instansi Non-Agency PSrE)

2. 2.16.360.1.1.1.3.12.2 Solusi Net Internusa (Digisign)
3. 2.16.360.1.1.1.3.12.2.1 Document
4. 2.16.360.1.1.1.3.12.2.1.2 CPS Document
5. 2.16.360.1.1.1.3.12.2.2 Certificate
6. 2.16.360.1.1.1.3.12.2.2.1.1 Sub CA level 3
7. 2.16.360.1.1.1.3.12.2.2.1.2 Sub CA level 4
8. 2.16.360.1.1.1.3.12.2.2.1.3 Sub CA seal
9. 2.16.360.1.1.1.4 Verification Level
10. 2.16.360.1.1.1.4.3 Verification Level 3
12. 2.16.360.1.1.1.6 SII Type
13. 2.16.360.1.1.1.6.1 NIK
14. 2.16.360.1.1.1.7 Peruntukan Sertifikat
15. 2.16.360.1.1.1.7.1 Sertifikat untuk individu
16. 2.16.360.1.1.1.7.2 Sertifikat Badan Usaha
Digisign, under its jurisdiction, is determined to have an Object Identifier (OID) with identification
number joint-iso-itu-t(2) country(16) id(360) gov(1) kominfo(1) rootca(1) psre-subordinate( 3)
non-asn(12) digisign(2). The following is the OID (excluding Extended Validation Certificate)
used by Digisign:
1. 2.16.360.1.1.1.3.12 (Non-Agency PSrE)

2. 2.16.360.1.1.1.3.12.2 Solusi Net Internusa (Digisign)
3. 2.16.360.1.1.1.3.12.2.1 Document
4. 2.16.360.1.1.1.3.12.2.1.2 CPS Document
5. 2.16.360.1.1.1.3.12.2.2 Certificate
6. 2.16.360.1.1.1.3.12.2.2.1.1 Sub CA level 3
7. 2.16.360.1.1.1.3.12.2.2.1.2 Sub CA level 4
8. 2.16.360.1.1.1.3.12.2.2.1.3 Sub CA seal
9. 2.16.360.1.1.1.4 Verification Level
12. 2.16.360.1.1.1.6 SII Type
13. 2.16.360.1.1.1.6.1 NIK
14. 2.16.360.1.1.1.7 Alloted Certificate
15. 2.16.360.1.1.1.7.1 Individual Certificate
16. 2.16.360.1.1.1.7.2 Business Entity Certificate
1.3 Partisipan IKP / PKI Participant
1.3.1 Penyelenggara Sertifikasi Elektronik / Certification Authority (PSrE)
1.3.1.1 PSrE Induk Indonesia / Indonesian Root PSrE
PSrE Induk Indonesia adalah Induk dari PSrE Indonesia (PSrE Berinduk) sebagaimana diatur
dalam ketentuan peraturan perundang-undangan. PSrE Induk menerbitkan dan mencabut
Sertifikat PSrE Berinduk (PSrE Instansi dan PSrE Non-Instansi) berdasarkan status pengakuan
yang diberikan oleh Kementerian Komunikasi dan Informatika Republik Indonesia
(Kemenkominfo). PSrE Induk tidak menerbitkan Sertifikat kepada Pemilik. PSrE Induk
bertanggung jawab terhadap penerbitan dan pengelolaan Sertifikat Digisign sebagaimana
dirinci dalam CPS ini, termasuk:
a. Pengendalian dalam proses pendaftaran Digisign;

b. Proses identifikasi dan autentikasi;
c. Proses penerbitan Sertifikat;
d. Publikasi Sertifikat;
e. Validasi Sertifikat;
f. Pencabutan Sertifikat; dan
g. Memastikan semua layanan Digisign dalam pengoperasian, tata kelola, infrastruktur
penerbitan Sertifikat sesuai dengan CPS ini beserta jaminannya.
Indonesian Root PSrE is the Root of Indonesian Subordinate PSrE (Subordinate PSrE) as
regulated in the provisions of laws and regulations. Root PSrE issues and revokes Subordinate
PSrE Certificates (Institutional PSrE and Non-Institut PSrE) based on the status of recognition
granted by the Ministry of Communication and Information of the Republic of Indonesia
(Kemenkominfo). Root PSrE does not issue Certificates to Subscriber. Root PSrE is
responsible for the issuance and management of Digisign Certificates as detailed in this CPS,
including:
a. Control in the Digisign registration process;

b. Identification and authentication process;
c. Certificate issuance process;
d. Certificate Publication;
e. Certificate Validation;
f. Certificate Revocation; and
g. Ensuring all Digisign services in operation, governance, Certificate issuance
infrastructure comply with this CPS and its guarantees.
1.3.1.2 PSrE Berinduk / Subordinate PSrE
PSrE Induk Indonesia adalah Induk dari PSrE Indonesia (PSrE Berinduk) sebagaimana diatur
dalam ketentuan peraturan perundang-undangan. Digisign akan menerbitkan dan mencabut
Sertifikat Pemilik, yaitu Pemilik yang memiliki akun Digisign. Digisign tidak boleh berinduk
kepada PSrE lain dan tidak boleh menjadi induk bagi PSrE lainnya.
Indonesia Root PSrE is the Root for PSrE Indonesia (Subordinate PSrE) as regulated in the
provisions of laws and regulations. Digisign will issue and revoke User Certificates, i.e. User
who have Digisign accounts. Digisign can not be the subordinate to another PSrE.
1.3.2 Otoritas Pendaftaran / Registration Authority (RA)
Digisign menjalankan sendiri fungsi Otoritas Pendaftaran / Registration Authority (RA).

Pemohon melakukan permintaan permohonan, perpanjangan dan pencabutan Sertifikat ke
Digisign melalui RA Digisign.
Digisign performs its own Registration Authority (RA) functions. The applicant requests the
application, extension and revocation of the Certificate to Digisign through RA Digisign.
1.3.2.1 Fungsi dari RA / Functions of RA
Otoritas Pendaftaran merupakan pihak yang menjalankan fungsi sebagai berikut:
a. Melakukan pengecekan kelengkapan data atas permohonan Sertifikat dan tunduk

terhadap prosedur yang ditetapkan oleh Digisign;
b. Melakukan identifikasi dan autentikasi data pemohon Sertifikat;
c. Memulai atau meneruskan proses permohonan pencabutan Sertifikat; dan
d. Menyetujui permohonan untuk perpanjangan Sertifikat yang kedaluarsa, atau habis
masa berlakunya.
The Registration Authority is a party that carries out the following functions:
a. Inspect the completeness of the data on the Certificate application and comply with the
procedures set by Digisign;
b. Identify and authenticate Certificate applicant data;
c. Initiate or continue the certificate revocation application process; and
d. Approval of applications for renewal of expired certificates.
1.3.2.2 Persyaratan Khusus RA untuk Sertifikat Extended Validation SSL / RA Specific

Requirements for Extended Validation SSL Certificate
Tidak diterapkan.
Not applicable.
1.3.3 Pemilik / Subscriber
Pemilik adalah orang perseorangan warga negara Indonesia atau warga negara asing, dan
badan usaha yang memohon dan berhasil mendapatkan Sertifikat yang ditandatangani oleh
Digisign. Pemilik berarti subyek pemegang Sertifikat sekaligus yang terikat dengan Digisign
selaku penerbit Sertifikat. Sebelum dilakukan verifikasi identitas dan diterbitkannya Sertifikat,
Pemilik disebut sebagai Pemohon.
Subscriber is an individual who is an Indonesian citizen or foreign citizen, and a business entity
that has applied for and succeeded in obtaining a Certificate signed by Digisign. Subscriber
means the subject of the Certificate holder at the same time who is bound by Digisign as the
issuer of the Certificate. Prior to identity verification and issuance of the Certificate, the
Subscriber is referred to as the Applicant.
1.3.4 Pihak Pengandal / Relying Parties
Pihak Pengandal adalah entitas yang mempercayai Sertifikat dan Tanda Tangan Elektronik
yang diterbitkan oleh Digisign. Pihak Pengandal harus terlebih dahulu memeriksa respon dari
Certificate Revocation List (CRL) atau Online Certificate Status Protocol (OCSP) Digisign yang
sesuai sebelum memanfaatkan informasi yang ada dalam Sertifikat.
Relying Parties are entities that trust Certificates and Electronic Signatures issued by Digisign.
Relying Parties must first check the response from the appropriate Digisign Certificate
Revocation List (CRL) or Online Certificate Status Protocol (OCSP) before making use of the
information contained in the Certificate.
Pihak Pengandal adalah entitas yang mempercayai keabsahan keterkaitan antara nama
Pemilik dengan Kunci Publik. Pihak Pengandal bertanggung jawab untuk melakukan
pengecekan status informasi di dalam Sertifikat. Pihak Pengandal dapat menggunakan
informasi dalam Sertifikat untuk menentukan kecocokan penggunaan Sertifikat. Pihak
Pengandal menggunakan informasi dalam Sertifikat untuk:
a. Memeriksa tujuan penggunaan Sertifikat;

b. Melakukan verifikasi Tanda Tangan Elektronik;
c. Memeriksa apakah Sertifikat termasuk di dalam CRL; dan
d. Penyetujuan batas tanggung jawab dan jaminan.
A Relying Party is an entity that trust in the validity of the association between the Subscriber's
name and the Public Key. The Relying Party is responsible for checking the status of the
information in the Certificate. Relying Parties may use the information in the Certificate to
determine suitability for use of the Certificate. The Relying Party uses the information in the
Certificate to:
a. the Certificate usage purpose;

b. Electronic Signature Verification;
c. Inspects if the Certificate is included in the CRL; and
d. Liability and warranty limits Agreement.
Pihak Pengandal meliputi Bank, Perusahaan E-Commerce, Non-Instansi Penyelenggara

Negara dan entitas lain yang menggunakan tanda tangan elektronik di dalam layanannya.
Relying Parties include Banks, E-Commerce Companies, Non-State Organizing Agencies and
other entities that use electronic signatures in their services.
1.3.5 Partisipan Lain / Other Participants
1.3.5.1 Penyedia Layanan Pusat Data / Data Center Service Provider
Penyedia Layanan Pusat Data adalah Pihak Ketiga yang menyediakan layanan Pusat Data
untuk operasional Digisign.
Data Center Service Provider is a Third Party that provides Data Center services for Digisign
operations.
1.4 Kegunaan Sertifikat / Certificate Usage
1.4.1 Penggunaan Sertifikat yang Semestinya / Proper Use of Certificate
Penggunaan Sertifikat Pemilik dibatasi sesuai Key Usage dan Extended Key Usage pada
Certificate Extension. Sertifikat Digisign hanya dapat digunakan untuk menerbitkan Sertifikat
untuk transaksi:
a. Tanda Tangan Elektronik

b. Segel Elektronik
The use of the Subscriber's Certificate is limited according to the Key Usage and Extended Key
Usage in the Certificate Extension. Digisign Certificates can only be used to issue Certificates
for transactions:
a. Electronic Signature
b. Electronic Seal
Sertifikat yang diterbitkan oleh Digisign adalah Sertifikat dengan level verifikasi identitas level 3
dan 4 sesuai dengan ketentuan peraturan perundang-undangan tentang penyelenggaraan
Sertifikasi. Pemilik Sertifikat dapat memilih tingkat jaminan yang sesuai sebagai identitas yang
akan mereka tunjukkan kepada Pihak Pengandal. Tingkatan jaminan yang dimaksud dibedakan
menjadi kelas Sertifikat sebagai berikut:
a. Level 3: Sertifikat dengan level verifikasi identitas level 3 dengan tingkat jaminan sedang
OID (2.16.360.1.1.1.3.12.2.2.1.1).
b. Level 4: Sertifikat dengan level verifikasi identitas level 4 dengan tingkat jaminan tinggi
OID (2.16.360.1.1.1.3.12.2.2.1.2).
Certificates issued by Digisign are Certificates with identity verification levels at levels 3 and 4
in accordance with the provisions of the legislation regarding the implementation of Certification.
Certificate Subscribers may select the appropriate level of assurance as the identity they will
present to Relying Parties. The level of guarantee in question is divided into Certificate classes
as follows:
a. Certificate with identity verification level 3 with medium level of assurance OID
(2.16.360.1.1.1.3.12.2.2.1.1)
b. .Certificate with identity verification level 4 with high level of assurance OID
(2.16.360.1.1.1.3.12.2.2.1.2)
Penggunaan yang tidak sesuai dapat berakibat pada hilangnya jaminan yang diberikan oleh
Digisign kepada Pemilik Sertifikat dan Pihak Pengandal.
Improper use may result in the loss of the warranty provided by Digisign to the Subscriber
Certificate and Relying Parties.
Tabel 1: Kelas Sertifikat dan Tingkat Jaminan - Certificate Classes and Level of Assurance
Tingkat Jaminan Penggunaan

Level of Assurance Usage
Kelas
Sertifikat
Jaminan Jaminan Tanda tangan Segel
Certificate
Sedang Tinggi Elektronik Elektronik
Class
Medium High Electronic Electronic
Assurance Assurance Signature Seal
Badan
Sertifikat Orang Perseorangan Usaha
Certificate Individuals Business
Entity
Level 3 ✔ ✔ ✔
Level 4 ✔ ✔ ✔
1.4.2 Penggunaan Sertifikat yang Dilarang / Prohibited Uses of Certificate
Sertifikat yang diterbitkan oleh Digisign dilarang dipakai untuk penggunaan yang tidak
dinyatakan dalam Bagian 1.4.1.
Certificates issued by Digisign are prohibited from being used for uses not stated in Section
1.4.1.
1.5 Administrasi Kebijakan / Administrative Policy
Policy Authority (PA) Digisign memiliki peran dan tanggung jawab sebagai berikut:
a. Menetapkan Certificate Policy (CP);

b. Memastikan semua layanan, operasional dan infrastruktur Digisign yang didefinisikan
dalam CPS telah dilakukan sesuai dengan persyaratan, representasi, dan jaminan dari
CP; dan
c. Menyetujui terjalinnya hubungan kepercayaan dengan IKP eksternal yang memiliki
tingkat jaminan yang kurang lebih setara.
Digisign Policy Authority (PA) roles and responsibilities are as follows:
a. Establishing Certificate Policy (CP);

b. Ensuring that all Digisign services, operations and infrastructure defined in the CPS
have been performed in accordance with CP's requirements, representations and
warranties; and
c. Approval of the establishment of a relationship of trust with an external PKI that has
more or less equal level of guarantee.
1.5.1 Organisasi Pengelola Dokumen / Document Management Organization
CPS dan dokumen referensi lainnya dikelola oleh Policy Authority (PA) Digisign. PA dapat
dihubungi melalui:
Email: corpsec@digisign.id / corpsec@digi-id.id

Tel: +62 21 31116109 / 10
CPS and other reference documents are maintained by the Digisign Policy Authority (PA). PA
can be contacted via:
Email: corpsec@digisign.id / corpsec@digi-id.id

Tel: +62 21 31116109 / 10
1.5.2 Kontak yang Dapat Dihubungi / Contact Person
Address : Digisign, PT. Solusi Net Internusa, Gedung Sahid Sudirman Center Lt. 55 Jl.
Jenderal Sudirman No. 86 Karet Tengsin, Tanah Abang, Jakarta Pusat 10220.
Email : corpsec@digisign.id / corpsec@digi-id.id
URL : https://digisign.id
Tel. : +62 21 31116109 / 10
1.5.3 Personil yang Menentukan Kesesuaian CPS dengan Kebijakan / Person

Determining CPS Suitability for the Policy
PA Digisign dibantu oleh legal & compliance dan seluruh Trusted Roles untuk menentukan
kesesuaian konten CPS dan kesesuaian antara CPS dengan CP.
PA Digisign is assisted by legal & compliance and all Trusted Roles to determine the suitability
of CPS content and compatibility between CPS and CP.
1.5.4 Prosedur Persetujuan CPS / CPS Approval Procedure
PA Digisign dalam hal ini adalah CEO Digisign yaitu personil yang menyetujui CPS.
Amendemen / perubahan dibuat dengan mengubah seluruh CPS atau dengan
mempublikasikan adendum. Digisign menentukan apakah amendemen / perubahan ke CPS ini
memerlukan pemberitahuan atau perubahan OID.
PA Digisign in this case is the Digisign CEO, namely the personnel who approves the CPS.
Amendments / changes are made by changing the entire CPS or by publishing an addendum.
Digisign determines whether amendments/changes to this CPS require notification or changes
to the OID.
1.6 Definisi dan dan Akronim / Definition and Acronym
Lihat Lampiran A untuk tabel akronim dan definisi.
Refer to Attachment A for Acronym and Definition.
2 TANGGUNG JAWAB PUBLIKASI DAN REPOSITORI / PUBLICATION AND

REPOSITORY RESPONSIBILITIES
2.1 Repositori / Repository
Digisign memelihara repositori daring yang bisa diakses publik termasuk namun tidak terbatas
pada:
1. CPS Digisign;
2. Kebijakan Privasi Digisign;
3. Perjanjian Kepemilikan Sertifikat Elektronik Digisign;
4. Kebijakan Jaminan Digisign;
5. Perjanjian Pihak Pengandal;
6. Daftar Harga Digisign;
7. Panduan Penggunaan Digisign;
8. Panduan Verifikasi Tanda Tangan Elektronik;
9. Sertifikat CA Digisign; dan
10. CRL Digisign.
Digisign maintains a publicly accessible online repository including but not limited to:
1. Digisign CPS;
2. Digisign Privacy Policy;
3. Subscriber Agreement;
4. Digisign Assurance Policy;
5. Relying Parties Agreement;
6. Price List;
7. User Guide;
8. Electronic Signature Verification Manual;
9. Digisign CA Certificate; and
10. Digisign CRL.
2.2 Publikasi Informasi Sertifikat / Public Information Certificate
Digisign memelihara repositori yang dapat diakses melalui internet, tempat publikasi Sertifikat
Digisign, CRL terakhir, dokumen CP / CPS dan dokumen kebijakan lainnya. Repositori Digisign
terletak di https://repository.digisign.id.
Digisign maintains a repository accessible via the internet, where Digisign Certificates are
published, latest CRLs, CP/CPS documents and other policy documents. The Digisign
repository is located at https://repository.digisign.id.
2.3 Waktu atau Frekuensi Publikasi / Publication Time or Frequency
CPS ini dan tiap perubahan selanjutnya dapat diakses publik dalam 7 (tujuh) hari kalender
setelah disetujui. Digisign akan mempublikasikan Sertifikat Pemilik dan data pencabutan paling
lama 30 (tiga puluh) menit setelah diterbitkan. CRL diperbaharui sesuai dengan bagian 4.9.7.
This CPS and any subsequent amendments are publicly accessible within 7 (seven) calendar
days after approval. Digisign will publish the Subscriber Certificate and revocation data no later
than 30 (thirty) minutes after issuance.CRL is renewed in accordance with point 4.9.7.
2.4 Kendali Akses pada Repositori / Access Control on Repository
Informasi yang dipublikasikan pada repositori adalah informasi publik. Digisign memberikan
akses baca yang tidak dibatasi pada repositorinya dan menerapkan kontrol logis dan fisik untuk
mencegah akses penulisan yang tidak berhak pada repositori tersebut.
Information published on the repository is public information. Digisign grants unrestricted read
access to its repositories and implements logical and physical controls to prevent unauthorized
write access to those repositories.
Digisign melindungi informasi yang tidak ditujukan untuk disebarkan kepada publik atau diubah
oleh publik.
Digisign protects information that is not intended for public dissemination or modification by the
public.
3 IDENTIFIKASI DAN AUTENTIKASI / IDENTIFICATION AND AUTHENTICATION
3.1 Penamaan / Naming
3.1.1 Tipe Nama / Type of Names
Digisign membuat dan menandatangani Sertifikat dengan subyek Distinguished Name (DN)
yang non-null dan mematuhi standar ITU X.500.
Digisign creates and signs a Certificate with a non-null subject Distinguished Name (DN) that
complies with the ITU X.500 standard.
Tabel 2:
Tipe Nama Types of Names
Tipe Sertifikat - Certificate Type Distinguished Name
Sertifikat Digisign - Digisign Certificate CN=<Certification Authority

Name><Certificate Type><Version>,
O=<organization name>, C=ID
Sertifikat Pemilik / Perseorangan User’s CN=<person name>, E=<email>,

Certificate/Individual O=Personal, C=ID
Tipe Sertifikat - Certificate Type Distinguished Name
Sertifikat Pemilik / Perorangan karyawan User’s CN=<person name>, E=<email>,

Certificate/Individual Employee O=<organization name>, C=ID
Sertifikat Badan Usaha Business Entity CN=<organization name>, O=<organization
Certificate name>, C=ID
3.1.2 Kebutuhan Nama yang Bermakna / The Requirement for a Meaningful Name
Sertifikat yang diterbitkan sesuai dengan CPS ini bermakna hanya jika nama-nama yang
muncul dalam Sertifikat dapat dipahami dan digunakan oleh Pihak Pengandal. Nama yang
digunakan dalam Sertifikat harus mengidentifikasi orang atau obyek tersebut.
Certificates issued in accordance with this CPS are meaningful only if the names appearing on
the Certificate can be understood and used by the Relying Party. The name used in the
Certificate must identify the person or object.
Nama subyek dan penerbit yang terkandung dalam Sertifikat HARUS bermakna dalam arti
bahwa Digisign memiliki bukti cukup yang menunjukkan keterkaitan antara nama dengan
entitasnya. Untuk mencapai tujuan ini, penggunaan nama harus diotorisasi oleh Pemilik yang
sah atau perwakilan legal dari Pemilik yang sah.
The name of the subject and issuer contained in the Certificate MUST be meaningful in the
sense that Digisign has sufficient evidence showing the relationship between the name and the
entity. To achieve this purpose, use of the name must be authorized by the rightful Subscriber
or the legal representative of the rightful Subscriber.
3.1.3 Anonimitas atau Pseudonimitas Pemilik / Anonymity and Pseudonimity of

Subscribers
Digisign tidak menerbitkan Sertifikat Pemilik yang anonim atau pseudonym.
Digisign does not issue anonymous or pseudonymous Certificates.
3.1.4 Aturan Interpretasi Berbagai Bentuk Nama / Rules for the Interpretation of
Various Forms of Names
Distinguished Name (DN) dalam Sertifikat diinterpretasikan dengan menggunakan standar

X.500.
Distinguished Name (DN) in a Certificate is interpreted using X.500 Standard.
3.1.5 Keunikan Nama / Distinguished Name
Distinguished Name (DN) dalam Sertifikat harus unik di dalam ranah IKP Indonesia, yang
berarti keunikan nama tersebut harus sesuai dengan data yang dimasukan oleh Pemilik.
Pemilik bertanggung jawab penuh atas data yang didaftarkan dan harus akurat serta sesuai
dengan data yang ada di E-KTP.
The Distinguished Name (DN) in the Certificate must be unique within the realm of the
Indonesian PKI, which means the uniqueness of the name must match the data entered by the
Subscriber. The Subscriber is fully responsible for the data registered and must be accurate
and in accordance with the data in the E-KTP.
3.1.6 Pengakuan, Autentikasi, dan Peran Merek Dagang / Recognition, Authentication

and the Role of Trademarks
Pemohon tidak diperbolehkan mengajukan permohonan Sertifikat dengan konten yang

melanggar hak kekayaan intelektual pihak lain. Digisign tidak perlu memverifikasi hak pemohon
untuk penggunaan merek dagang. Merupakan tanggung jawab Pemohon untuk memastikan
penggunaan nama-nama pilihan yang sah.
Applicants are not allowed to apply for a Certificate with content that violates the intellectual
property rights of others. Digisign does not need to verify the applicant's rights to trademark
use. It is the responsibility of the Applicant to ensure the use of validly chosen names.
Digisign dapat menolak setiap permohonan atau melakukan pencabutan Sertifikat apapun yang
menjadi bagian dari sengketa merek dagang.
Digisign may refuse any application or revoke any Certificate that is part of a trademark dispute.
3.2 Validasi Identitas Awal / Initial Identification Validation
3.2.1 Pembuktian Kepemilikan / Method to Prove Possession of Private Key
Pembuktian kepemilikan Private Key ada di akun Digisign yaitu diamankan dengan modul
kriptografi FIPS 140-2 level 3 dan hanya dapat diakses oleh Pemilik Sertifikat dengan minimal
menggunakan 2 faktor autentikasi (2FA).
Proof of ownership of the Private Key is in the Digisign account which is secured with the FIPS
140-2 level 3 cryptographic module and can only be accessed by the Certificate Subscriber with
a minimum of 2 authentication factors (2FA).
3.2.2 Autentikasi Identitas Organisasi / Badan Usaha / Authentication of Organization

Identity
Permohonan dari organisasi harus dibuat oleh orang yang berwenang mewakili organisasi
tersebut (lihat 3.2.5).
Applications from the organization must be made by a person authorized to represent the
organization (see 3.2.5).
Digisign menyimpan catatan jenis dan perincian identifikasi yang digunakan untuk autentikasi
organisasi setidaknya selama masa berlaku Sertifikat yang dikeluarkan.
Digisign keeps records of the types and details of identification used to authenticate the
organization for at least the validity period of the issued Certificate.
Permohonan memiliki Sertifikat untuk badan usaha, harus membuktikan dan memenuhi
persyaratan sebagai berikut:
a. Perwakilan dari badan usaha membuat akun digisign terlebih dahulu sesuai poin 3.2.3;
b. Masuk ke https://corp.digisign.id untuk daftar corporate dan masukan alamat email yang
didaftarkan oleh perwakilan badan usaha;
c. Masukan email perusahaan;
d. Nama perusahaan;
e. Alamat perusahaan;
f. Nomor telepon perusahaan;
g. Nomor NPWP Perusahaan dan mengunggah dokumen;
h. Akta Pendirian Perusahaan dan Perubahan Akta Terakhir mengunggah dokumen; dan
i. Nomor TDP / NIB dan mengunggah dokumen.
An application for a certificate for a business entity must prove and meet the following
requirements:
a. Representatives from business entities will have to create a digisign account according
to point 3.2.3;
b. Enter https://corp.digisign.id to register for corporate and enter the email address
registered by the representative of the business entity;
c. Enter company email;
d. Company name;
e. Company's address;
f. Company telephone number;
g. Company TIN number and upload documents;
h. Deed of Establishment of the Company and Amendment to the Last Deed to upload
documents; and
i. TDP / NIB number and upload documents.
Mekanisme verifikasi data pemohon badan usaha yaitu:
a. Melakukan autentikasi terhadap penanggung jawab atau perwakilan yang ditunjuk

organisasi atau pemimpin organisasi tersebut seperti cara registrasi dan autentikasi
Sertifikat orang perseorangan;
b. Melakukan Verifikasi NIB badan usaha di https://oss.go.id;
c. Melakukan pengecekan kelengkapan dokumen perusahaan lainnya dengan metode
tatap muka dengan metode online yang direkam dengan membawa atau menunjukan
dokumen asli untuk di verifikasi; dan
d. Melakukan verifikasi Akta Pendirian Perusahaan dan Akta Perubahan terakhir melalui
legalisir dari Notaris.
The mechanism for business entity applicant data verification is:
a. To authenticate the person in charge or the representative appointed by the organization

or the leader of the organization, such as the registration and authentication of individual
certificates;
b. Verification of business entity NIB at https://oss.go.id;
c. Checking the completeness of other company documents with the face-to-face method
with the online method recorded by bringing or showing the original documents for
verification; and
d. Verifying the Deed of Establishment of the Company and the latest Amendment Deed
through legalization from a Notary Public.
3.2.3 Autentikasi Identitas Orang Perseorangan / Individual Identity Authentication
Identifikasi dan autentikasi identitas orang perseorangan yang mengajukan permohonan

Sertifikat Digisign adalah:
Level 3 untuk Warga Negara Asing (WNA) :
a. Menggunggah: paspor, KITAP / KITAS, Nomor Handphone, Alamat Email, swafoto,

surat jaminan dari perusahaan yang ditandatangani oleh penanggung jawab
perusahaan;
b. Melakukan verifikasi tatap muka atau media online melalui zoom / skype dengan
membawa / menunjukan dokumen asli untuk diverifikasi; dan
c. Mengirimkan notifikasi pada email bahwa registrasi berhasil.
Level 4 untuk Warga Negara Indonesia (WNI) :
a. Untuk Warga Negara Indonesia yaitu berupa: Memasukan NIK E-KTP, Nama
lengkap, Tanggal Lahir, nomor handphone, Alamat email pribadi, Swafoto;
b. Mengunggah foto E-KTP;
c. Melakukan proses verifikasi biometric foto wajah yang divalidasi oleh pusat data;
d. Proses verifikasi juga bisa melalui tatap muka dengan menggunakan biometric sidik
jari yang divalidasi menggunakan E-KTP Reader;
e. Melakukan proses verifikasi data NIK, Nama lengkap, Tanggal lahir yang divalidasi
oleh pusat data (Dukcapil);
f. Mengirimkan notifikasi pada email yang didaftarkan bahwa registrasi berhasil.
Identification and authentication of the identity of an individual who applies for a Digisign
Certificate are:
Level 3 for Foreign Citizens :
a. Uploading: Passpor, passport, KITAP / KITAS, Mobile Number, selfie, identity

guarantee statement from the responsible agency for foreign citizens;
b. Do a face to face or by online mechanism via zoom / skype but by bringing / showing
original documents for verification; and
c. Sending a notification by email that the registration was successful.
Level 4 for Indonesian Citizens :
a. For Indonesian citizens in the form of: Entering NIK E-KTP, full name, date of birth,
mobile number, personal email address, selfie;
b. Uploading E-KTP Photo;

c. Carry out the biometric verification process of facial photos that are validated by the
data center;
d. The verification process may also be done face to face via fingerprint biometrics
validated by E-KTP Reader;
e. Verifying NIK data, full name, date of birth validated by the data center (Dukcapil);
and
f. Email notification via registered email that the registration was successful.
Identifikasi dan autentikasi identitas orang perseorangan hanya untuk yang mengajukan
permintaan Sertifikat Pemilik. Sebuah permohonan untuk orang perseorangan menjadi Pemilik
hanya dapat dibuat oleh orang perseorangan tersebut.
Identification and authentication of the identity of natural persons only for those who apply for
Subscriber Certificate. An application for a natural person to become an Subscriber can only be
made by that natural person.
3.2.4 Informasi Pemilik yang Tidak Terverifikasi / Unverified Subscriber Information
Digisign tidak menerbitkan Sertifikat untuk Pemohon Sertifikat terhadap informasi yang tidak
dapat diverifikasi.
Digisign does not issue Certificates to Certificate Applicants against information that cannot be
verified.
3.2.5 Validasi Otoritas / Validation Authority
Validasi Otoritas melibatkan penentuan apakah seseorang memiliki hak khusus, hak, atau izin
khusus, termasuk izin untuk bertindak atas nama organisasi untuk mendapatkan Sertifikat.
Validation Authority involves determining whether a person has special rights, rights, or
permissions, including permission to act on behalf of the organization to obtain a Certificate.
Sertifikat yang mengandung afiliasi keorganisasian secara eksplisit atau implisit hanya dapat
diterbitkan setelah memastikan bahwa Pemohon adalah benar memiliki kewenangan untuk
bertindak dalam kapasitas yang diberikan organisasinya.
Certificates containing explicit or implicit organizational affiliations may only be issued after
confirming that the Applicant is properly authorized to act in the capacity conferred by his
organization.
Digisign bertanggung jawab untuk memverifikasi dan me-autentikasi perwakilan resmi seorang
ahli hukum dengan memeriksa dokumen berikut :
a. Surat dari pihak yang memiliki wewenang; dan

b. Dalam hal pemilik wewenang tidak dapat mewakili, maka orang yang ditunjuk oleh
organisasi untuk mewakili organisasi harus menyampaikan Surat Penunjukan
Perwakilan Resmi.
Digisign is responsible for verifying and authenticating an authorized representative of a legal

expert by examining the following documents:
a. Letter from the the authorized party; and

b. In the event that the authorized party are unable to represent, the person appointed by
the organization to represent the organization must submit a Letter of Appointment of
Authorized Representative.
3.2.6 Kriteria Inter-operasi / Inter-Operational Criteria
Inter-operasi IKP Indonesia tidak diizinkan.
Inter-operational PKI is prohibited in Indonesia.
3.3 Identifikasi dan Autentikasi untuk Permintaan Pergantian Kunci / Identification

and Authentication for Re-Key Requests
Digisign dalam hal ini tidak menerapkan Re-Key atau permintaan pergantian kunci, namun
apabila Pemilik ingin memiliki Sertifikat, maka mekanismenya adalah Sertifikatnya akan dicabut
terlebih dahulu kemudian dilanjutkan dengan proses seperti permohonan awal.
Digisign in this case does not apply a Re-Key or a request for a key change, but if the Subscriber
wants to have a Certificate, then the mechanism is that the Certificate will be revoked first and
then proceed with the process like the initial application.
Kondisi ini menjadikan pemohon akan mendapatkan Sertifikat baru dengan masa berlaku
Sertifikat selama 1 (satu) tahun, bukan sisa masa berlaku Sertifikat yang lama (yang sudah
dicabut).
3.3.1 Identifikasi dan Autentikasi untuk Re-Key Rutin / Identification and

Authentication for Routine Re-Key
Re-key tidak diterapkan, namun bila Sertifikat sudah habis masa berlakunya, Sertifikat dapat
diterbitkan ulang dengan proses pendaftaran dan verifikasi ulang dengan masa aktif Sertifikat
yang juga akan diperbaharui.
Re-key is not applied, but when the Certificate has expired, the Certificate can be re-issued with
the registration process and re-verification with the active period of the Certificate which will also
be renewed.
3.3.2 Identifikasi dan Autentikasi untuk Re-Key setelah Pencabutan / Identification and
Authentication for Re-Key After Revocation
Re-key tidak diterapkan, sama seperti point 3.3.

Re-key is not applied, as per point 3.3.
3.4 Identifikasi dan Autentikasi untuk Permintaan Pencabutan / Identification and

Authentication for Revocation Request
Permintaan pencabutan Pemilik Sertifikat harus selalu diautentikasi. Permintaan untuk

mencabut Sertifikat dapat diautentikasi dengan menggunakan email Pemilik yang didaftarkan
pertama kali dan terhubung dengan Sertifikat serta formulir permohonan pencabutan yang
ditandatangani dengan tanda tangan elektronik oleh Pemilik. Mekanisme prosedur pencabutan
lihat butir 4.9.3.
Subscriber Certificate revocation requests must always be authenticated. A request to revoke

a Certificate can be authenticated by using the Subscriber email which was first registered and
linked to the Certificate and the revocation request form signed with an electronic signature by
the Subscriber. Mechanism of revocation procedure see item 4.9.3.
4 PERSYARATAN OPERASIONAL SIKLUS SERTIFIKAT / CERTIFICATE LIFE CYCLE

OPERATIONAL REQUIREMENTS
4.1 Permohonan Sertifikat / Certificate Application
4.1.1 Siapa yang Dapat Mengajukan Permohonan Sertifikat / Who may Apply For A
Certificate
Pemohon Sertifikat orang perseorangan baik WNI maupun WNA yang berafiliasi dengan badan
usaha, badan usaha dapat mengajukan permohonan Sertifikat yang ditandatangani oleh
Digisign, dengan persyaratan sesuai table berikut:
Individual certificate applicants, both Indonesian citizens and foreigners affiliated with a
business entity, may apply for a certificate signed by Digisign, with the requirements as per the
following table:
Tabel 3:
Syarat Permohonan Sertifikat - Certificate Requests Requirements
Jenis Permohonan Sertifikat

Types of Certificate Application
Syarat Badan WNA Orang
Orang
Requirements Usaha Perseorangan
Perseorangan
Business Foreign
Individuals
Entity Individuals
WNI / Indonesian National ✔ ✔
WNA / Foreigner ✔
Non-Instansi / Non Institution ✔ ✔ ✔
E-KTP /Indonesian ID Card ✔ ✔
Alamat Email pribadi / Personal Email Address ✔

Jenis Permohonan Sertifikat

Types of Certificate Application
Syarat Badan WNA Orang
Orang
Requirements Usaha Perseorangan
Perseorangan
Business Foreign
Individuals
Entity Individuals
Alamat Email Perusahaan** / Corporate Email
✔ ✔ ✔
Address
Nomor handphone Indonesia / Indonesian
✔ ✔ ✔
Mobile Number
Surat Pernyataan Jaminan dari Perusahaan /
✔ ✔
Statement of Guarantee from the Company
Passpor / Passport ✔
KITAS / KITAP ✔
Akte pendirian dan perubahan Perusahaan /

Deed of establishment and changes to the ✔
Company
SIUP dan TDP atau NIB Perusahaan /
✔
Business License or Registry Number
NPWP Perusahaan / Corporate Tax
✔
Identification Number
Surat Penunjukan dari Perusahaan*** /
✔
Corporate Appointment Letter
Informasi Biometrik / Biometric Information ✔ ✔

* Semua data dapat diverifikasi secara biometrik atau fisik
All data shall be biometrically/Physically verified.
** Wajib bagi Pemilik Sertifikat yang berafiliasi dengan badan usaha.
Mandatory for Certificate Subscriber affiliated with business entities
*** Untuk PIC Admin yang ditunjuk oleh Perusahaan.
For PIC Corporate Admin.
4.1.2 Pendaftaran dan Tanggung Jawabnya / Enrollment Process and Responsibilities
Pemohon Sertifikat harus bertanggung jawab untuk memberikan informasi yang akurat dalam
mengisi seluruh field pada halaman permohonan Sertifikat.
The Certificate Applicant will be responsible to provide accurate information in filling out all fields
on the Certificate application page.
Secara umum, proses pendaftaran terdiri dari langkah-langkah berikut:
a. Mengisi dan melengkapi data pribadi pada laman registrasi yang ada di web digisign;
b. Menyetujui Kebijakan Privasi pada aplikasi digisign;
c. Digisign juga dapat menolak permohonan Sertifikat dari pemohon yang sebelumnya
melanggar kebijakan Digisign; dan
d. Digisign tidak wajib untuk memberikan alasan kepada Pemohon terkait permohonan
Sertifikat yang ditolak.
Generally, the registration process consists of the following steps:
a. Fill out and complete personal data on the registration page on the digisign web;
b. Agreement to the Privacy Policy on the digisign app;
c. Digisign may also refuse Certificate applications from applicants who previously violated
Digisign policies; and
d. Digisign is not under any obligation to provide reasons to the Applicant regarding the
rejected Certificate application.
Digisign bertanggung jawab atas pemeliharaan sistem dan proses yang dapat me-autentikasi
identitas Pemohon untuk setiap jenis Sertifikat, dan dapat menampilkan identitas Pemilik
Sertifikat kepada pihak Pihak Pengandal. Digisign juga bertanggung jawab atas penyimpanan
informasi Data Pribadi Pemohon ketika melakukan proses pendaftaran Sertifikat.
Digisign is responsible for maintaining systems and processes that can authenticate the identity
of the Applicant for each type of Certificate, and can display the identity of the Subscriber
Certificate to the Relying Party. Digisign is also responsible for storing Applicant's Personal Data
information when carrying out the Certificate registration process.
4.2 Pemrosesan Permohonan Sertifikat / Certificate Application Processing

4.2.1 Melaksanakan Fungsi-fungsi Identifikasi dan Autentikasi / Performing
identification and Authentication Functions
Identifikasi dan autentikasi Pemilik harus memenuhi persyaratan, sehingga dapat dipastikan
bahwa Pemohon adalah orang yang tepat dan sesuai dengan data yang didaftarkan yang
ditentukan ini sesuai seperti yang tertera pada bagian 3.2 dari CPS ini.
Subscriber identification and authentication must meet the requirements, so that it can be
ensured that the Applicant is the right person and according to the registered data specified
herein as stated in section 3.2 of this CPS.
4.2.2 Persetujuan atau Penolakan Permohonan Sertifikat / Approval or Rejection of

Certificate Application
Persetujuan atas permohonan Sertifikat dapat dilakukan setelah seluruh rangkaian pendaftaran
berhasil, dan data yang didaftarkan sesuai dengan hasil verifikasi dan autentikasi dengan
sumber data dari instansi yang berwenang.
Approval of the certificate application can be made after the entire series of registrations is
successful, and the data registered is in accordance with the results of verification and
authentication with data sources from the authorized agency.
Setelah semua pemeriksaan identitas dan atribut Pemohon, konten aplikasi untuk Sertifikat juga
diperiksa. Dalam hal Pemohon tidak disetujui atau ditolak terhadap Sertifikat atau
permohonannya disebabkan oleh:
a. Data mengandung kesalahan, tidak sesuai atau tidak akurat; dan

b. Data tidak dapat diverifikasi di sumber data.
After all checks of Applicant's identity and attributes, the content of the application for the
Certificate is also checked. In the event that the Applicant is not approved or rejected for the
Certificate or his application due to:
a. The data contains errors, is inappropriate or inaccurate; and

b. The data cannot be verified in the data source.
Untuk ketidaksesuaian data tersebut dapat dilakukan proses ulang, bila dapat disesuaikan, dan
tidak ada masalah maka permohonan Sertifikat dapat disetujui.
For discrepancies in the data, it can be reprocessed, if it can be adjusted, and there are no
problems, the certificate application can be approved.
4.2.3 Waktu Pemrosesan Permohonan Sertifikat / Time to Process of Certificate

Application
Digisign memastikan permohonan Sertifikat akan diproses tepat waktu. Sertifikat dapat
diterbitkan setelah proses verifikasi dan autentikasi berhasil serta Pemohon telah menyetujui
Kebijakan Privasi. Proses ini memerlukan waktu tidak lebih dari 1 (satu) jam.
Digisign ensures that Certificate applications will be processed on time. Certificates can be
issued after the verification and authentication process is successful and the Applicant has
agreed to the Privacy Policy. This process takes no more than 1 (one) hour.
4.3 Penerbitan Sertifikat / Certificate Issuance
4.3.1 Tindakan Digisign Selama Penerbitan Sertifikat / Digisign Actions During

Certificate Issuance
Digisign melakukan verifikasi permohonan Sertifikat sebelum diterbitkan. Data yang diwajibkan
diperiksa melalui sistem verifikasi. Digisign juga me-autentikasi permohonan Sertifikat.
Digisign verifies the Certificate application before it is issued. The required data is checked
through a verification system. Digisign also authenticates Certificate applications.
Digisign me-autentikasi permohonan Sertifikat, memastikan bahwa data memang terkait

dengan Pemohon kemudian membuat Sertifikat Pemohon. Digisign mempublikasikan Sertifikat
Digisign ke https://repository.digisign.id sesuai dengan CPS ini. Semua ini harus dilaksanakan
secara tepat waktu, sesuai yang tercantum pada bagian 4.2.
Digisign authenticates the Certificate application, ensures that the data is indeed related to the
Applicant and then creates the Applicant's Certificate. Digisign publishes Digisign Certificates
to https://repository.digisign.id in accordance with this CPS. All this must be carried out in a
timely manner, as stated in section 4.2.
4.3.2 Pemberitahuan ke Pemilik oleh Digisign tentang Diterbitkannya Sertifikat /

Notification to Subscriber by Digisign of Issuance of Certificate
Digisign segera memberitahu Pemilik tentang berhasilnya penerbitan Sertifikat melalui email
setelah proses pendaftaran selesai dan berhasil dalam waktu 1x24 jam.
Digisign immediately notifies the Subscriber of the successful issuance of the Certificate via
email after the registration process is complete and successful within 1x24 hours.
4.4 Penerimaan Sertifikat / Certificate Acceptance
4.4.1 Sikap yang Dianggap Menerima Sertifikat / Actions That Are Considered
Receiving Certificates
Pemilik harus memeriksa semua informasi Sertifikat sebelum menggunakan Sertifikat tersebut.
Ketika tidak ada keluhan dari Pemilik dalam jangka waktu 7 (tujuh) hari kerja, Pemilik dianggap
menerima semua informasi Sertifikat.
Subscriber must check all Certificate information before using the Certificate. In the event that
no complaint is received from the Subscriber within 7 (seven) working days, the Subscriber is
deemed to have received all Certificate information.
Jika ada keluhan dari Pemilik Sertifikat, maka Pemilik dapat menyampaikannya melalui
Customer Service Digisign.
If there is a complaint from Subscriber, the Subscriber can submit it through Digisign Customer
Service.
4.4.2 Publikasi Sertifikat oleh Digisign / Certificate Publication by Digisign
Sertifikat dapat diunduh pada aplikasi Digisign dan Sertifikat Digisign dipublikasikan pada satu
repositori yaitu di https://repository.digisign.id.
Certificates can be downloaded in the Digisign application and Digisign Certificates are
published in one repository, namely at https://repository.digisign.id.
4.4.3 Pemberitahuan Penerbitan Sertifikat oleh Digisign ke Entitas Lain / Notification

of Certificate Issuance by Digisign to Other Entities
Tidak ada ketentuan.
No Condition.
4.5 Pasangan Kunci dan Penggunaan Sertifikat / Key Pair and Certificate Usage
4.5.1 Pemilik Kunci Privat dan Penggunaan Sertifikat / Subscriber’s Private Key and
Certificate Usage
Kunci Privat Pemilik Sertifikat Digisign disimpan oleh Digisign (Escrow) dan Digisign melindungi
Kunci Privat Pemilik dari penggunaan tanpa izin atau pengungkapan oleh pihak lain dengan
menggunakan HSM (Hardware Security Module) dan harus mempunyai 2FA (2 factors
authentication) untuk mengaksesnya dan Pemilik harus memakai Kunci Privat nya hanya untuk
tujuan yang sudah ditentukan.
Digisign Subscriber Certificate Private Key is stored by Digisign (Escrow) and Digisign protects
Subscriber Private Key from unauthorized use or disclosure by other parties by using HSM
(Hardware Security Module) and must have 2FA (2 factors authentication) to access it and
Subscriber must use Key Its private only for the purpose that has been determined.
4.5.2 Kunci Publik Pihak Pengandal dan Penggunaan Sertifikat Penggunaan Kunci
Publik dan Sertifikat oleh Pihak Pengandal / Relying Party Public Key and
Certificate Usage
Pihak Pengandal harus menggunakan perangkat lunak yang sesuai dengan X.509. Digisign
menentukan pembatasan dan cakupan dari penggunaan Sertifikat melalui Sertifikat ekstensi
dan harus menentukan mekanisme untuk menentukan validitas Sertifikat (CRL dan OCSP).
Pihak Pengandal harus memproses dan mengikuti / mematuhi informasi ini sesuai dengan
kewajibannya sebagai Pihak Pengandal.
Relying Parties must use X.509 compliant software. Digisign determines the limitations and
scope of use of Certificates via Certificate extensions and must define a mechanism for
determining Certificate validity (CRL and OCSP). Relying Party must process and follow /
comply with this information in accordance with its obligations as Relying Party.
Pihak Pengandal harus berhati-hati ketika mengandalkan Sertifikat dan harus

mempertimbangkan keseluruhan keadaan dan risiko kerugian sebelum mengandalkan
Sertifikat atau tanda tangan elektronik. Pihak Pengandal bertanggung jawab atas risiko
tersebut. Jika keadaan menunjukkan bahwa diperlukan jaminan tambahan, Pihak Pengandal
harus mendapatkan jaminan tersebut sebelum menggunakan Sertifikat dan dapat dilihat pada
dokumen Perjanjian Pihak Pengandal yang ada pada dokumen repositori Digisign.
Relying Parties must exercise caution when relying on Certificates and must consider the overall
circumstances and risks of loss before relying on Certificates or electronic signatures. The
Relying Party is responsible for such risks. If circumstances indicate that additional guarantees
are required, the Relying Party must obtain such guarantees before using the Certificate and
can be found in the Relying Parties Agreement document contained in the Digisign repository
document.
4.6 Pembaruan Sertifikat / Certificate Renewal
4.6.1 Kondisi Untuk Pembaruan Sertifikat / Circumstance For Certificate Renewal
Pembaruan Sertifikat didefinisikan sebagai pembuatan Sertifikat baru yang memiliki detail yang
sama dengan Sertifikat yang telah dikeluarkan sebelumnya namun dengan pasangan kunci
yang berbeda dan bertanggal ‘Not After’ dan ‘Not before” yang baru. Digisign mendukung
pembaruan harus mengidentifikasi produk dan layanan di mana pembaruan dapat diterima.
Digisign dapat memperbarui Sertifikat selama:
a. Sertifikat asli yang akan diperbarui belum dicabut;

b. Kunci Publik dari Sertifikat asli belum masuk daftar hitam karena alasan apapun;
c. Semua rincian dalam Sertifikat tetap akurat dan tidak diperlukan validasi baru atau
tambahan;
d. Digisign dapat memperbarui Sertifikat yang sudah pernah diperbarui sebelumnya;
e. Digisign akan menginformasikan ke pemilik Sertifikat untuk melakukan pembaruan
Sertifikat 30 (tiga puluh) hari sebelum masa aktif Sertifikat kedaluarsa; dan
f. Pada proses pembaruan Sertifikat Pemilik akan diterbitkan pasangan kunci baru.
Certificate Renewal is defined as the creation of a new Certificate having the same details as
the previously issued Certificate but with a different key pair and the new 'Not After' and 'Not
before' dates. Digisign supporting updates must identify products and services for which
updates can be received. Digisign may renew the Certificate as long as:
a. The original certificate to be renewed has not been revoked;

b. The Public Key of the original Certificate has not been blacklisted for any reason;
c. All details in the Certificate remain accurate and no new or additional validation is
required;
d. Digisign may renew previously renewed Certificates;
e. Digisign will inform the Subscriber Certificate to renew the Certificate 30 (thirty) days
before the active period of the Certificate expires; and
f. In the process of renewing the Subscriber Certificate a new key pair will be issued.
4.6.2 Siapa yang Boleh Meminta Pembaruan / Who May Request Renewal
Pemilik yang belum pernah dicabut Sertifikatnya boleh meminta pembaruan Sertifikatnya ke
Digisign.
Subscriber whom previously never had their Certificate revoked may request a renewal of their
Certificate from Digisign.
4.6.3 Pemrosesan Permintaan Pembaruan Sertifikat / Certificate Renewal Request

Processing
Perpanjangan Sertifikat harus dicapai dengan menggunakan proses pendaftaran awal seperti
pada bagian 3.2.
Certificate renewal must be achieved using the initial registration process as in section 3.2.
4.6.4 Pemberitahuan Penerbitan Sertifikat Baru ke Pemilik / Notification of New

Certificate Issuance to Subscriber
Sama seperti prosedur penerbitan Sertifikat baru seperti pada bagian 4.3.2.
Certificate renewal must be achieved using the initial registration process as in section 3.2.
4.6.5 Melakukan Penerimaan Pembaruan / Perpanjangan Sertifikat / Conduct

Constituting Acceptance of Certificate Renewal/Extension
Pemilik harus menerima Sertifikat baru setelah prosedur penerimaan dan penerimaan Sertifikat
yang sesuai prosedur pada bagian 4.4.1.
Subscriber must receive a new Certificate after the procedure for receipt and acceptance of the
Certificate according to the procedure in section 4.4.1.
4.6.6 Publikasi Pembaruan / Perpanjangan Sertifikat oleh Digisign / Publication of

Renewal Certificate by Digisign
Sertifikat baru diterbitkan sesuai prosedur yang tercantum dalam bagian 4.4.2.
New certificates are issued according to the procedures listed in section 4.4.2.

Tidak ada tindakan yang diambil untuk pemberitahuan ke entitas lain selain yang tercantum
dalam bagian 9.16.
No action is taken for notification to entities other than those listed in section 9.16.
4.7 Re-Key Sertifikat / Certificate Re-Key
Re-Key Sertifikat adalah penerbitan ulang Sertifikat menggunakan informasi subyek dan
tanggal kedaluarsa yang sama (bidang "valid To") namun dengan pasangan kunci yang baru.
A Certificate Re-Key is a reissue of a Certificate using the same subject information and
expiration date ("valid To" field) but with a new key pair.
4.7.1 Kondisi untuk Re-Key Sertifikat / Circumstance for Certificate Re-Key
Digisign belum menerapkan penerbitan ulang kunci.

Digisign has not implemented re-key reissues.
4.7.2 Siapa yang Dapat Meminta Sertifikasi Public Key yang Baru / Who Can Request
Certification of a New Public Key
4.7.3 Pemrosesan Permintaan Re-Key Sertifikat / Certificate Re-Key Request

Processing

4.7.5 Melaksanakan Penerimaan Sertifikat Re-Key / Conduct Constituting Acceptance

of a Re-Key Certificate
4.7.6 Publikasi Sertifikat Re-Key oleh Digisign / Publication of the Re-Key Certificate
by the Digisign

Tidak ada tindakan yang diambil untuk pemberitahuan ke entitas lain.

No action is taken for notification to other entity.
4.8 Modifikasi Sertifikat / Certificate Modification
Modifikasi detil Sertifikat tidak diperbolehkan. Apabila terjadi kesalahan selama penerbitan
Sertifikat (misalnya, ejaan), Sertifikat akan dicabut dan dilanjutkan dengan proses penerbitan,
seperti yang dijelaskan pada bagian 4.3.
Modification of Certificate details is not allowed. If an error occurs during the issuance of the
Certificate (eg, spelling), the Certificate will be revoked and proceed with the issuance process,
as described in section 4.3.
4.8.1 Kondisi untuk Modifikasi Sertifikat / Condition to Modify Certificate
Modifikasi informasi Sertifikat tidak diperbolehkan.
Modification of Certificate information is prohibited
4.8.2 Siapa yang Dapat Meminta Modifikasi Sertifikat / Who May Request Certificate
Modification
Modification of Certificate information is prohibited
4.8.3 Pemrosesan Permintaan Modifikasi Sertifikat / Certificate Modification Request

Processing
Modification of Certificate information is prohibited.


4.8.5 Sikap yang dianggap sebagai menerima Sertifikat yang Dimodifikasi / Conduct
Constituting Acceptance of Modified Certificate
4.8.6 Publikasi Sertifikat yang Dimodifikasi oleh Digisign / Publication of Modified

Certificate by Digisign

4.9 Pencabutan dan Pembekuan Sertifikat - Certificate Revocation and Suspension
4.9.1 Kondisi untuk Pencabutan - Circumstances For Revocation
Digisign mencabut Sertifikat Pemilik dalam keadaan berikut:
a. Informasi atau komponen afiliasi dari setiap nama dalam Sertifikat menjadi tidak valid;
b. Pemilik dapat dibuktikan telah melanggar ketentuan peraturan perundang-undangan;
c. Ada alasan untuk percaya bahwa kunci privat telah compromise / rusak;
d. Pemilik atau pihak berwenang lainnya (sesuai ketentuan Peraturan Perundang -
undangan) meminta agar SSertifikatnya dicabut; dan
e. Penghentian operasional PSrE induk dan Digisign.
Digisign revokes Subscriber's Certificate in the following circumstances:
a. The affiliation information or component of any name in the Certificate becomes invalid;
b. Subscriber proven to have violated the provisions of the legislation;
c. Grounds for reason that the private key has been compromised;
d. Subscriber or other authorities (according to the provisions of the Laws and Regulations)
request that the Certificate be revoked; and
e. Decommissioning of Root PSrE and Digisign.
Sertifikat harus dicabut bila ikatan antara Pemilik dan Kunci Publik Pemilik yang ditentukan
dalam Sertifikat tidak lagi dianggap valid.
The certificate must be revoked if the bond between Subscriber and Subscriber's Public Key
specified in the Certificate is no longer considered valid.
Bila ini terjadi, Sertifikat yang terkait harus dicabut dan ditempatkan di CRL dan ditambahkan
responder pada OCSP. Sertifikat yang dicabut harus disertakan pada semua publikasi baru
pada informasi status Sertifikat sampai Sertifikat kedaluarsa.
In which case, the associated Certificate must be revoked and placed in the CRL and a
responder added to the OCSP. The revoked certificate must be included in all new publications
of the Certificate status information until the Certificate expired.
Kondisi untuk pencabutan Sertifikat Pemilik diatur dalam CPS Digisign dan Prosedur
Pencabutan Sertifikat.
Circumstances for revocation of Subscribers Certificate are regulated in Digisign's CPS and
Certificate Revocation Procedure.
4.9.2 Siapa yang Dapat Meminta Pencabutan / Who May Request Revocation
Sertifikat dapat diminta dicabut oleh Pemilik, entitas lain atau penegak hukum (yang dapat
membuktikan pemaparan atau penyalahgunaan Sertifikat sesuai dengan dokumen CP).
Certificates may be requested to be revoked by Subscriber, other entities or law enforcement

(who can prove exposure or misuse of Certificates in accordance with CP documents).
4.9.3 Prosedur Permintaan Pencabutan / Revocation Application Procedure
4.9.3.1 Prosedur Pemintaan Pencabutan oleh Perorangan / Revocation Application

Procedure by Individual
Pemilik dapat melayangkan permohonan pencabutan Sertifikat melalui email ke cs@digi-id.id,

yaitu dengan tahapan:
a. Melengkapi formulir permohonan pencabutan Sertifikat dengan data data yang sesuai
ketika melakukan pendaftaran;
b. Menjelaskan alasan pencabutan Sertifikat;
c. Melayangkan email ke cs@digi-id.id dengan lampiran formulir permohonan Sertifikat;
d. Menandatangani formulir tersebut dengan tanda tangan elektronik nya;
e. Digisign melakukan verifikasi dan autentikasi data Pemohon, bila sesuai maka Sertifikat
dicabut;
f. Setelah proses pencabutan selesai, maka Digisign akan memberitahukan kepada
Pemilik melalui email; dan
g. Digisign mempublikasikan pencabutan Sertifikat Pemilik di CRL Digisign
The Subscriber can submit a certificate revocation request via email to cs@digi-id.id , in the
following steps:
a. Complete the certificate revocation application form with the appropriate data when
registering;
b. Explain the reasons for the revocation of the Certificate;

c. Send an email to cs@digi-id.id with the attachment of the Certificate application form;
d. Sign the form with his electronic signature;
e. Digisign verifies and authenticates the Applicant's data, if appropriate, the Certificate will
be revoked;
f. After the revocation process is complete, Digisign will notify the Subscriber via email;
and
g. Digisign publishes revocation of Subscriber Certificate in Digisign CRL.
4.9.3.2 Prosedur Pencabutan Sertifikat oleh Entitas / Revocation of Certificate

Procedure by the Entity
Untuk permohonan pencabutan Sertifikat entitas atau organisasi, Digisign tetap akan
melakukan verifikasi identitas Pemilik yang mengajukan pencabutan Sertifikat.
For requests for certificate revocation of entities or organizations, Digisign will still verify the
identity of the Subscriber who requested the revocation of the Certificate.
Permintaan pencabutan oleh entitas lain harus ada penyampaian bukti bahwa,
a. Kunci Privat Sertifikat telah terpapar; atau

b. Penggunaan Sertifikat tersebut tidak sesuai dengan Kebijakan Sertifikasi; atau
c. Pemilik Sertifikat tidak / sudah tidak memiliki hubungan dengan institusi; dan
d. Melayangkan email resmi dengan lampiran form permohonan pencabutan Sertifikat
kepada Digisign yang sudah ditandatangani dengan menggunakan tandatangan
elektronik akun Digisign.
Request for Revocation by other entity is require to submit proof that:
a. Certificate Private Key has been exposed; or

b. Use of the Certificate is inconsistent with the Certification Policy; or
c. Certificate holder does not / no longer has a relationship with the institution; and
d. Sending an official email with an attachment of a Certificate revocation application form
to Digisign which has been signed using the electronic signature of the Digisign account.
Permintaan pencabutan juga bisa dilakukan oleh penegak hukum dengan mengisi form
permintaan pencabutan untuk seseorang. Dalam form tersebut juga harus tertera data PIC
pemohon yaitu minimal nama dan jabatan.
Revocation requests can also be made by law enforcement by filling out a revocation request
form for someone. The form must also contain the applicant's PIC data, namely at least the
name and position.
4.9.4 Tenggang Waktu Permohonan Pencabutan / Revocation Application Grace

Period
Tidak ada tenggang waktu yang diizinkan setelah permintaan pencabutan diverifikasi. Digisign
akan mencabut Sertifikat segera setelah selesai melakukan verifikasi permintaan pencabutan.
No grace period is allowed after the revocation request is verified. Digisign will revoke the
Certificate as soon as it finishes verifying the revocation request.
4.9.5 Jangka Waktu Digisign Memproses Permintaan Pencabutan / Time Within which
Digisign Must Process the Revocation Request
Digisign memulai investigasi permintaan pencabutan selambat-lambatnya dalam 2 (dua) hari

kerja kecuali dari kasus force majeure. Permintaan pencabutan yang memberikan bukti
pendukung yang memadai akan segera diproses.
Digisign begins an investigation of the revocation request no later than 2 (two) working days
except in cases of force majeure. Revocation requests that provide sufficient supporting
evidence will be processed immediately.
4.9.6 Persyaratan Pemeriksaan untuk Pihak Pihak Pengandal / Requirements

Checking for Relying Parties
Pihak Pengandal harus memvalidasi Sertifikat di OCSP atau CRL terbaru, yang berada di
server Digisign.
The Relying Party must validate the Certificate at the latest OCSP or CRL, which resides on the
Digisign server.
4.9.7 Frekuensi Penerbitan CRL / CRL Publishing Frequency
CRL akan diperbarui secara berkala dalam jangka waktu 1x 24 jam dan dapat diakses melalui
Repositori https://repository.digisign.id. Repositori untuk mengakses CRL terlindungi untuk
memastikan integritas dan keasliannya.
CRL will be updated regularly within 1x 24 hours and can be accessed through the Repository
https://repository.digisign.id. Repositories for accessing CRLs are protected to ensure their
integrity and authenticity.
4.9.8 Latensi Maksimum untuk CRL / CRL Maximum Latency
Digisign mempublikasikan data pencabutan Sertifikat selambat lambatnya dalam waktu 30 (tiga
puluh) menit setelah CRL diperbarui.
Digisign publishes Certificate revocation data no later than 30 (thirty) minutes after the CRL has
been updated.
4.9.9 Ketersediaan Pemeriksaan Pencabutan/Status secara Online / Daring / Online

Revocation/Status Checking Availability
Digisign menyediakan layanan validasi daring menggunakan server OCSP. Informasi status
Sertifikat Digisign tersedia melalui repositori https://repository.digisign.id.
Digisign provides an online validation service using an OCSP server. Digisign Certificate status
information is available through the repository https://repository.digisign.id
4.9.10 Persyaratan Pemeriksaan Pencabutan secara Online / Online Revocation

Checking Requirements
No Condition.
4.9.11 Bentuk Lain Pengumuman Pencabutan / Other Forms of Revocation

Announcement
No Condition.
4.9.12 Persyaratan Khusus Keterpaparan / Exposure Specific Requirements Re-Key

Compromise
Bila Sertifikat terkompromi, Sertifikat akan dicabut seperti diuraikan pada bagian 4.7.
In the event that the Certificate is compromised, it will be revoked as described in section 4.7.
4.9.13 Kondisi untuk Pembekuan / Condition for Suspension
Pembekuan Sertifikat tidak disediakan.
Certificate suspension is not provided.
4.9.14 Siapa yang Dapat Meminta Pembekuan / Who May Request for Suspension

4.9.15 Prosedur untuk Permintaan Pembekuan / Certificate Suspension Request

Procedure
4.9.16 Pembatasan pada Masa Pembekuan / Suspension Limitation
Certificate suspension is not provided
4.10 Layanan Status Sertifikat / Certificate Status Service
4.10.1 Karakteristik Operasional / Operational Characteristic
Status Sertifikat publik tersedia dari CRL dan OCSP di dokumen repositori digisign
https://repository.digisign.id.
Public certificate status is available from CRL and OCSP in the digisign repository document
https://repository.digisign.id.
4.10.2 Ketersediaan Layanan / Service Availability
Digisign melakukan semua tindakan yang diperlukan untuk ketersediaan layanan validasi status
Sertifikat dengan SLA 99.5%.
Digisign performs all necessary actions for the availability of Certificate status validation
services with 99.5% SLA.
4.10.3 Fitur Pilihan / Optional Feature
No Condition
4.11 Akhir Berlangganan / End of Subscribtion
Pemilik dapat mengakhiri layanan Digisign dengan membiarkan Sertifikatnya kedaluarsa atau
mencabut Sertifikatnya tanpa meminta Sertifikat yang baru.
Subscriber can terminate Digisign service by letting his Certificate expire or revoke his
Certificate without requesting a new Certificate.
4.12 Pemulihan dan Penitipan Kunci / Recovery and Escrow Key
4.12.1 Kebijakan dan Praktik Escrow Kunci dan Pemulihan / Key Escrow and Recovery
Policies and Practices
Pengelolaan dan penyimpanan pasangan Kunci Pemilik dilindungi dengan sistem keamanan
tingkat yang tinggi, yaitu dengan standar FIPS 140-2 Level 3.
The management and storage of Subscriber Key pairs is protected by a high level of security
system, namely with the FIPS 140-2 Level 3 standard.
4.12.2 Kebijakan dan Praktik Enkapsulasi Kunci dan Pemulihan Kunci / Key
Encapsulation and Key Recovery Policies and Practices
No Condition.
5 FASILITAS, PENGELOLAAN, DAN KENDALI OPERASI / FACILITIES,

MANAGEMENT, AND OPERATION CONTROL
5.1 Kendali Fisik / Physical Control
5.1.1 Lokasi dan Konstruksi / Site Location and Construction
Lokasi dan konstruksi dari fasilitas penempatan peralatan Digisign serta juga tempat-tempat
yang menampung workstation jarak jauh yang digunakan untuk mengelola Digisign sesuai
dengan fasilitas yang digunakan untuk menyimpan informasi yang sensitif. Lokasi dan
konstruksi tempat kerja, dikombinasikan dengan mekanisme perlindungan keamanan fisik
lainnya seperti penjaga dan CCTV, telah memberikan perlindungan terhadap akses yang tidak
resmi ke peralatan Digisign.
The location and construction of Digisign equipment placement facilities as well as the places
that house remote workstations used to manage Digisign according to the facilities used to store
sensitive information. The location and construction of the workplace, combined with other
physical security protection mechanisms such as guards and CCTV, has provided protection
against unauthorized access to Digisign equipment.
5.1.2 Akses Fisik / Physical Access
Peralatan Digisign terlindungi dari akses yang tidak resmi. Mekanisme keamanan fisik untuk
Digisign telah diimplementasikan untuk:
a. Memastikan tidak ada akses tidak resmi yang diizinkan ke perangkat keras;
b. Menyimpan semua media dan kertas yang dapat dilepas yang berisi informasi teks
biasa yang sensitif dalam wadah yang aman;
c. Monitor, baik secara manual maupun elektronik, untuk gangguan yang tidak sah setiap
saat; dan
d. Menjaga dan memeriksa secara berkala log akses.
Digisign equipment is protected against unauthorized access. Physical security mechanisms

for Digisign have been implemented to:
a. Ensure that no unauthorized access is allowed to the hardware;

b. Store all removable media and paper containing sensitive plain text information in a
secure container;
c. Monitor, either manually or electronically, for unauthorized interference at all times; and
d. Maintain and periodically check access logs.
Semua kegiatan operasional Digisign yang sangat penting dan memiliki resiko tinggi harus
dilakukan di dalam fasilitas yang aman dengan memiliki setidaknya empat lapis keamanan
untuk bisa mengakses perangkat keras dan perangkat lunak yang sensitif. Fasilitas tersebut
harus terpisah secara fisik terpisah dari fasilitas organisasi yang lain, sehingga hanya peran
terpercaya Digisign yang memiliki otoritas yang bisa mengakses fasilitas tersebut.
All critical and high-risk Digisign operations must be conducted in a secure facility that has at
least four layers of security to allow access to sensitive hardware and software. These facilities
must be physically separated from other organizational facilities, so that only trusted Digisign
roles with the authority can access these facilities.
5.1.3 Listrik dan AC / Power and Air Conditioning
Digisign memiliki daya cadangan yang cukup untuk me-lockout secara otomatis, menyelesaikan
beberapa hal/tindakan yang tertunda, dan mencatat keadaan peralatan sebelum kekurangan
daya atau AC yang menyebabkan peralatan mati. Repositori IKP telah dilengkapi dengan
Uninterrupted Power dan Generator Listrik yang cukup untuk pengoperasian minimal 6 (enam)
jam tanpa adanya listrik/daya dari PLN, untuk mendukung keberlangsungan operasional.
Digisign has sufficient backup power to automatically lockout, complete some pending
tasks/actions, and record the state of the equipment before a power failure or AC failure causes
the equipment to shut down. The PKI repository has been equipped with Uninterrupted Power
and sufficient Electric Generator for a minimum of 6 (six) hours of operation without
electricity/power from PLN, to support operational continuity.
5.1.4 Keterpaparan Air / Water Exposure
Peralatan Digisign dilindungi terhadap air dan diletakkan di atas tanah dengan raised floor.
Digisign equipment is protected against water and placed on the ground with a raised floor.
5.1.5 Pencegahan dan Perlindungan Kebakaran / Fire Prevention and Protection
Peralatan Digisign ditempatkan di fasilitas dengan sistem deteksi dan pemadaman kebakaran
yang memadai, seperti sistem Novac.
Digisign equipment is housed in facilities with adequate fire detection and suppression systems,
such as the Novac system.
5.1.6 Media Penyimpanan / Media Storage
Media backup Digisign disimpan sehingga bisa melindunginya dari kerusakan akibat
kecelakaan (air, api, elektromagnetik), pencurian, dan akses yang tidak sah. Media yang berisi
informasi audit, arsip, atau backup diduplikasi dan disimpan di lokasi yang terpisah dari lokasi
Digisign.
Digisign backup media are stored so they can protect against accidental damage (water, fire,
electromagnetic), theft and unauthorized access. Media containing audit, archive, or backup
information is duplicated and stored in a separate location from the Digisign location.
5.1.7 Pembuangan Limbah / Waste Disposal
Bahan limbah yang mengandung informasi sensitif harus dihancurkan informasi yang ada di
dalamnya sebelum dibuang.
Waste materials containing sensitive information must be destroyed by the information

contained in them before being disposed of.
5.1.8 Off-Site Backup / Backup Off-Site
Backup semua sistem dari Digisign yang cukup untuk pulih dari kegagalan sistem, telah
dilakukan pada jadwal berkala 7 hari sekali dan minimal 1 salinan back up terupdate disimpan
di lokasi yang aman dan offsite (di lokasi yang terpisah dari peralatan Digisign). Data backup
harus dilindungi dengan pengamanan fisik dan prosedur yang setara dengan pengamanan
pada operasional Digisign. Jarak minimal off-site backup adalah 50 km.
Backups of all systems from Digisign that are sufficient to recover from system failures, have
been carried out on a regular schedule of 7 days and at least 1 updated backup copy is stored
in a secure and offsite location (in a separate location from Digisign equipment). Backup data
must be protected with physical security and procedures equivalent to security in Digisign
operations. The minimum distance for off-site backup is 50 km.
5.2 Kontrol Prosedur / Procedure Control
5.2.1 Peran yang Dipercaya / Trusted Role
Peran terpercaya meliputi tapi tidak terbatas pada :

a. Koordinator
Bertanggung jawab secara keseluruhan dalam mengelola praktik keamanan CA
Digisign
b. Policy Authority (PA)
Pengesahan Pembuatan, revisi dan persetujuan CP dan CPS
c. Staff PA
Membantu PA dalam menyiapkan dokumen dan Kebijakan CA Digisign
d. Admin Aplikasi
Melakukan operasional dan maintenance aplikasi manajemen CA Digisign
e. Admin OS
Melakukan operasional dan maintenance Sistem Operasi CA Digisign
f. Admin Database
Melakukan pengelolaan database dan backup
g. Admin Sekuriti
Melakukan pemantauan update patches
h. Registrasi
Identifikasi dan Validasi identitas permohonan permintaan Sertifikat
i. Key Manager
Membangkitkan pasangan kunci
j. Admin HSM
Melakukan administrasi perangkat keras kriptografi
k. Admin Network
Melakukan instalasi jaringan CA Digisign
l. Monitoring Kapasitas dan Insiden
Melakukan monitoring kapasitas sistem dan jaringan serta insiden
m. Developer
Melakukan pengembangan sistem Digisign
n. QA dan UAT
Melakukan pengujian dan UAT sistem sebelum diteruskan ke operasional
o. Internal Auditor
Melakukan audit internal operasional CA Digisign
Trusted role shall include but not limited to:
a. Coordinator
Overall responsibility for managing Digisign CA security practices
b. Policy Authority (PA)
Endorsement Creation, revision and approval of CP and CPS
c. PA Staff
Assist PA in preparing Digisign CA documents and Policies
d. Application Administrator
Carry out operations and maintenance of the Digisign CA management application
e. OS Administrator
Carry out operations and maintenance of the Digisign CA Operating System
f. Database Administrator
Perform database management and backup
g. Security Administrator
Monitoring patch updates
h. Registration
Identification and Validation of the identity of the Certificate request application
i. Key manager
Generating key pairs
j. HSM Administrator
Performing cryptographic hardware administration
k. Network Administrator
Performing a Digisign CA network installation
l. Capacity and Incident Monitoring
Monitoring system and network capacity as well as incidents
m. Developer
Conducting Digisign system development
n. QA and UAT
Perform system testing and UAT before being forwarded to operations
o. Internal Auditor
Performing internal audit of CA Digisign operations
5.2.2 Jumlah Orang yang Diperlukan per/tiap Tugas / Number of Personnel Required
per Task
Bila diperlukan kontrol dari banyak pihak, semua partisipan memegang jabatan yang
terpercaya. Kontrol banyak pihak tidak dapat dicapai dengan menggunakan personil yang
bertugas pada Auditor Internal kecuali fungsi audit. Tugas berikut membutuhkan personil
cadangan:
a. Pembangkitan kunci
b. Pembuatan Sertifikat; dan
c. Pencabutan Sertifikat
When multi-party control is required, all participants hold trusted positions. Multi-party control
cannot be achieved by using personnel assigned to the Internal Auditor except for the audit
function. The following tasks require backup personnel:
a. Key Generation;
b. Certificate Creation; and
c. Certificate Revocation.
5.2.3 Identifikasi dan Autentikasi untuk Setiap Peran / Identification and

Authentication for Each Role
Semua individu diminta untuk mengidentifikasi dan me-autentikasi dirinya sendiri sesuai
dengan Matriks Kontrol Akses yang berlaku di Digisign.
All individuals are required to identify and authenticate themselves according to the Digisign
Access Control Matrix applicable.
5.2.4 Peran yang Memerlukan Pemisahan Tugas / Roles Requiring Segregation of

Duties
Peran yang tidak diperankan bersamaan adalah:
a. Policy Authority dan administrator operasional;

b. Internal Audit dan semua peran lain; dan
c. Pengembang aplikasi dan semua peran lain.
The roles that are not played concurrently are:
a. Policy Authority and operational administrator

b. Internal Audit and all other roles; and
c. App developer and all other roles
5.3 Kontrol Personil / Personnel Control
5.3.1 Persyaratan Kualifikasi, Pengalaman, dan Perizinan / Qualification, Experience

and Clearance Requirements
Semua personil di Digisign adalah warga negara Indonesia dan telah dipilih atas dasar
keterampilan, pengalaman, track record personil, kepercayaan, dan integritas sesuai dengan
persyaratan sebagai berikut:
a. Bukti latar belakang yang diperlukan, kualifikasi dan pengalaman yang diperlukan untuk
secara efisien dan memadai dalam melaksanakan tanggung jawab pekerjaan mereka;
dan
b. Bukti catatan bersih kriminal.
All personnel at Digisign are Indonesian citizens and have been selected on the basis of skills,
experience, personnel track record, trustworthiness, and integrity in accordance with the
following requirements:
a. Proof of the necessary background, qualifications and experience necessary to

efficiently and adequately carry out their job responsibilities; and
b. Proof of a clean criminal record.
5.3.2 Prosedur Pemeriksaan Latar Belakang / Background Check Procedure
Semua personil di Digisign telah menyelesaikan pemeriksaan latar belakang. Ruang lingkup
pemeriksaan latar belakang mencakup area berikut yang cakupannya:
a. Surat pengalaman Pekerjaan

b. Pendidikan atau sertifikasi
c. Identifikasi Kependudukan (KTP)
d. Catatan Kepolisian
All personnel at Digisign have completed background checks. The scope of the background
check covers the following areas which it covers:
a. Work experience letter

b. Education or certification
c. Population Identification (KTP)
d. Police Records
Digisign menggunakan teknik investigasi pengganti yang diizinkan oleh hukum / undang-
undang yang memberikan informasi serupa secara substansial, termasuk namun tidak terbatas
untuk memperoleh pemeriksaan latar belakang.
Digisign uses surrogate investigation techniques permitted by law / legislation that provide
substantially similar information, including but not limited to obtaining background checks.
5.3.3 Persyaratan Pelatihan / Training Requirement
Semua personil Digisign dilatih untuk menjalankan tugasnya. Pelatihan semacam itu
membahas topik yang relevan, seperti persyaratan keamanan, tanggung jawab operasional,
prosedur terkait, undang-undang / hukum dan peraturan.
All Digisign personnel are trained to carry out their duties. Such training addresses relevant
topics, such as security requirements, operational responsibilities, related procedures,
laws/laws and regulations.
Pelatihan juga mencakup operasional IKP (termasuk perangkat keras, perangkat lunak dan
sistem operasi Digisign), prosedur operasional dan keamanan, CPS ini, dan CP yang berlaku.
Evaluasi terhadap kecukupan kompetensi personil Digisign minimal 1 (satu) kali dalam setahun.
The training also covers PKI operations (including Digisign hardware, software and operating
systems), operational and security procedures, these CPS, and applicable CPs. Evaluation of
the competency adequacy of Digisign personnel at least 1 (one) time a year.
5.3.4 Frekuensi Pelatihan Ulang dan Persyaratannya / Retraining Frequency and

Requirement
Digisign memberikan pelatihan ulang dan pembaruan kepada personilnya sesuai yang
dibutuhkan untuk memastikan personil tersebut mempertahankan tingkat kemampuan yang
dipersyaratkan untuk melakukan tanggung jawab pekerjaan mereka secara kompeten dan
memuaskan.
Digisign provides retraining and updating of its personnel as needed to ensure that these
personnel maintain the required level of ability to perform their job responsibilities competently
and satisfactorily.
Untuk peran terpercaya secara khusus diberikan pelatihan seperti CISSP atau setara, Sistem
Keamanan Informasi, CP dan CPS yang berlaku, Panduan Operasional CA, RA, dan VA,
Hardware, Topologi Jaringan, Database, Patches, Prosedur Keamanan, Perangkat lunak dan
sistem operasi.
For trusted roles specifically provided with training such as CISSP or equivalent, Information
Security Systems, applicable CP and CPS, CA, RA and VA Operational Guide, Hardware,
Network Topology, Databases, Patches, Security Procedures, Software and operating systems.
5.3.5 Frekuensi dan Urutan Rotasi Pekerjaan / Frequency and Sequence of Job
Rotation
Digisign memastikan bahwa perubahan staf tidak akan mempengaruhi efektivitas operasional
layanan atau keamanan sistem.
Digisign ensures that staff changes will not affect the operational effectiveness of the service or
system security.
5.3.6 Sanksi untuk Tindakan yang Tidak Terotorisasi / Sanctions for Unauthorized
Actions
Sanksi disipliner yang sesuai diberikan pada personil yang melanggar ketentuan dan kebijakan
didalam CP / CPS atau prosedur operasional Digisign.
Appropriate disciplinary sanctions are imposed on personnel who violate the provisions and
policies in the CP / CPS or Digisign operational procedures.
5.3.7 Persyaratan Kontraktor Independen / Independent Contractor Requirement
Personil sub kontraktor yang dipekerjakan untuk melaksanakan fungsi-fungsi yang terkait
dengan operasi Digisign harus memenuhi persyaratan yang berlaku yang diatur dalam CPS ini,
sesuai pada bagian 5.3.1, 5.3.2 dan 5.3.3.
Sub-contractor personnel employed to perform functions related to Digisign's operations must

comply with the applicable requirements set out in this CPS, in accordance with sections 5.3.1,
5.3.2 and 5.3.3.
5.3.8 Dokumentasi yang Disediakan untuk Personil / Documentation Supplied to

Personnel
Digisign telah membuat dokumen-dokumen yang tersedia bagi personilnya, Certificate Policy
(Kebijakan Sertifikat) yang mereka dukung, CPS, dan undang-undang yang relevan, kebijakan,
atau kontrak yang relevan. Dokumen teknis, operasi, dan administratif lain (mis. Panduan
Administrasi, Manual Penggunaan, dsb) telah disediakan agar personil yang terpercaya dapat
melaksanakan kewajiban mereka.
Digisign has made available the documents to its personnel, the Certificate Policy they support,
the CPS, and the relevant law, policy or contract. Other technical, operating and administrative
documents (eg Administrative Manual, User Manual, etc.) have been provided to enable trusted
personnel to carry out their duties.
5.4 Prosedur Log Audit / Audit Log Procedure
Berkas log audit disimpan untuk semua kejadian yang terkait dengan keamanan Digisign. Bila
memungkinkan, log audit keamanan harus dikumpulkan secara otomatis. Bila tidak mungkin,
dapat menggunakan buku log, kertas formulir, atau mekanisme fisik lainnya. Semua log audit
keamanan, elektronik dan non elektronik, disimpan dan tersedia selama audit kepatuhan. Log
audit keamanan untuk setiap kejadian yang dapat diaudit yang didefinisikan dalam bagian ini
dipelihara sesuai dengan bagian 5.5.2
Audit log files are kept for all events related to Digisign security. Whenever possible, security
audit logs should be collected automatically. If this is not possible, use logbooks, paper forms,
or other physical mechanisms. All security audit logs, electronic and non-electronic, are stored
and made available during the compliance audit. Security audit logs for each auditable event
defined in this section are maintained in accordance with section 5.5.2
5.4.1 Jenis Kejadian yang Direkam / Types of Recorded Events
Digisign mengaktifkan semua kapabilitas audit keamanan dari sistem operasi Digisign, serta
aplikasi Certification Authority Digisign memastikan bahwa seluruh kegiatan yang berkaitan
dengan siklus Sertifikat disimpan secara otomatis sehingga dapat memastikan keterlacakan
setiap tindakan Trusted Role dalam operasional Digisign. Informasi yang akan disimpan dalam
bentuk log, termasuk namun tidak terbatas pada:
a. type kejadian dan tanggal serta waktu kejadian

b. nomor urut rekaman
c. sumber perekaman
d. indikator sukses atau gagal yang sesuai
e. identitas dari operator yang menyebabkan kejadian tsb.
Digisign enables all security audit capabilities of the Digisign operating system, and the Digisign
Certification Authority application ensures that all activities related to the Certificate cycle are
stored automatically so as to ensure traceability of every Trusted Role's actions in Digisign
operations. Information to be stored in log form, including but not limited to:
a. the type of event and the date and time of the incident
b. recording serial number
c. recording source
d. appropriate success or failure indicators
e. the identity of the operator that caused the event.
5.4.2 Frekuensi Pemrosesan Log / Log Processing Frequency
Log audit ditinjau 1 (satu) bulan sekali, termasuk verifikasi bahwa log tidak rusak atau hilang
tidak diacak, dan tidak adanya jenis kehilangan lain terhadap data audit, kemudian secara
singkat memeriksa semua entri log, dengan penyelidikan yang lebih menyeluruh terhadap
peringatan atau penyimpangan yang muncul dalam log.
Tindakan yang diambil sebagai hasil dari peninjauan ini harus didokumentasikan.
Audit logs are reviewed once a month, including verification that logs are not corrupted or
missing not randomized, and that there are no other types of loss to audit data, then briefly
check all log entries, with a more thorough investigation of any warnings or irregularities that
arise in the logs.
Actions taken as a result of this review shall be documented.
5.4.3 Periode Retensi untuk Log Audit / Retention Period for Audit Log
Log audit Digisign dipertahankan selama 1 (satu) tahun agar tersedia untuk pengendalian yang
sah. Periode ini dapat diubah bergantung pada perkembangan hukum yang terkait.
Digisign audit logs are maintained for 1 (one) year to be available for legal control. This period
may be changed depending on the relevant legal developments.
5.4.4 Proteksi Log Audit / Audit Log Protection
Log Audit dilindungi untuk mencegah perubahan dan mendeteksi gangguan serta untuk
memastikan bahwa hanya individu dengan akses peran terpercaya yang berwenang mampu
melakukan operasi apa pun tanpa memodifikasi integritasnya.
Audit logs are protected to prevent changes and detect tampering and to ensure that only
individuals with authorized trusted role access are able to perform any operations without
modifying their integrity.
Log Audit yang tercatat dilindungi untuk mencegah dan mendeteksi perubahan dari file log,
serta memastikan bahwa hanya individu dengan akses peran terpercaya dan berwenang yang
dapat mengakses log tanpa memodifikasi integritasnya.
The recorded Audit logs are protected to prevent and detect changes to log files, and ensure
that only individuals with trusted and authorized role access can access the logs without
modifying their integrity.
5.4.5 Prosedur Backup Log Audit / Audit Log Backup Procedure
Log audit dan ringkasan audit di-backup setiap hari. Media backup disimpan secara lokal dalam
suatu lokasi yang aman. Salinan kedua dari log audit dikirim ke situs lain secara real time per
hari.
Audit logs and audit summaries are backed up daily. Backup media is stored locally in a secure
location. A second copy of the audit log is sent to other sites in real time per day.
5.4.6 Sistem Pengumpulan Audit (Internal vs External) - Audit Collection System

(Internal vs External)
Sistem pengumpulan log audit adalah internal ke sistem Digisign.Log audit termasuk namun
tidak terbatas pada:
a. Database
b. CCTV
c. Akses fingerprint
d. Aplikasi
e. IDS
f. Firewall
g. Brankas
h. HSM Security world dan kunci fisik
The audit log collection system is internal to the Digisign system. Audit logs include but are not
limited to:
a. Database
b. CCTV
c. Fingerprint Access
d. Application
e. IDS
f. Firewall
g. Safe
h. HSM Security World and Physical key
5.4.7 Pemberitahuan ke Subyek Penyebab Kejadian / Notification to Subject Cause of

Event
Tidak ada pemberitahuan kepada Pemilik, organisasi, Pihak Pihak Pengandal dan badan usaha
yang menyebabkan kejadian tersebut.
There was no notification to the Subscriber, organization, Relying Party and business entity that
caused the incident.
5.4.8 Penilaian Kerentanan / Vulnerability Assesment
Digisign melakukan penilaian kerentanan sistem yang tidak terbatas pada Pentest dll, secara
berkala paling sedikit sekali setahun.
Digisign conducts system vulnerability assessments which are not limited to Pentest etc,
periodically at least once a year.
5.5 Pengarsipan Record / Record Archive
5.5.1 Tipe Record yang Diarsipkan / Types of Archived Record
Catatan arsip Digisign harus cukup rinci untuk menentukan kesesuaian operasional dan
validitas Sertifikat yang dikeluarkan oleh Digisign (termasuk yang dicabut atau kedaluwarsa).
Data berikut merupakan data yang dicatat pada arsip paling sedikit namun tidak terbatas pada:
a. Siklus hidup operasi Sertifikat termasuk permohonan Sertifikat, dan permintaan

pencabutan.
b. Semua Sertifikat dan CRL yang diterbitkan dan dipublikasikan oleh Digisign;
c. Data konfigurasi sistem IKP;
d. Dokumen CP dan semua CPS yang berlaku termasuk modifikasi dan amendemen
terhadap dokumen-dokumen ini.; dan
e. Data pendaftaran Pemohon atau Data Pribadi Pemilik Sertifikat Digisign.
Digisign's archival records must be sufficiently detailed to determine the operational suitability
and validity of Certificates issued by Digisign (including revoked or expired). The following data
is data recorded in the archives at least but not limited to:
a. The Certificate operation lifecycle includes Certificate requests, and revocation

requests.
b. All Certificates and CRLs issued and published by Digisign;
c. PKI system configuration data;
d. CP documents and all applicable CPS including modifications and amendments to these
documents.; and
e. Applicant registration data or Digisign Subscriber Certificate Personal Data.
5.5.2 Periode Retensi Arsip / Archive Retention Period
Catatan yang diarsipkan disimpan setidaknya selama 5 (lima) tahun. Aplikasi yang dibutuhkan
untuk membaca arsip ini harus dipelihara selama masa retensi.
Archived records are kept for at least 5 (five) years. Applications required to read these files
must be maintained throughout the retention period.
5.5.3 Perlindungan Arsip / Archive Protection
Digisign melindungi catatan arsip dan hanya orang yang berwenang yang dapat mengakses.
Catatan yang diarsipkan dilindungi dari akses, modifikasi, penghapusan, atau gangguan yang
tidak sah dengan menggunakan system yang handal. Media yang menyimpan catatan arsip
dan aplikasi yang dibutuhkan untuk memproses catatan arsip dipelihara dan dilindungi.
Digisign protects archival records and only authorized persons have access. Archived records
are protected from unauthorized access, modification, deletion, or tampering by using a reliable
system. The media that stores archival records and the applications required to process archival
records are maintained and protected.
Prosedur Backup Arsip / Archive Backup Procedure
Prosedur backup yang memadai dan teratur dilakukan agar jika terjadi kehilangan atau
rusaknya arsip utama, satu set lengkap salinan cadangan yang ada di lokasi terpisah telah
tersedia.
Adequate and regular backup procedures are in place so that in the event of loss or damage to
master archives, a complete set of backup copies held in separate locations is available.
5.5.4 Persyaratan Record Stempel Waktu / Timestamp Record Requirement
Rekaman arsip Digisign diberi stempel waktu ketika dibuat.
Digisign archive records are timestamped when they are created.
5.5.5 Sistem Pengumpulan Arsip / Archive Collection System
Pengumpulan arsip di Digisign dilakukan oleh internal Digisign.
The collection of archives at Digisign is carried out by Digisign internally.
5.5.6 Prosedur untuk Memperoleh dan Memverifikasi Informasi Arsip / Procedures for
Obtaining and Verifying Archival Information
Penyimpanan media untuk informasi arsip Digisign diperiksa saat pembuatan. Dalam waktu 1
bulan sekali, sampel informasi yang diarsipkan diuji untuk memeriksa integritas dan
keterbacaan informasinya. Hanya peran tepercaya, dan orang-orang resmi lainnya yang
diizinkan untuk mengakses arsip. Permintaan untuk mendapatkan dan memverifikasi informasi
arsip dikoordinasikan oleh koordinator.
Media storage for Digisign archive information is checked at creation. Once a month, a sample
of archived information is tested to check the integrity and legibility of the information. Only
trusted roles, and other authorized persons are allowed to access the archive. Requests to
obtain and verify archive information are coordinated by the coordinator.
5.6 Penggantian Kunci / Key Replacement
Untuk meminimalkan risiko dari kondisi Kunci Privat Digisign terkompromi, Kunci Privat dapat
diubah. Sejak Kunci Privat diubah, hanya kunci baru yang bisa digunakan untuk
penandatanganan Sertifikat. Sertifikat yang lama, namun masih berlaku, akan tersedia untuk
memverifikasi tanda tangan lama sampai seluruh Sertifikat yang ditandatangani menggunakan
Kunci Privat terkait kedaluarsa. Jika Kunci Privat lama digunakan untuk menandatangani CRL,
maka kunci lama harus disimpan dan dilindungi.
To minimize the risk of the Digisign Private Key being compromised, the Private Key can be
changed. Since the Private Key was changed, only the new key can be used for Certificate
signing. The old, but still valid, certificate will be available to verify the old signature until all
Certificates signed using the corresponding Private Key have expired. If the old Private Key is
used to sign the CRL, then the old key must be stored and protected.
Apabila Digisign memperbarui Kunci Privat dan dengan demikian menghasilkan Kunci Publik
baru, Digisign memberitahu melalui email atau sistem elektronik lain kepada semua Pemilik
dan Pihak Pengandal Sertifikat Digisign bahwa telah terjadi perubahan.
If Digisign updates the Private Key and thereby generates a new Public Key, Digisign notifies
via email or other electronic system to all Digisign Subscriber Certificate and Relying Parties
that a change has occurred.
Kunci Private Digisign diubah secara berkala setiap 10 (sepuluh) tahun.
Digisign Private Key is changed periodically every 10 (ten) years.
5.7 Pemulihan Bencana dan Kondisi Terkompromi / Disaster and Compromised

Recovery
5.7.1 Prosedur Penanganan Insiden dan Keadaan Terkompromi / Procedure for

Handling Incidents and Compromised Circumstances
Digisign menangani bencana dan insiden compromise sesuai dengan prosedur penanganan
bencana untuk meminimalkan dampak dari peristiwa seperti itu.
Digisign handles disasters and compromise incidents in accordance with disaster management
procedures to minimize the impact of such events.
Digisign memiliki rencana tanggap darurat (Business Continuity Plan) dan rencana pemulihan
bencana (Disaster Recovery Plan).
Digisign has an emergency response plan (Business Continuity Plan) and a disaster recovery
plan (Disaster Recovery Plan).
Jika Kunci Digisign dicurigai telah terkompromi, penerbitan Sertifikat dihentikan, Digisign
melakukan Investigasi untuk menentukan sifat dan tingkat kerusakan. Ruang lingkup potensi
kerusakan dinilai untuk menentukan prosedur perbaikan yang tepat, apabila dicurigai terpapar
atau bocor maka harus mengikuti prosedur seperti pada pasal 5.7.3
If the Digisign Key is suspected of having been compromised, the issuance of the Certificate is
stopped, Digisign carries out an Investigation to determine the nature and extent of the damage.
The scope of potential damage is assessed to determine the appropriate repair procedure, if it
is suspected of being exposed or leaking it must follow the procedures as in Article 5.7.3
5.7.2 Sumber Daya Komputasi, Perangkat Lunak, dan/atau Data Rusak / Computing
Resources, Software and/or Data are Corrupted
Ketika sumber daya komputer, perangkat lunak, dan/atau data rusak, Digisign melakukan hal
berikut:
a. Memberitahu PSrE Induk sesegera mungkin sesuai prosedur penangan insiden;

b. Memastikan integritas sistem telah direstorasi sebelum mengembalikan pada operasi
dan menentukan seberapa banyak kehilangan data sejak posisi terakhir backup;
c. Mengoperasikan kembali Digisign, memberikan prioritas pada kemampuan untuk
membangkitkan informasi status Sertifikat dalam jadwal penerbitan CRL; dan
d. Bila kunci penandatanganan Digisign rusak, operasional Digisign dilakukan kembali
secepat mungkin, memberikan prioritas ke pembangkitan pasangan kunci baru Digisign.
When computer resources, software and/or data are damaged, Digisign does the following:
a. Notify the Root PSrE as soon as possible according to incident handling procedures;
b. Ensure system integrity has been restored prior to restore in operation and determine
how much data has been lost since the last backup position;
c. Re-operating Digisign, giving priority to the ability to generate Certificate status
information in the CRL issuance schedule; and
d. When a Digisign signing key is damaged, Digisign operations are resumed as quickly
as possible, giving priority to the generation of a new Digisign key pair.
5.7.3 Prosedur Kunci Privat Entitas Terkompromi / Compromised Entity Private Key
Procedure
Bila Kunci Privat Digisign hilang atau terkompromi, maka Digisign:
a. Memberitahu PSrE Induk dan Pihak Pihak Pengandal melalui pengumuman publik.
b. Menghentikan layanan.
c. Memberitahu semua Pemilik kemudian dilanjutkan dengan pencabutan semua
Sertifikat.
d. Menerbitkan suatu CRL akhir.
e. Menyiapkan Kembali Infrastruktur Kunci Pubilk yang baru.
If a Digisign Private Key is lost or compromised, then Digisign shall:
a. Notify the Root PSrE and the Relying Party through public announcements.
b. Stop the service.
c. Notify all Subscriber then proceed with revocation of all Certificates.
d. Issues a final CRL.
e. Resetting the new Public Key Infrastructure.
5.7.4 Kapabilitas Keberlangsungan Bisnis setelah suatu Bencana / Business

Continuity Capability after a Disaster
Untuk memelihara integrasi layanan Digisign, diimplementasikan backup data dan prosedur-
prosedur pemulihan. Seperti Rencana Pemulihan Bencana (Disaster Recovery Plan /DRP).
DRP ditinjau ulang dan diuji secara berkala paling sedikit 1 (satu) tahun sekali dan diperbaiki
serta diperbarui jika dibutuhkan.
Digisign memiliki Hot backup dan DRC bila sistem utama Digisign berhenti beroperasi.
To maintain the integration of Digisign services, data backup and recovery procedures are
implemented. Such as the Disaster Recovery Plan (DRP). DRP is reviewed and tested
periodically at least once a year and corrected and updated if needed.
Digisign has Hot backup and DRC when the main Digisign system stops operating.
5.8 Penutupan Digisign / Digisign Termination
Bila ada keadaan yang menyebabkan diakhirinya layanan Digisign dengan persetujuan dari
Policy Authority, Digisign akan memberitahu PSrE Induk, Pemilik, dan Pihak Pengandal.
Rencana aksi Digisign adalah sebagai berikut, namun tidak terbatas pada:
a. Memberitahu status layanan ke pengguna yang terkena dampak;

b. Mencabut semua Sertifikat;
c. Menyimpan dalam jangka panjang informasi Digisign dan memastikan bahwa para
Pemilik bisa mengakses informasi Sertifikat sesuai dengan masa berlaku Sertifikatnya;
d. Menyediakan dukungan berkelanjutan dan menjawab pertanyaan; dan
e. Menangani dengan tepat pasangan kunci Digisign dan perangkat keras yang terkait
yaitu dengan menghancurkan sistem IKP dan Kunci Privat Digisign.
If there are circumstances that cause the termination of Digisign's services with the approval of
the Policy Authority, Digisign will notify the Root PSrE, Subscriber and Relying Parties.
Digisign's action plans are as follows, but are not limited to:
a. Notify affected users of service status;

b. Revoke all Certificates;
c. Store Digisign information in the long term and ensure that Subscriber can access
Certificate information according to the validity period of the Certificate;
d. Provide ongoing support and answer questions; and
e. Properly handle Digisign key pairs and associated hardware by destroying the Digisign
PKIand Private Key systems.
6 KENDALI KEAMANAN TEKNIS / TECHNICAL SECURITY CONTROL

6.1 Pembangkitan dan Instalasi Pasangan Kunci / Generation and Installation of Key
Pairs
6.1.1 Pembangkitan Pasangan Kunci / Key Pair Generation
Material kunci kriptografi yang digunakan oleh Digisign untuk menandatangani Sertifikat, CRL,
atau informasi status dibuat di dalam modul kriptografis yang sesuai dengan standar FIPS 140-
2 Level 3 Kontrol multipihak dibutuhkan untuk pembangkitan pasangan kunci Digisign.
The cryptographic key material used by Digisign to sign Certificates, CRLs, or status information
is generated in a cryptographic module that complies with the FIPS 140-2 Level 3 standard.
Multi-party control is required for the generation of Digisign key pairs
Pembangkitan pasangan kunci hanya dapat dilakukan oleh Digisign. Pembangkitan kunci oleh
Digisign menghasilkan jejak audit yang dapat diverifikasi, yang menunjukkan bahwa
persyaratan kebutuhan keamanan untuk prosedur diikuti. Pemisahan peran yang tepat atas
proses pembuatan kunci didokumentasikan di dalam dokumen internal Digisign. Pihak ketiga
yang independen memvalidasi pelaksanaan prosedur pembangkitan kunci baik dengan
menyaksikan pembangkitan kunci atau dengan memeriksa rekaman yang ditandatangani dan
didokumentasikan saat pembangkitan kunci.
Key pair generation can only be done by Digisign. Key generation by Digisign results in a
verifiable audit trail, which demonstrates that the security requirements for procedures were
followed. The proper segregation of roles for the key generation process is documented in
internal Digisign documents. An independent third party validates the execution of key
generation procedures either by witnessing key generation or by checking signed and
documented records of key generation.
6.1.2 Pengiriman Kunci Privat ke Pemilik / Delivery of Private Key to Subscriber
Kunci Privat Pemilik tidak dikirimkan ke Pemilik, Kunci Privat Pemilik dititipkan di Digisign, dan
Pemilik secara sadar mengetahui bahwa kuncinya terenkripsi secara aman menggunakan HSM
yang sesuai standar (FIPS 140-2 Level 3 dan disimpan dalam database Digisign), Pemilik harus
menyetujui dokumen Perjanjian Kepemilikan Sertifikat.
The Subscriber's Private Key is not sent to the Subscriber, the Subscriber’s Private Key is
deposited with Digisign, and the Subscriber is aware that the key is securely encrypted using a
HSM compliant standard (FIPS 140-2 Level 3 and stored in the Digisign database), the
Subscriber must approve the Subscriber Agreement document Certificate.
6.1.3 Pengiriman Kunci Publik ke Penerbit Sertifikat / Delivery of Public Key to

Certificate Issuer
Digisign tidak mengirimkan Kunci Publik kepada Pengandal, Kunci Publik dapat diunduh di
https://app.digisign.id pada menu profil pada halaman pengaturan Akun.
Digisign does not send Public Keys to Relyers, Public Keys can be downloaded at
https://app.digisign.id in the profile menu on the Account settings page.
6.1.4 Pengiriman Kunci Publik Digisign kepada Pihak Pengandal Digisign / Public Key
Delivery to Relying Parties
Digisign tidak mengirimkan Kunci Publik kepada Pengandal, Pengandal dapat memvalidasi
Kunci Publik Pemilik Sertifikat dengan menggunakan OCSP atau CRL.
Digisign does not send Public Keys to Relyers, Relyers can validate Certificate Subscriber’s
Public Keys by using OCSP or CRL.
Pada jangka waktu tertentu sebelum Kunci Publik Digisign kedaluarsa, suatu pasangan kunci
penandatanganan Sertifikat yang baru dibangkitkan untuk menjaga operasional Digisign
berjalan normal.
At a certain time before the Digisign Public Key expires, a new Certificate signing key pair is
generated to keep Digisign operating normally.
6.1.5 Ukuran Kunci / Key Size
Digisign membuat dan memakai Kunci RSA 4096-bit dengan Secure Hash Algorithm versi 2
(SHA-256) untuk menandatangani Sertifikat dan CRL yang diterbitkannya dan RSA 2048 bit
untuk kunci Pemilik.
Digisign generates and uses a 4096-bit RSA Key with Secure Hash Algorithm version 2 (SHA-
256) to sign the Certificate and CRL it issues and a 2048 bit RSA for the Subscriber key.
6.1.6 Parameter Pembangkitan dan Pengujian Kualitas Kunci Publik / Public Key
Generation and Quality Checking
Pembangkitan pasangan kunci menghasilkan pasangan kunci yang sesuai dengan FIPS 186.
Key pair generation generates FIPS 186 compliant key pairs.
6.1.7 Tujuan Penggunaan Kunci (pada field key usage - X509 V3) / Key Usage Purpose
(in key usage field - X509 v3)
Kunci-kunci Digisign dipakai untuk penandatanganan Sertifikat (keyCertSign) dan

penandatanganan CRL (cRLSign).
Digisign keys are used for Certificate signing (keyCertSign) and CRL signing (cRLSign).
6.2 Kontrol Kunci Privat Dan Kontrol Teknis Modul Kriptografi / Private Key Control
And Cryptographic Module Technical Control
6.2.1 Kendali dan Standar Modul Kriptografi / Cryptographic Module Standards and
Controls
Digisign menggunakan modul kriptografi yang sudah sesuai standard FIPS 140-2 Level 3.
Digisign uses a cryptographic module that complies with the FIPS 140-2 Level 3 standard.
6.2.2 Kendali Multi Personil (n dari m) Kunci Privat / Multi Personnel Control ( n of m)
Private Key
Digisign mengimplementasikan mekanisme teknis dan prosedural yang mempersyaratkan

partisipasi dari beberapa peran terpercaya untuk melaksanakan operasi kriptografis yang
sensitif. Suatu jumlah minimum dari Secret Shares (n) dari sejumlah total Secret Shares yang
dibuat dan didistribusikan untuk dipakai di modul kriptografis tertentu (m) diperlukan untuk
mengaktifkan sebuah Kunci Privat Digisign yang disimpan di dalam modul.
Digisign implements technical and procedural mechanisms that require the participation of
several trusted roles to carry out sensitive cryptographic operations. A minimum number of
Secret Shares (n) out of the total number of Secret Shares created and distributed for use in a
particular cryptographic module (m) is required to activate a Digisign Private Key stored in the
module.
Angka ambang yang diperlukan untuk pembuatan kunci adalah 5 dari 10 (dimana n=5 dan
m=10), aktivasi kunci penandatanganan adalah 5 dari 10, dan backup serta pemulihan Kunci
Privat adalah 2 dari 4.
The threshold required for key generation is 5 out of 10 (where n=5 and m=10), signing key
activation is 5 out of 10, and Private Key backup and recovery is 2 out of 4.
6.2.3 Escrow Kunci Privat / Private Key Escrow
Kunci Privat Digisign tidak dititipkan. Pasangan kunci Pemilik disimpan oleh Digisign.
Digisign Private Key is not deposited. Subscriber key pairs are stored by Digisign.
6.2.4 Backup Kunci Privat / Private Key Backup
Kunci Privat Digisign di-backup di bawah kendali multipihak yang sama dengan kunci tanda
tangan asli. Paling tidak satu salinan dari Kunci Privat disimpan off-site. Semua salinan Kunci
Privat Digisign dilindungi dengan cara yang sama dengan aslinya.
Digisign Private Keys are backed up under the same multiparty control as the original signature
keys. At least one copy of the Private Key is kept off-site. All copies of the Digisign Private Key
are protected in the same way as the original.
6.2.5 Pengarsipan Kunci Privat / Private Key Archive
Kunci Privat Digisign tidak diarsipkan. Kunci Privat Pemilik diarsipkan.
Digisign Private Keys are not archived. Subscriber's Private Key is archived.
6.2.6 Perpindahan Kunci Privat ke dalam atau dari Modul Kriptografi / Transfer of
Private Keys Into or From the Cryptography Module
Kunci Privat Digisign boleh diekspor dari modul kriptografis hanya untuk melaksanakan
prosedur backup kunci Digisign. Kunci Privat Digisign tidak pernah sekalipun berada dalam
bentuk plaintext di luar modul kriptografi.
Digisign Private Keys may be exported from the cryptographic module only to carry out the
Digisign key backup procedure. Digisign Private Keys are never once in plaintext outside the
cryptography module.
Bila sebuah Kunci Privat dipindahkan dari satu modul kriptografis ke yang lain, Kunci Privat
dienkripsi selama pemindahan. Kunci pemindahan yang dipakai untuk mengenkripsi Kunci
Privat ditangani dengan cara yang sama dengan Kunci Privat. Kunci Privat dienkripsi selama
pemindahan.
When a Private Key is transferred from one cryptographic module to another, the Private Key
is encrypted during the transfer. The transfer key used to encrypt the Private Key is handled in
the same way as the Private Key. Private Key is encrypted during transfer.
6.2.7 Penyimpanan Kunci Privat pada Modul Kriptografis / Private Key Storage on
Cryptographic Module
Kunci privat Digisign disimpan pada modul kriptografis FIPS 140-2 Level 3, dalam bentuk
terenkripsi dan terlindungi oleh kata sandi.
Digisign private keys are stored in the FIPS 140-2 Level 3 cryptographic module, in an encrypted
form and protected by a password.
6.2.8 Metode Pengaktifan Kunci Privat / Private Key Activation Method
Aktivasi operasi Kunci Privat Digisign dilakukan oleh personel yang berwenang dan
memerlukan kendali multipihak 5/10 untuk ACS dan 2/4 untuk OCS.
Activation of a Digisign Private Key operation is carried out by authorized personnel and
requires 5/10 multi-party control for ACS and 2/4 for OCS.
6.2.9 Metode Penonaktifan Kunci Privat / Private Key Deactivation Method
Setelah dipakai, modul kriptografis dinonaktifkan oleh personel yang berwenang setelah secret
shares dicabut dari modul kriptografi.
Once used, the cryptographic module is deactivated by authorized personnel after the secret
shares are revoked from the cryptographic module.
6.2.10 Metode Penghancuran Kunci Privat / Private Key Destruction Method
Ketika Kunci Privat Digisign tidak diperlukan lagi, para individu dalam peran terpercaya
menghapus Kunci Privat dari modul kriptografi dan backupnya dengan menimpa Kunci Privat
atau menginisialisasi modul dengan fungsi factory reset dari modul kriptografi.
In the event that the Digisign Private Key is no longer needed, individuals in trusted roles delete
the Private Key from the cryptographic module and its backup by overwriting the Private Key or
initializing the module with the factory reset function of the cryptographic module.
Kejadian penghancuran Kunci Privat Digisign dicatat ke dalam barang bukti sesuai dengan
bagian 5.4.
The event of destruction of the Digisign Private Key is recorded as evidence in accordance with
section 5.4.
6.2.11 Pemeringkatan Modul Kriptografis / Cryptographic Module Ranking
Seperti diuraikan dalam bagian 6.2.1.
As described in point 6.2.1
6.3 Aspek Lain dari Manajemen Pasangan Kunci / Other Aspects of Key Pair
Management
6.3.1 Pengarsipan Kunci Publik / Public Key Archiving
Kunci Publik diarsipkan sebagai bagian dari pengarsipan Sertifikat.
The Public Key is archived as part of the Certificate archive.
6.3.2 Periode Operasional Sertifikat dan Periode Penggunaan Pasangan Kunci /

Certificate Operation and Key Pair Usage Period
Periode operasi pasangan kunci ditentukan oleh periode operasional Sertifikatyang sesuai.
Jangka waktu operasional maksimum kunci adalah 10 (sepuluh) tahun untuk Digisign dan 1
(satu) tahun untuk Pemilik.
The operating period of the key pair is determined by the operating period of the corresponding
Certificate. The maximum operational period of the key is 10 (ten) years for Digisign and 1 (one)
year for Subscriber.
6.4 Data Aktivasi / Activation Data

6.4.1 Aktivasi Generasi Data dan Instalasi - Activation Data Generation and
Installation
Aktivasi data dibuat secara otomatis oleh HSM yang cocok dan dikirimkan ke shareholder,
dimana shareholder tersebut adalah orang yang memiliki Peran Terpercaya.
Activation data is created automatically by the appropriate HSM and sent to the shareholder,
where the shareholder is a person who has a Trusted Role.
6.4.2 Perlindungan Data Aktivasi / Activation Data Protection
Aktivasi data Digisign dilindungi dari pengungkapan kerahasiaan. Perlindungan diberikan

melalui kombinasi antara kriptografi dan mekanisme kendali akses fisik. Aktivasi data Digisign
disimpan dalam token fisik.
Digisign data activation is protected from disclosure of confidentiality. Protection is provided

through a combination of cryptography and physical access control mechanisms. Digisign
activation data is stored in physical tokens.
6.4.3 Aspek Lain mengenai Data Aktivasi / Other Aspects of Activation Data
No Condition.
6.5 Kontrol Keamanan Komputer / Computer Security Control
6.5.1 Persyaratan Teknis Keamanan Komputer yang Spesifik/Khusus / Specific

Computer Security Technical Requirements
Digisign memastikan bahwa sistem yang menjaga perangkat lunak Digisign dan file data aman
dari akses yang tidak sah. Semua komputer yang merupakan bagian dari sistem Digisign telah
dikonfigurasi dan diperkuat (hardening) menggunakan praktik terbaik industri. Semua sistem
operasi membutuhkan identifikasi dan autentikasi untuk login yang di autentikasi. Ini
memberikan kontrol akses discretionary, pembatasan kontrol akses ke layanan berdasarkan
identitas yang diautentikasi, kemampuan audit keamanan, dan catatan audit yang dilindungi
untuk berbagi sumber daya, perlindungan diri, dan isolasi proses.
Digisign ensures that the systems that maintain Digisign software and data files are secure from
unauthorized access. All computers that are part of a Digisign system are configured and
hardened using industry best practices. All operating systems require identification and
authentication for authenticated logins. It provides discretionary access control, restricted
access control to services based on authenticated identities, security audit capabilities, and
protected audit records for resource sharing, self-protection, and process isolation.
Server Digisign yang terkait dengan kunci penandatanganan pribadi dioperasikan offline.
The Digisign server associated with the private signing key is operated offline.
Fungsi keamanan komputer berikut disediakan oleh sistem operasi, atau melalui kombinasi
sistem operasi, perangkat lunak, dan perlindungan fisik. Fungsi kemanan Digisign mencakup
namun tidak terbatas untuk:
a. Membutuhkan login terautentikasi;

b. Menyediakan Discretionary Access Control;
c. Menyediakan kapabilitas audit keamanan;
d. Memerlukan penggunaan kriptografi untuk sesi komunikasi dan keamanan basis data;
dan
e. Menyediakan perlindungan mandiri untuk sistem operasi.
The following computer security functions are provided by the operating system, or through a
combination of operating system, software, and physical protection. Digisign security functions
include but are not limited to:
a. Requires authenticated login;

b. Provide Discretionary Access Control;
c. Provide security audit capabilities;
d. Requires use of cryptography for communication sessions and database security; and
e. Provides self-protection for the operating system
Ketika peralatan Digisign di-host pada platform yang dievaluasi untuk mendukung persyaratan
jaminan keamanan komputer maka sistem (perangkat keras,perangkat lunak dansistem
operasi)beroperasi dalam konfigurasi yang dievaluasi. Minimal platform tersebut
menggunakan versi yang sama dari sistem operasi komputer seperti yang menerima penilaian
evaluasi.
When Digisign equipment is hosted on a platform that is evaluated to support computer security
assurance requirements then the system (hardware, software and operating system) operates
in the configuration that is evaluated. At a minimum the platform uses the same version of the
computer operating system as the one receiving the evaluation assessment.
Sistem komputer Digisign dikonfigurasi dengan akun yang diperlukan dan layanan jaringan
yang minimum.
Digisign computer systems are configured with the required accounts and minimum network
services.
6.5.2 Peringkat Keamanan Komputer / Computer Security Rank
Peringkat keamanan komputer Digisign telah memenuhi persyaratan keamanan yang sesuai
dengan matriks kontrol akses yang telah disertifikasi dengan ISO27001 dan hanya dapat
diakses oleh peran terpercaya.
Digisign's computer security rating meets the appropriate security requirements of the access
control matrix certified with ISO27001 and can only be accessed by trusted roles.
6.6 Kontrol Teknis Siklus Hidup / Technical Control Life Cycle
6.6.1 Kontrol Pengembangan Sistem / System Development Control
Seluruh perangkat peralatan dan fasilitas Digisign disesuaikan dengan spesifikasi dengan
tingkat keamanan yang telah disertifikasi dengan ISO27001. Setiap penambahan dan
perubahan dilakukan melalui mekanisme sesuai prosedur matriks kontrol akses, pengawasan
dari berbagai ancaman dilakukan dengan pembatasan akses kontrol di setiap peran.
All Digisign equipment and facilities are in accordance with specifications with a safety level
that has been certified with ISO27001. Each addition and change is carried out through a
mechanism according to the access control matrix procedure, monitoring of various threats is
carried out by restricting access control in each role.
6.6.2 Kontrol Manajemen Keamanan / Security Management Control
Konfigurasi dari sistem Digisign serta seluruh modifikasi dan upgrades didokumentasikan dan
dikontrol oleh Manajemen Digisign.
The configuration of the Digisign system and all modifications and upgrades are documented
and controlled by Digisign Management.
Mekanisme untuk mendeteksi modifikasi yang tidak sah ke perangkat lunak maupun konfigurasi
milik Digisign menggunakan File Integrity Monitoring (FIM).
A mechanism for detecting unauthorized modifications to Digisign's software or configuration

using File Integrity Monitoring (FIM).
6.6.3 Kontrol Keamanan Siklus Hidup / Life Cycle Security Control
Digisign melakukan pengawasan terhadap kebutuhan skema pemeliharaan untuk

mempertahankan tingkat kepercayaan perangkat keras dan perangkat lunak yang telah
dievaluasi dan disertifikasi oleh sistem keamanan informasi.
Digisign supervises the need for a maintenance scheme to maintain the level of trustworthiness
of hardware and software that have been evaluated and certified by the information security
system.
6.6.4 Kontrol Keamanan Jaringan / Network Security Control
Digisign menggunakan tindakan keamanan jaringan yang sesuai untuk memastikan agar
terjaga dari DoS dan serangan intrusi. Langkah-langkah tersebut termasuk penggunaan firewall
dan menyaring router. Port dan layanan jaringan yang tidak digunakan dimatikan.
Digisign uses appropriate network security measures to ensure that it is protected against DoS
and intrusion attacks. Such measures include the use of firewalls and filtering routers. Unused
network ports and services are turned off.
6.6.5 Stempel Waktu / Timestamp
Jam server online Digisign disinkronkan menggunakan Network Time Protocol. Waktu server
offline disinkronkan secara manual. Sebuah otoritas khusus untuk menyediakan waktu yang
terpercaya juga bisa digunakan jika perlu, misalnya dengan membentuk sebuah otoritas
timestamp tersendiri. Waktu yang didapat dari layanan waktu diatas akan digunakan untuk
menentukan waktu pada saat:
a. Validitas waktu permulaan untuk sebuah Sertifikat Digisign;

b. Pencabutan Sertifikat Digisign;
c. Pembaruan CRL; dan
d. Penerbitan Sertifikat Pemilik dan entitas.
Digisign's online server clocks are synchronized using the Network Time Protocol. The offline
server time is manually synced. A special authority to provide reliable times can also be used if
necessary, for example by establishing a separate timestamp authority. The time obtained from
the above time service will be used to determine the time when:
a. Start-up validity for a Digisign Certificate;

b. Digisign Certificate Revocation;
c. CRL updates; and
d. Issuance of Subscriber and entity Certificates.
Prosedur elektronik atau manual digunakan untuk tetap mempertahankan akurasi waktu pada
sistem. Pencocokan jam merupakan sebuah aktivitas yang dapat diaudit.
Electronic or manual procedures are used to maintain time accuracy in the system. Hours
matching is an auditable activity.
7 SERTIFIKAT, CRL, DAN PROFIL OCSP / CRL CERTIFICATE AND OCSP PROFILE
7.1 Profil Sertifikat / Certificate Profile
Profil Sertifikat mengikuti RFC 5280 "Infrastruktur Kunci Publik Internet X.509: Sertifikat dan
CRL Profil" yang digunakan. Digisign melakukan review terhadap profil Sertifikat secara berkala
paling sedikit setahun sekali.
Certificate Profiles following RFC 5280 "X.509 Internet Public Key Infrastructure: Certificates
and Profile CRLs" are used. Digisign reviews the Certificate profile regularly at least once a
year.
7.1.1 Nomor Versi / Version Number (s)
Digisign menerbitkan Sertifikat X.509 v3 (mengisi versi field dengan integer “2”).
Digisign issues an X.509 v3 Certificate (fill in the version field with the integer “2”).
7.1.2 Ekstensi Sertifikat / Certificate Extension
Digisign menggunakan ekstensi Sertifikat standar yang sesuai dengan RFC 5280.
Digisign uses standard Certificate extensions that are compliant with RFC 5280.
7.1.2.1 Penggunaan Kunci / Key Usage
Penggunaa Kunci yang digunakan untuk Sertifikat Digisign ditunjukan dalam tabel dibawah.
Key Usage used for Digisign Certificates is shown in the table below.
Tabel 4:
Penggunaan Kunci untuk Sertifikat Digisign / Digisign Certificate KeyUsage
Sertifikat Pemilik
Sertifikat Digisign
Field Subscriber’s
Certificate
Certificate
Critical True True
digitalSignature False True
nonrepudiation False True
keyEncipherment False False
dataEncipherment False False
keyAgreement False False
keyCertSign True False
cRLSign True False
encipherOnly False False
decipherOnly False False

7.1.2.2 Perluasan Kebijakan Sertifikat / Certificate Policy Extension
Ekstensi Kebijakan Sertifikat dari Sertifikat X.509 versi 3 diisi dengan mengidentifikasi objek
untuk CP Digisign sesuai dengan bagian CPS 7.1.6 (Mengidentifikasi Objek Kebijakan
Sertifikat) dan dengan kualifikasi kebijakan yang ditetapkan pada bagian 7.1.8. Field criticality
ekstensi ini disetel ke FALSE.
The Certificate Policy Extension of the X.509 Certificate version 3 is populated by identifying
the object for the Digisign CP in accordance with section CPS 7.1.6 (Identifying Certificate Policy
Objects) and with the policy qualification specified in section 7.1.8. The criticality field of this
extension is set to FALSE.
7.1.2.3 Batasan Dasar / Basic Constraint
Ekstensi Basic Constraints Sertifikat X.509 Versi 3 memiliki field Digisign yang diisi TRUE.
Ekstensi Basic Constraints Sertifikat Pengguna Akhir harus memiliki field Digisign yang diisi
FALSE. Field criticality dari ekstensi ini diisi TRUE untuk Sertifikat Digisign, tapi boleh diisi
TRUE atau FALSE bagi Sertifikat Pemilik.
The X.509 Version 3 Certificate Basic Constraints Extension has a Digisign field set to TRUE.
The End User Certificate Basic Constraints extension must have a Digisign field set to FALSE.
The criticality field of this extension is set to TRUE for Digisign Certificates, but can be set to
TRUE or FALSE for Subscriber Certificates.
7.1.2.4 Penggunaan Kunci yang Diperluas / Extended Key Usage
Secara baku, Extended Key Usage diatur sebagai suatu ekstensi non-kritikal.
Sertifikat Digisign memuat ekstensi Extended Key Usage sebagai suatu bentuk dari
pembatasan teknis pada penggunaan Sertifikat- yang diterbitkan.
By default, Extended Key Usage is set as a non-critical extension.
Digisign certificates contain an Extended Key Usage extension as a form of technical restriction
on the use of the issued Certificate.
7.1.2.5 Titik Distribusi CRL / CRL Distribution Points
Sertifikat Digisign X.509 versi 3 mencakup ekstensi cRLDistribution Points yang berisi URL
lokasi tempat Pihak Pengandal dapat memperoleh CRL untuk memeriksa status Penerbitan
Sertifikat Digisign. Field criticality dari ekstensi ini disetel ke FALSE.
The Digisign X.509 version 3 certificate includes the cRLDistribution Points extension which
contains the URL of the location where Relying Parties can obtain CRLs to check the Issuance
status of the Digisign Certificate. The criticality field of this extension is set to FALSE.
7.1.2.6 Pengidentifikasi Kunci Otoritas / Authority Key Identifier
Digisign umumnya mengisi ekstensi Pengidentifikasi Kunci Otoritas dari X.509 Versi 3 yang
menerbitkan Sertifikat Digisign. Ketika Digisign mengandung ekstensi Pengidentifikasi Kunci
Subyek, Pengidentifikasi Kunci Otoritas terdiri dari 160-bit SHA-1 hash dari kunci publik
Digisign. Field criticality dari ekstensi ini disetel ke FALSE.
Digisign generally populates the Authority Key Identifier extension of X.509 Version 3 which
issues Digisign Certificates. While Digisign contains the Subject Key Identifier extension, the
Authority Key Identifier consists of a 160-bit SHA-1 hash of the Digisign public key. The criticality
field of this extension is set to FALSE.
7.1.2.7 Pengidentifikasi Kunci Subjek / Subject Key Identifier
Digisign mengisi X.509 versi 3 menerbitkan Sertifikat Digisign dengan ekstensi subject Key
Identifier, key Identifier berdasarkan Kunci Publik dari subjek Sertifikat dihasilkan sesuai dengan
salah satu metode yang dijelaskan dalam RFC 5280. Field criticality dari ekstensi ini disetel ke
FALSE.
Digisign fills X.509 version 3 issues Digisign Certificate with subject Key Identifier extension,
key Identifier based on Public Key of subject Certificate is generated according to one of the
methods described in RFC 5280. The criticality field of this extension is set to FALSE.
7.1.3 Pengidentifikasi Objek Algoritma / Algorythm Object Identifier
Pengidentifikasi objek algoritma kriptografi diisi sesuai dengan standar dan rekomendasi RFC
5280.
The object identifier of the cryptographic algorithm is filled in according to the standards and
recommendations of RFC 5280.
OID standar X.509v3 digunakan, algoritma enkripsi RSA untuk kunci subjek dan SHA256
dengan enkripsi RSA untuk tanda tangan Sertifikat.
X.509v3 standard OID is used, RSA encryption algorithm for subject key and SHA256 with RSA
encryption for Certificate signature.
sha256withRSAEncryption OBJECT IDENTIFIER::= {iso(1) member-body(2) us(840)

rsadsi(113549) pkcs(1) pkcs-1 (1) 11}
sha256withRSAEncryption OBJECT IDENTIFIER::= {iso(1) member-body(2) us(840)

rsadsi(113549) pkcs(1) pkcs-1 (1) 11}
7.1.4 Format Nama / Name Forms
Sesuai konvensi penamaan dan batasan yang tercantum dalam bagian 3.1.
As per the naming conventions and limitations listed in section 3.1.
7.1.5 Batasan Nama / Name Contraints
Sesuai konvensi penamaan dan batasan yang tercantum dalam bagian 3.1.
As per the naming conventions and limitations listed in section 3.1.
7.1.6 Pengidentifikasi Objek Kebijakan Sertifikat / Certificate Policy Object Identifier
OID yang menggabungkan CPS ini ke dalam Sertifikat berdasarkan referensi yang tercantum
pada bagian 1.2 (Nama dan Identifikasi Dokumen).
OID that combine CPS in the certificate based by the reference stated on section 1.2(Name and
Document Identification)
7.1.7 Penggunaan Ekstensi Batasan Kebijakan / Restrictions Extension Use Policy
No Condition.
7.1.8 Kualifikasi Kebijakan Sintaksis dan Semantik / Syntax and Semantic Policy
Qualification
No Condition.
7.1.9 Memproses Semantik untuk Ekstensi Kebijakan Sertifikat Kritis / Processing

Semantics for Critical Certificate Policy Extensions
No Condition.
7.2 Profil CRL / CRL Profile
7.2.1 Nomor Versi / Version Number(s)
Digisign menerbitkan CRL X.509 versi 2.

Digisign issues CRL X.509 Ver2.
7.2.2 Ekstensi Entry CRL dan CRL / CRL Entry Extension and CRL
Digisign menggunakan CRL dan CRL entry extension sesuai dengan RFC 5280.
Digisign utilizes the CRL and CRL entry extensions according to RFC 5280.
7.3 Profil OCSP / OCSP Profile
Digisign mengoperasikan sebuah responder Online Certificate Status Protocol (OCSP) yang
sesuai dengan RFC 6960 atau RFC 5019.
Digisign operates an Online Certificate Status Protocol (OCSP) responder that is compliant with
RFC 6960 or RFC 5019.
7.3.1 Nomor Versi / Version Number
Digisign menerbitkan respon OCSP versi 1.
Digisign Issues OCSP Ver1 response
7.3.2 Ekstensi OCSP / OCSP Extension
No Condition
8 AUDIT KEPATUHAN DAN PENILAIAN LAINNYA / COMPLIANCE AUDITS AND

OTHER ASSESSMENTS
Semua kebijakan yang terdapat dalam CPS ini mencakup semua bagian yang relevan dari
standar IKP yang saat ini diterapkan untuk berbagai macam industri IKP vertikal, dimana
industri-industri tersebut membutuhkan Digisign agar bisa beroperasi.
All policies contained in this CPS cover all relevant parts of the PKI standard currently applied
to various vertical PKI industries, where these industries require Digisign to operate.
Digisign diaudit berdasarkan CP CPS Digisign dan seluruh sistem Digisign.
Digisign is audited against the Digisign CP CPS and the entire Digisign system.
Digisign menjalani audit kepatuhan dan menyampaikan laporan secara berkala yang
dipersyaratkan oleh Peraturan Menteri Komunikasi dan Informatika yang mengatur tentang
Penyelenggaraan Sertifikat Elektronik.
Digisign undergoes a compliance audit and submits periodic reports as required by the
Regulation of the Minister of Communication and Information which regulates the
Implementation of Electronic Certificates.
8.1 Frekuensi atau Keadaan Asesmen / Assesment Frequency and Condition
Digisign menjalani audit kepatuhan setiap terjadi perubahan yang signifikan terhadap prosedur
dan teknik yang diterapkan secara berkala terhadap skema yang telah ditetapkan paling sedikit
1 (satu) tahun sekali. . Digisign menjalani audit kepatuhan dan menyampaikan laporan berkala
tidak kurang dari sekali setahun yang dipersyaratkan oleh Peraturan Menteri Komunikasi dan
Informatika yang mengatur tentang Penyelenggaraan Sertifikat Elektronik.
Digisign undergoes a compliance audit every time there is a significant change to the
procedures and techniques that are applied periodically to the established scheme at least once
a year. . Digisign undergoes a compliance audit and submits periodic reports no less than once
a year as required by the Regulation of the Minister of Communication and Information which
regulates the Implementation of Electronic Certificates.
8.2 Identitas / Kualifikasi Asesor / Assesor Identity/Qualification
Auditor yang dipakai menunjukkan kompetensi pada bidang audit kepatuhan, dan benar-benar
memahami persyaratan CPS ini. Auditor kepatuhan melakukan audit kepatuhan sebagai
tanggung jawab utama.
The auditors employed demonstrate competence in the field of compliance auditing, and fully
understand the requirements of this CPS. Compliance auditors perform compliance audits as
the primary responsibility.
Auditor kepatuhan memiliki kualifikasi sebagai berikut:
a. Auditor dilaksanakan oleh tim asesmen independen yang qualified;

b. Auditor memiliki pengetahuan yang cukup tentang tanda tangan elektronik, Sertifikat,
X.509 versi 3 PKI Certificate Policy and Certification Practices Framework, UU
tentang ITE, PP tentang PSTE, Peraturan Menteri Komunikasi dan Informatika yang
mengatur tentang Penyelenggaraan Sertifikat Elektronik;
c. Memiliki kecakapan dalam audit keamanan informasi, peralatan dan teknik keamanan
informasi, dan teknologi IKP;
d. Auditor memiliki bukti bahwa dirinya memenuhi kualifikasi auditor untuk suatu skema
audit. Bisa dibuktikan dengan sertifikasi, akreditasi, lisensi, atau asesmen lain yang sah;
dan
e. Menguasai set keahlian tertentu, pengujian kompetensi, langkah-langkah jaminan
kualitas seperti tinjauan sejawat, standar berkenaan dengan penugasan staf yang tepat,
hingga keterlibatan dan persyaratan untuk melanjutkan pendidikan profesional.
Compliance auditors have the following qualifications:
a. The auditor is carried out by a qualified independent assessment team;

b. Auditors have sufficient knowledge of electronic signatures, certificates, X.509 version
3 PKI Certificate Policy and Certification Practices Framework, UU ITE, PP on PSTE,

Regulation of the Minister of Communication and Information which regulates the
Implementation of Electronic Certificates;
c. Have skills in information security audits, information security equipment and
techniques, and PKI technology;
d. The auditor has evidence that he or she meets the auditor's qualifications for an audit
scheme. Can be proven by certification, accreditation, license, or other valid
assessment; and
e. Mastering certain skill sets, competency testing, quality assurance measures such as
peer review, standards regarding proper staff assignment, to engagement and
requirements for continuing professional education.
8.3 Hubungan Asesor dengan Badan yang Dinilai / Assesor Relationship with the
Assesed Entity
Digisign memilih auditor/asesor yang independen.
Digisign appoints independent auditor/assessor.
8.4 Topik yang Dicakup oleh Asesmen / Topics Covered By The Assesment
Audit yang dilaksanakan memenuhi kebutuhan dan disesuaikan dengan skema audit yang
digunakan dalam asesmen. Kebutuhan-kebutuhan tersebut bisa berbeda seiring dengan
diperbaruinya skema audit. Sebuah skema audit akan berlaku pada tahun berikutnya setelah
Digisign mengadopsi skema yang terbaru.
The audits carried out meet the needs and are adjusted to the audit scheme used in the
assessment. These requirements may vary as the audit scheme is updated. An audit scheme
will take effect the following year after Digisign adopts the new scheme.
8.5 Tindakan yang Diambil sebagai Hasil dari Kekurangan / Actions Taken Resulting
From The Deficiencies
Digisign menyusun rencana tindakan perbaikan yang akan dilaksanakan untuk memperbaiki
kekurangan yang tercatat berdasarkan masukan dari auditor.
a. Auditor kepatuhan memberitahu Kominfo tentang ketidaksesuaian.

b. Pihak yang bertanggung jawab untuk memperbaiki ketidaksesuaian menentukan
pemberitahuan atau tindakan lebih lanjut apa yang diperlukan sesuai dengan
persyaratan CP dan kontrak masing-masing, kemudian melanjutkan untuk membuat
pemberitahuan tersebut dan melakukan tindakan tersebut tanpa penundaan.
Digisign prepares a corrective action plan that will be implemented to correct the deficiencies
recorded based on input from the auditor.
a. Compliance auditors notify Kominfo of non-conformities.

b. The party responsible for correcting the non-conformity determines what notice or further
action is required pursuant to the terms of the CP and their respective contract, then
proceeds to make such notice and take such action without delay.
8.6 Komunikasi Hasil / Result Communication
Laporan Kepatuhan Audit, termasuk identifikasi tindakan perbaikan yang dilakukan atau diambil
oleh komponen, diberikan kepada Policy Authority sebagaimana diatur pada bagian 8.1.
Laporan tersebut mengidentifikasi versi CP dan CPS yang digunakan dalam asesmen. Selain
itu, hasilnya dikomunikasikan sebagaimana dimaksud pada bagian 8.5.
The Audit Compliance Report, including identification of corrective actions taken or taken by the
component, is provided to the Policy Authority as stipulated in section 8.1. The report identifies
the CP and CPS versions used in the assessment. In addition, the results are communicated
as referred to in section 8.5.
8.7 Internal Audit
Audit pada sistem operasional direncanakan dan disepakati untuk meminimalkan risiko
gangguan pada proses bisnis.
Audits on operational systems are planned and agreed to minimize the risk of disruption to
business processes.
9 BISNIS LAIN DAN MASALAH HUKUM / OTHER BUSINESS AND LEGAL MATTERS
9.1 Biaya / Fee
9.1.1 Biaya Penerbitan atau Pembaruan Sertifikat / Certificate Accessing Fee
Digisign mengenakan biaya administrasi dalam menerbitkan atau memperbarui Sertifikat

Pemilik termasuk dalam hal penerbitan ulang Sertifikat yang mengacu pada Peraturan Menteri
Komunikasi dan Informatika terkait Penyelenggaraan Sertifikasi Elektronik yaitu di di
https://digisign.id/idn-daftar-harga.html.
Digisign charges administrative fees in issuing or renewing Subscriber's Certificates, including

in the case of re-issuance of Certificates referring to the Regulation of the Minister of
Communication and Information regarding the Implementation of Electronic Certification,
namely at https://digisign.id/idn-daftar-harga.html.
9.1.2 Biaya Pengaksesan Sertifikat / Revocation or Status Information Access Fee
Digisign tidak mengenakan biaya administrasi kepada Pemilik dan Pihak Pihak Pengandal
untuk mengakses repositori Digisign.
Digisign does not charge administration fees to Subscriber and Relying Parties to access
Digisign repositories.
9.1.3 Biaya Pengaksesan Informasi Pencabutan atau Status / Charges for Accessing
Revocation or Status Information
Digisign tidak mengenakan biaya kepada Pemilik dan Pihak Pihak Pengandal untuk mengakses
daftar pencabutan atau status informasi.
Digisign does not charge Subscriber and Relying Parties for access to revocation lists or status
information.
9.1.4 Biaya Layanan Lainnya / Other Service Fee
Digisign dapat mengenakan biaya untuk layanan tambahan lainnya,
Digisign may charge fees for other additional services,
9.1.5 Kebijakan Pengembalian / Refund Policy
Digisign tidak menyediakan kebijakan pengembalian biaya.
Digisign shall not provide fee refunds.
9.2 Tanggung Jawab Keuangan / Financial Liabilities
9.2.1 Cakupan Asuransi / Insurance Coverage
Digisign menjamin kerugian akibat kegagalan verifikasi Sertifikat pemilik, sesuai dengan
Peraturan Pemerintah Nomor 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi
Elektronik dan Peraturan Menteri Komunikasi dan Informatika tentang Penyelenggaraan
Sertifikasi Elektronik.
Digisign guarantees losses due to failure to verify the Subscriber's Certificate, in accordance
with Government Regulation Number 71 of 2019 concerning the Implementation of Electronic
Systems and Transactions and the Regulation of the Minister of Communication and
Information concerning the Implementation of Electronic Certification.
Digisign menjamin kerugian akibat kegagalan verifikasi Sertifikat pemilik. Kebijakan jaminan
dapat dilihat di halaman repositori Digisign: https://repository.digisign.id.
Digisign guarantees losses due to failure of Subscriber Certificate verification. The warranty
policy can be found on the Digisign repository page: https://repository.digisign.id.
9.2.2 Aset lainnya / Other Asset
Digisign menjamin bahwa Digisign memiliki modal usaha yang cukup untuk mendukung
kegiatan operasional dan fungsinya.
Digisign guarantees that Digisign has sufficient working capital to support its operational
activities and functions.
9.2.3 Jaminan Asuransi atau Garansi untuk Entitas Akhir / Insurance or Warranty for
End-Entity
Digisign menyediakan Jaminan / Garansi untuk para Pemilik Sertifikat jika Digisign sengaja atau
lalai seperti yang diatur pada Peraturan Pemerintah Nomor 71 tahun 2019. Tentang
Penyelenggaraan Sistem dan Transaksi Elektronik Pasal 58. Kebijakan jaminan dapat dilihat di
halaman repositori Digisign: https://repository.digisign.id
Digisign provides guarantee for Certificate Subscribers if Digisign intentionally or negligently is

as regulated in Government Regulation Number 71 of 2019. Regarding System Operation and
Electronic Transactions Article 58. The guarantee policy can be seen on the Digisign repository
page: https://repository.digisign.id
9.3 Kerahasiaan Informasi Bisnis / Business Information Confidentiality
9.3.1 Cakupan Informasi Rahasia / Scope of Confidential Information
Digisign memperhatikan dan menyediakan penanganan khusus untuk kategori informasi

rahasia, yang termasuk dalam kategori informasi rahasia antara lain:
a. Informasi pribadi sebagaimana diatur pada bagian 9.4;

b. Kunci Privat Pemilik Sertifikat yang disimpan oleh Digisign, dan informasi yang
dibutuhkan untuk menggunakan Kunci Privat tersebut oleh Pemilik Sertifikat;
c. Catatan Permohonan Sertifikat;
d. Hasil penilaian kerentanan;
e. Rekam jejak audit (audit logs) dari sistem Digisign;
f. Data aktivasi pada saat pengaktifan Kunci Privat Digisign sebagaimana diatur pada
bagian 6.4;
g. Dokumentasi bisnis proses Digisign termasuk dokumen Disaster Recovery Plans (DRP)
and Business Continuity Plans (BCP); dan
h. Laporan audit dari auditor independen sebagaimana diatur pada Bagian 8.0.
Digisign pays attention to and provides special handling for the category of confidential
information, which is included in the category of confidential information, including:
a. Personal information as set out in section 9.4;

b. The Certificate Subscriber's Private Key stored by Digisign, and the information required
to use the Certificate Subscriber’s Private Key;
c. Certificate Application Notes;
d. Vulnerability assessment results;
e. Audit track records (audit logs) of the Digisign system;

f. Activation data at the time of activating the Digisign Private Key as set out in section 6.4;
g. Digisign business process documentation including Disaster Recovery Plans (DRP) and
Business Continuity Plans (BCP) documents; and
h. Audit reports from independent auditors as set out in Section 8.0.
9.3.2 Informasi yang Tidak Dalam Cakupan Informasi yang Rahasia / Information Not
Within the Scope of Confidential Information
Informasi yang tidak dikategorikan rahasia dalam dokumen CP dianggap informasi public.
Sertifikat dan informasi mengenai status Sertifikat termasuk kategori informasi public.
Information that is not classified as confidential in a CP document is considered public

information. Certificates and information on the status of Certificates belong to the category of
public information.
9.3.3 Tanggung Jawab untuk Melindungi Informasi yang Rahasia / Responsibilities in

Protecting Confidential Information
Digisign melindungi informasi rahasia. Bentuk pelaksanaan tanggung jawab dalam hal
perlindungan informasi rahasia mencakup namun tidak terbatas pada:
a. Pelatihan atau peningkatan awareness;

b. Perjanjian kontrak pegawai; dan
c. NDA (NonDisclosure Agreement) dengan pegawai, pegawai outsource, dan rekanan.
Digisign protects confidential information. The form of implementation of responsibilities in terms

of protection of confidential information includes but is not limited to:
a. Training or awareness raising;

b. Employee contract agreement; and
c. NDA (NonDisclosure Agreement) with employees, outsourced employees, and partners.
9.4 Privasi Informasi Pribadi / Personal Information Privacy
9.4.1 Rencana Privasi Privacy Plan
Digisign melindungi informasi pribadi dalam kaitan dengan “Kebijakan Privasi“ yang
dipublikasikan dalam halaman repositori Digisign https://repository.digisign.id
Digisign protects personal information in relation to the “Privacy Policy” published on the
Digisign repository page https://repository.digisign.id
9.4.2 Informasi yang Dianggap Pribadi / Information Treated as Private
Digisign melindungi semua informasi identitas pribadi Pemilik dari pengungkapan yang tidak
sah. Informasi Pemilik dapat dirilis atas permintaan Pemilik atau sebagaimana diatur oleh
hukum yang berlaku. Arsip yang dikelola oleh Digisign tidak boleh dirilis kecuali yang diizinkan
pada bagian 9.4.1.
Digisign protects all of the Subscriber's personally identifiable information from unauthorized
disclosure. Subscriber Information may be released at Subscriber's request or as required by
applicable law. Archives maintained by Digisign may not be released except as permitted in
9.4.1.
9.4.3 Informasi yang tidak Dianggap Pribadi / Information not Deemed Private
Informasi yang termasuk dalam Bagian 7 (Sertifikat, CRL dan OCSP) dari CPS ini tidak
termasuk dalam bagain 9.4.2.
Information included in Section 7 (Certificates, CRL and OCSP) of this CPS is not included in
section 9.4.2
9.4.4 Tanggung Jawab Melindungi Informasi Pribadi / Responsibilities in Protecting

Private Information
Digisign bertanggung jawab untuk menyimpan informasi pribadi sesuai dengan Kebijakan
Privasi secara aman. Informasi yang disimpan berbentuk digital. Backup informasi pribadi
dienkripsi setiap akan dipindahkan ke media backup.
Digisign shall be responsible for securely storing personal information in accordance with the
Privacy Policy. The information stored is in digital form. Backup personal information is
encrypted every time it is moved to the backup media.
9.4.5 Catatan dan Persetujuan untuk memakai Informasi Pribadi / Notes and Consent
to Use Private Information
Informasi pribadi yang diperoleh dari Pemohon pada saat proses pendaftaran termasuk
informasi rahasia sehingga perlu persetujuan dari Pemohon supaya dapat menggunakan
informasi tersebut. Digisign mengakomodir semua ketentuan terkait penggunaan informasi
pribadi ke dalam Perjanjian Kepemilikan Sertifikat / Subscriber Agreement.
Personal information obtained from the Applicant during the registration process is classified as
confidential information, so it requires approval from the Applicant in order to use the
information. Digisign accommodates all provisions related to the use of personal information
into the Certificate Subscriber Agreement / Subscriber Agreement.
9.4.6 Pengungkapan Berdasarkan Proses Peradilan atau Administratif / Disclosures

Based on Judicial or Administrative Process
Digisign tidak membuka informasi pribadi kepada pihak ketiga manapun kecuali yang diberikan
kewenangan oleh CP / CPS, diwajibkan oleh hukum, aturan, atau perintah pengadilan.
Digisign does not disclose personal information to any third party except as authorized by CP /
CPS, required by law, regulation or court order.
9.4.7 Keadaan Pengungkapan Informasi Lain / Circumstances of Disclosure of Other

Information
No Condition.
9.5 Hak atas Kekayaan Intelektual / Intellectual Property Rights
Semua hak kekayaan intelektual Digisign termasuk semua merek dagang dan hak cipta dari
semua dokumen Digisign tetap menjadi milik tunggal dari Digisign.
All Digisign intellectual property rights including all trademarks and copyright of all Digisign
documents remain the sole property of Digisign.
9.6 Pernyataan dan Jaminan / Statements and Warranty
9.6.1 Pernyataan dan Jaminan Digisign / Digisign Statements and Waranty
Digisign menyatakan dan menjamin, sejauh yang ditentukan dalam CPS, bahwa:
a. Digisign mematuhi ketentuan yang diatur dalam CPS ini;

b. Digisign menerbitkan dan memperbarui CRL secara berkala;
c. Seluruh Sertifikat yang diterbitkan akan memenuhi syarat yang diatur berdasarkan CPS
ini; dan
d. Digisign menampilkan informasi yang dapat diakses secara publik melalui repositorinya.
Digisign State and Warrant, as what is set in CPS that:
a. Digisign complies to the provision that is set in this CPS

b. Digisign publish and renew CRL periodically
c. All Certificate that is published will comply to the requirements that is set under this CPS
d. Digisign shows information that can be access publicly through the repository.
9.6.2 Pernyataan dan Jaminan RA / RA Statements and Warranty
Digisign tidak menerapkan RA.
Digisign does not implement RA.
9.6.3 Pernyataan dan Jaminan Pemilik / Subscriber Statements and Warranty
Pemilik Sertifikat menjamin bahwa:
a. Setiap Sertifikat yang dibuat menggunakan Kunci Privat serta berkorespondensi dengan
Kunci Publik yang tercantum pada Sertifikat merupakan tanda tangan elektronik Pemilik
dan Sertifikat yang sudah disetujui serta secara operasional (tidak kedaluarsa dan telah
dicabut) saat tanda tangan elektronik dibuat;
b. Setiap Kunci Privat diamankan dan hanya Pemilik Sertifikat yang memiliki akses
terhadap Kunci Privat tersebut;
c. Sudah melakukan review terhadap informasi dari Sertifikat;
d. Semua informasi yang diberikan oleh Pemilik Sertifikat dan informasi yang berada di
dalam Sertifikat adalah benar;
e. Sertifikatdigunakan hanya untuk tujuan yang legal dan diperbolehkan sesuai dengan
kebutuhan yang ada dalam CPS ini;
f. Segera:
(i) melakukan permohonan untuk melakukan pencabutan dan mengakhiri

penggunaan Sertifikat dan Kunci Privat yang terasosiasi, jika terdapat hal
mencurigakan dan penyalahgunaan atau kebocoran dari Kunci Privat Pemilik
yang terasosiasi dengan Kunci Publik yang termasuk di dalam Sertifikat;
(ii) mengajukan permohonan untuk melakukan pencabutan Sertifikat, dan berhenti

menggunakannya, jika ada informasi apa pun yang tidak sesuai atau menjadi
tidak sesuai di dalam Sertifikat tersebut; dan
(iii) menghentikan penggunaan Kunci Privat yang kunci publiknya tercantum dalam
Sertifikatsetelah Sertifikat dicabut.
g. Akan menanggapi permohonan Pemilik Digisign tentang compromise atau

penyalahgunaan Sertifikat.
h. Menyetujui dan menerima bahwa Digisign diberikan kewenangan untuk segera

melakukan pencabutan Sertifikat jika Pemilik melakukan pelanggaran atas ketentuan
yang tercantum dalam Perjanjian Kepemilikan Sertifikat atau jika Digisign menemukan
bahwa Sertifikat tersebut digunakan untuk mempermudah tindakan kriminal seperti
phising, penipuan atau pendistribusian malware; dan
i. Pengguna akhir dan bukan merupakan Digisign, dan tidak menggunakan Kunci Privat
yang Kunci Publiknya tercantum dalam Sertifikat untuk tujuan penandatangan Sertifikat
PSrE lain.
The Certificate Subscriber warrants that:
a. Every Certificate created using a Private Key and corresponding to the Public Key listed
on the Certificate is the electronic signature of the Subscriber and the Certificate that
has been approved and operationally (not expired and has been revoked) when the
electronic signature is made;
b. Each Private Key is secured and only the Certificate Subscriber has access to the
Private Key;
c. Have reviewed the information from the Certificate;
d. All information provided by the Certificate Subscriber and the information contained in
the Certificate is correct;
e. Certificates are used only for legal purposes and are permitted in accordance with the
requirements contained in this CPS;
f. Immediately:
(i) request to revoke and terminate the use of the Certificate and its associated
Private Key, if there is any suspicious activity and misuse or leakage of the
Subscriber's Private Key associated with the Public Key included in the
Certificate;
(ii) apply for revocation of the Certificate, and stop using it, if any information is
inconsistent or becomes inappropriate in the Certificate; and
(iii) discontinue use of the Private Key whose public key is listed in the Certificate
after the Certificate has been revoked.
g. respond to requests from Digisign regarding compromise or misuse of Certificates.
h. Agree and accept that Digisign is authorized to immediately revoke the Certificate if
subscriber violates the provisions contained in the Certificate Subscriber Agreement or
if Digisign finds that the Certificate is used to facilitate criminal acts such as phishing,
fraud or distribution of malware; and
i. End users and not Digisign, and may not use the Private Key whose Public Key is listed
in the Certificate for the purpose of signing other PSrE Certificates.
9.6.4 Pernyataan dan Jaminan Pihak Pengandal / Relying Parties Statements and
Warranty
Pihak Pengandal Sertifikat Digisign menjamin bahwa:
a. Memiliki kemampuan teknis untuk menggunakan Sertifikat;
b. Apabila perwakilan dari Pihak Pengandal menggunakan suatu Sertifikat yang diterbitkan
oleh Digisign, Pihak Pengandal harus secara benar memverifikasi informasi yang
tercantum di dalam Sertifikat sebelum digunakan dan menanggung akibat apapun yang
terjadi jika lalai dalam melakukan hal tersebut;
c. Mewajibkan Pihak Pengandal untuk mengakui bahwa Pihak Pengandal memiliki cukup
informasi untuk membuat keputusan berdasarkan informasi sejauh mana Pihak
Pengandal memilih untuk bergantung pada informasi dalam Sertifikat, bahwa Pihak
Pengandal sepenuhnya bertanggung jawab untuk memutuskan apakah bergantung
atau tidak pada informasi tersebut, dan Pihak Pengandal akan menanggung
konsekuensi hukum dari kegagalan memenuhi kewajiban Pihak Pengandal yang ada
pada CPS ini; dan
d. Harus mematuhi ketentuan yang ditetapkan di CPS dan perjanjian lain yang terkait.
The Digisign Certificate Relying Party warrants that:
a. Have the technical ability to use the Certificate;
b. If a representative of a Relying Party uses a Certificate issued by Digisign, the Relying

Party must properly verify the information contained in the Certificate before use and
bear any consequences if it fails to do so;
c. Requires the Relying Party to recognize that the Relying Party has sufficient information
to make an informed decision as to the extent to which the Relying Party chooses to rely
on the information in the Certificate, that the Relying Party is solely responsible for
deciding whether or not to rely on such information, and the Relying Party will bear the
consequences the law of failure to fulfill the Relying Party's obligations under this CPS;
and
d. Must comply with the conditions set out in the CPS and other relevant agreements.
9.6.5 Pernyataan dan Jaminan dari Partisipan Lain / Other Participants Statements
and Warranty
No Condition
9.7 Pelepasan Jaminan / Warranty Release
Digisign membuat pernyataan dalam CPS bahwa Digisign tidak menjamin:
a. Kecuali untuk jaminan yang telah tercantum dalam CPS, kontrak perjanjian, Kebijakan
Jaminan, Kebijakan Privasi, Perjanjian Kepemilikan Sertifikat / Subscriber Agreement
dan Perjanjian Pihak Pengandal / relying party agreement dan sepanjang diizinkan oleh
hukum, Digisign mengabaikan semua jaminan atau kondisi lainnya (tersurat, tersirat,
lisan atau tertulis), termasuk jaminan apa pun yang dapat diperjualbelikan atau
kesesuaian untuk tujuan tertentu;
b. Penyalahgunaan Sertifikat yang tidak sesuai dengan peruntukannya yang diatur pada
bagian 4.5 (Penggunaan Sertifikat / Certificate Usage); dan
c. Keakuratan, keaslian, kelengkapan, atau kesesuaian dari setiap informasi yang ada
dalam demo atau testing Sertifikat.
As stated in the CPS that Digisign does not warrant:
a. Except for the warranties set forth in the CPS, contractual agreements, Warranty Policy,
Privacy Policy, Certificate Subscriber Agreement / subscriber agreement and relying
party agreement and to the extent permitted by law, Digisign disclaims all warranties or
other conditions (expressed, implied, verbal or written), including any warranties of
merchantability or fitness for a particular purpose;
b. Misuse of Certificates that are not in accordance with their designation as regulated in
section 4.5 (Certificate Usage); and
c. The accuracy, authenticity, completeness or suitability of any information contained in

the demonstration or testing of the Certificate.
9.8 Pembatasan Tanggung Jawab / Limitation of Liabilities
9.8.1 Pembatasan Tanggung Jawab Digisign – Digisign Limitation of Liabilities
Digisign tidak bertanggung jawab atas penggunaan Sertifikat yang tidak tepat, termasuk:
a. Semua kerusakan yang dihasilkan dari penggunaan Sertifikat atau pasangan kunci
dengan cara lain selain didefinisikan dalam CPS, Perjanjian Kepemilikan Sertifikat, atau
yang diatur dalam Sertifikat itu sendiri;
b. Semua kerusakan yang disebabkan oleh force majeure; dan
c. Semua kerusakan yang disebabkan oleh malware (seperti virus atau Trojans) di luar
perangkat Digisign.
Digisign shall not be held responsible for improper use of Certificates, including:
a. Any damages resulting from the use of the Certificate or key pair in a manner other than
as defined in the CPS, the Certificate Subscriber Agreement, or as provided for in the
Certificate itself;
b. All damages caused by force majeure; and
c. Any damage caused by malware (such as viruses or Trojans) outside the Digisign
device.
9.8.2 Pembatasan Tanggung Jawab RA / RA Limitation of Liabilities
Digisign sebagai RA tidak bertanggung jawab atas akibat dan kerugian yang timbul baik secara
langsung atau tidak langsung, namun tidak terbatas pada:
a. Kehilangan atau kerusakan;

b. Kerugian; dan
c. Kehilangan data.
d. Dari ketidaksesuaian data yang diberikan dalam proses Sertifikat dan tidak sesuai
dengan CPS ini.
Digisign as RA shall not be held responsible for the consequences and losses that arise either
directly or indirectly, but not limited to:
a. Loss or damage;
b. Loss; and
c. Data loss.
d. From the discrepancy of the data provided in the Certificate process and not in
accordance with this CPS.
9.9 Ganti Rugi / Indemnity

9.9.1 Ganti Rugi oleh Digisign / Indemnity by Digisign
Kewajiban ganti rugi Digisign ditetapkan dalam CPS, Perjanjian Kepemilikan Sertifikat,
Kebijakan Jaminan atau Perjanjian Pihak Pengandal termasuk setiap kewajiban apa pun
kepada pihak ketiga penerima manfaat.
Digisign's indemnity obligations are set out in the CPS, Certificate Subscriber Agreement,
Warranties Policy or Relying Party Agreement including any liability to third beneficiary parties.
9.9.2 Ganti Rugi oleh Pemilik Sertifikat / Indemnity by Certificate Subscribers
Digisign menyertakan persyaratan ganti rugi untuk Pemilik Sertifikat dalam CPS, Kebijakan
Jaminan, dan Perjanjian Kepemilikan Sertifikat.
Digisign includes indemnification requirements for Certificate Subscriber in the CPS, Assurance
Policy, and Certificate Subscriber Agreements.
9.9.3 Ganti Rugi oleh Pihak Pengandal Ganti Rugi oleh Pemilik Sertifikat / Indemnity
by the Relying Party Indemnity by the Certificate Subscriber
Digisign menyertakan persyaratan ganti rugi untuk Pemilik Sertifikat dalam CPS, Kebijakan
Jaminan, dan Perjanjian Kepemilikan Sertifikat.
Digisign includes indemnification requirements for Certificate Subscriber in the CPS, Assurance
Policy, and Certificate Subscriber Agreements.
9.10 Jangka Waktu dan Pengakhiran / Period of Time and Termination
9.10.1 Jangka Waktu / Period of Time
CPS ini dinyatakan berlaku sampai ada pemberitahuan lebih lanjut oleh Digisign melalui
halaman repositorinya.
This CPS shall be declared valid until further notice by Digisign via its repository page.
9.10.2 Pengakhiran / Termination
Perubahan CPS ditandai dengan perubahan nomor versi yang jelas. Setiap perubahan efektif
berlaku 30 (tiga puluh) hari kalender setelah dipublikasikan.
CPS changes are indicated by a clear version number change. Each change is effective 30
(thirty) calendar days after publication.
9.10.3 Efek Pengakhiran dan Keberlangsungan / Termination and Continuity Effect
Digisign mengomunikasikan kondisi, akibat dari penghentian CPS, dan juga kondisi
keberlangsungan dari Sertifikat yang telah terbit melalui halaman repositori.
Digisign communicates the conditions, resulting from the termination of CPS, as well as the
sustainability conditions of the issued Certificates via the repository page.
9.11 Pemberitahuan Individu dan Komunikasi dengan Partisipan / Individual Notice

and Communications with Participants
Digisign menyediakan media komunikasi bagi para pihak terkait melalui telepon, dokumen atau
surat elektronik (email) yang ditandatangani secara digital. Digisign memberikan tanda terima
yang valid sebagai bukti bagi pengirim. Digisign memberi tanggapan paling lama dua puluh
20(dua puluh) hari kerja melalui media komunikasi yang sama.
Digisign provides communication media for related parties via telephone, digitally signed
document or electronic mail (email). Digisign provides a valid receipt as proof for the sender.
Digisign responds no later than twenty 20 (twenty) working days through the same
communication media.
9.12 Amendemen / Amendement

9.12.1 Prosedur untuk Amendemen / Amendment Procedure
Digisign menerbitkan pemberitahuan di website dan aplikasi terkait perubahan besar atau
signifikan dari CPS ini termasuk juga keterangan waktu ketika CPS efektif berlaku. Amendemen
CPS dilakukan sesuai dengan prosedur persetujuan CP / CPS.
Digisign publishes notices on the website and application regarding major or significant
changes to this CPS including a description of the time when the CPS becomes effective.
CPS amendments are carried out in accordance with the CP/CPS approval procedure.
9.12.2 Periode dan Mekanisme Pemberitahuan / Period and Mechanism Notification
Digisign menerbitkan pemberitahuan di website dan aplikasi terkait perubahan besar atau
signifikan dari CPS ini termasuk juga keterangan waktu ketika CPS efektif berlaku. Ketika terjadi
perubahan CPS harus dipublikasikan paling lama 7 (tujuh) hari kerja sejak tanggal
ditandatangani.
Digisign publishes notices on the website and application regarding major or significant changes
to this CPS including a description of the time when the CPS becomes effective. When a CPS
change occurs, it must be published no later than 7 (seven) working days from the date it was
signed.
9.12.3 Keadaan Dimana OID Harus Diubah / Circumstances for OID Must Be Change
Jika Policy Authority memiliki pandangan diperlukannya perubahan nomor-nomor OID yang
terlibat, Digisign akan melakukan perubahan OID dan melaksanakan kebijakan baru dengan
menggunakan OID yang baru.
If the Policy Authority sees the need to change the OID numbers involved, Digisign will change
the OID and implement the new policy using the new OID.
9.13 Provisi Penyelesaian Ketidaksepahaman / Dispute Resolution Provisions
Jika ada perselisihan atau kontroversi sehubungan dengan kinerja, eksekusi,atau interpretasi
dari CPS ini, para pihak akan berusaha untuk mencapai penyelesaian damai. Ketentuan
penyelesaian perselisihan merupakan bagian dari kontrak yang disepakati antara Digisign
dengan Pemilik Sertifikat.
In the event that dispute or controversy may arise regarding the performance, execution, or
interpretation of this CPS, the parties will endeavor to reach an amicable settlement. The terms
of dispute resolution are part of the contract agreed between Digisign and the Certificate
Subscriber.
9.14 Hukum yang Mengatur / Governing Law
CPS ini menerapkan aturan hukum di Indonesia untuk mendapatkan pemahaman yang sama,
terlepas dari lokasi domisili atau lokasi penggunaan Sertifikat Digisign ataupun produk/ layanan
lainnya. Termasuk apabila Sertifikat Digisign dipakai untuk kebutuhan komersil di negara lain
tetap menerapkan aturan hukum di Indonesia.
This CPS applies the rule of law in Indonesia to get the same understanding, regardless of the
location of domicile or the location of the use of Digisign Certificates or other products/services.
Including if the Digisign Certificate is used for commercial needs in other countries, it still applies
the rule of law in Indonesia.
Para pihak, termasuk partners Digisign, Pemilik, dan Pihak Pengandal tidak dapat
membatalkan acuan hukum yang telah ditentukan di atas.
The parties, including Digisign partners, Subscribers, and Relying Parties shall not omit the
reference of the law specified above.
9.15 Kepatuhan atas Hukum yang Berlaku / Compliance to The Governing Law
Digisign mematuhi hukum yang berlaku di Indonesia dan Root CA Indonesia. Para Pihak
(termasuk Digisign, Pemilik, dan Pihak Pengandal) setuju untuk mematuhi ketentuan peraturan
perundang-undangan dan regulasi ekspor yang berlaku di Indonesia.
Digisign complies with applicable laws in Indonesia and Root CA Indonesia. The Parties
(including Digisign, Subscribers, and Relying Parties) agree to comply with the provisions of
laws and regulations and export regulations in force in Indonesia.
9.16 Provisi Rupa-rupa / Other Provision
9.16.1 Seluruh Perjanjian / Entire Agreement
No condition.
9.16.2 Pengalihan / Assignment
Entitas yang beroperasi di bawah CPS ini tidak boleh mengalihkan hak atau kewajibannya
tanpa persetujuan tertulis dari Digisign.
Entities operating under this CPS may not transfer their rights or obligations without Digisign's
written consent.
9.16.3 Keterpisahan / Severability
Jika terdapat ketentuan dari CPS ini, termasuk pembatasan dari klausula pertanggungan,
ditemukan tidak sah atau tidak dapat dilaksanakan, bagian CPS ini selanjutnya akan ditafsirkan
sedemikian rupa sehingga dapat mendukung maksud awal dari semua pihak. Setiap dan
seluruh ketentuan dari CPS ini yang menjelaskan batasan tanggung jawab, dimaksudkan dapat
dipisahkan dan bersifat independen dari ketentuan lain dan harus diberlakukan dengan
sebagaimana harusnya.
If any provision of this CPS, including the limitation of the coverage clause, is found to be invalid
or unenforceable, this part of this CPS will then be construed in such a way as to support the
original intent of all parties. Any and all provisions of this CPS which define the limitations of
liability, are intended to be separable and independent from other provisions and must be
enforced accordingly.
9.16.4 Penegakan Hukum (Biaya Pengacara dan Pengalihan Hak-hak) / Enforcement

(Legal Fees and Waiver of Rights)
Digisign dapat meminta ganti rugi dan penggantian biaya pengacara kepada pihak yang terbukti
melakukan kerusakan, kehilangan, dan kerugian lain yang disebabkan oleh pihak tersebut.
Kegagalan Digisign dalam menerapkan klausul ini dalam satu kasus tidak menghilangkan hak
Digisign untuk tetap menggunakan klausul ini di kemudian hari atau hak untuk menggunakan
klausul lain dalam CPS ini. Segala hal terkait pelepasan hak dalam pengadilan harus
disampaikan secara tertulis dan ditandatangani oleh Digisign.
Digisign may ask for compensation and reimbursement of attorney's fees to parties who are
proven to have caused damage, loss, and other losses caused by that party. Digisign's failure
to apply this clause in one case does not eliminate Digisign's right to continue to use this clause
in the future or the right to use other clauses in this CPS. All matters relating to the waiver in
court must be submitted in writing and signed by Digisign.
9.16.5 Keadaan Memaksa / Force Majeure
Digisign tidak bertanggung jawab atas kegagalan atau keterlambatan terhadap kinerjanya
dalam CPS ini, yang disebabkan oleh hal-hal yang berada di luar kendali yang wajar, termasuk
tapi tidak terbatas pada: tindakan otoritas sipil atau militer, bencana alam, kebakaran, epidemi,
banjir, gempa bumi, kerusuhan, perang, kegagalan peralatan, listrik dan kegagalan jalur
telekomunikasi, kurangnya akses internet, sabotase, terorisme, dan tindakan pemerintahan
atau setiap kejadian atau situasi yang tidak terduga. Digisign menyediakan BCP dan DRP
dengan kendali yang wajar sesuai dengan kapabilitas Digisign.
Digisign shall not be held responsible for any failure or delay in its performance in this CPS,
caused by things beyond its reasonable control, including but not limited to: acts of civil or
military authorities, natural disasters, fires, epidemics, floods, earthquakes earth, riot, war,
equipment failure, electricity and telecommunications line failure, lack of internet access,
sabotage, terrorism, and government action or any unforeseen event or situation. Digisign
provides BCP and DRP with reasonable control in accordance with Digisign's capabilities.
9.16.6 Bahasa / Language
Dokumen CPS ini dibuat dalam 2 bahasa, yaitu bahasa indo dan bahasa inggris. Apabila
terjadi perbedaan penafsiran antara teks bahasa Indonesia dengan teks bahasa inggris, maka
yang berlaku adalah teks dalam bahasa Indonesia.
This CPS document is made in 2 languages, namely Indonesian and English. If there is a
difference in interpretation between the Indonesian text and the English text, the Indonesian
text will prevail.
9.17 Provisi Lain / Other Provision
No Condition.
LAMPIRAN / APPENDIX
A. Tabel Akronim / Table of Acronyms
Istilah / Term Definisi / Definition
PSrE Penyelenggara Sertifikasi Elektronik

CA Certification Authority
CP Certificate Policy
CP Certificate Policy
CPS Certification Practice Statement

CPS Certification Practice Statement
CRL Certificate Revocation List

CRL Certificate Revocation List
EV Extended Validation
EV Extended Validation
FIPS (US Government) Federal Information Processing Standards

FIPS (US Government) Federal Information Processing Standards
OCSP Online Certificate Status Protocol

OCSP Online Certificate Status Protocol
OID Object Identifier

OID Object Identifier
IKP Infrastruktur Kunci Publik

PKI Public Key Infrastructure
RA Registration Authority
RA Registration Authority
RFC Request For Comment

RFC Request For Comment
VA Validation Authority
VA Validation Authority
B.
B. Definisi / Definition
IKP Indonesia Seperangkat perangkat keras, perangkat lunak, orang, prosedur, aturan,
kebijakan, dan kewajiban yang digunakan untuk memfasilitasi pembuatan,
penerbitan, pengelolaan, dan penggunaan Sertifikat dan kunci yang dapat
dipercaya berdasarkan pada kriptografi Kunci Publik sesuai peraturan
Indonesia.
Indonesia PKI A set of hardware, software, people, procedures, rules, policies, and
obligations used to facilitate the trustworthy creation, issuance,
management, and use of Certificates and keys based on Public Key
cryptography according to Indonesian regulations.
PSrE Entitas legal yang memiliki otoritas Sertifikasi tingkat teratas yang
menandatangani Sertifikat PSrE Berinduk dalam rantai IKP Indonesia.
CA The top-level Certification Authority that issues Subordinate CA

Certificates in the Indonesian PKI chain.
PSrE Induk Entitas legal yang memiliki otoritas Sertifikasi tingkat teratas yang
menandatangani Sertifikat PSrE Berinduk dalam rantai IKP Indonesia.
Root CA The top-level Certification Authority that issues Subordinate CA

Certificates in the Indonesian PKI chain.
PSrE Berinduk Entitas legal yang Sertifikatnya ditandatangani oleh PSrE Induk dan
bertanggung jawab atas pembuatan, penerbitan, pencabutan, dan
pengelolaan Sertifikat Pemilik.
Subordinate CA Legal entity whose Certificate is signed by the Root CA and is responsible
for the creation, issuance, revocation, and management of Subscriber’s
Certificates.
PSrE Instansi PSrE Berinduk yang bertanggung jawab atas pembuatan, penerbitan,
pencabutan, dan pengelolaan Sertifikat Instansi.
Government CA Subordinate CA who is responsible for the creation, issuance, revocation,

and management of Government Certificates.
PSrE PSrE Berinduk yang bertanggung jawab atas pembuatan, penerbitan,

pencabutan, dan pengelolaan Sertifikat non-Instansi.
non-Instansi
Non-Government CA Subordinate CA who is responsible for the creation, issuance, revocation,
and management of Non-Government Certificates.
Pemohon Orang perseorangan atau badan hukum yang mengajukan permohonan

pembuatan (atau pembaruan) Sertifikat. Setelah Sertifikat diterbitkan,
Pemohon disebut sebagai Pemilik.
Applicant The natural person or Legal Entity that applies for (or seeks renewal of) a
Certificate. Once the Certificate issues, the Applicant is referred to as the
Subscriber.
Pemilik Orang perseorangan yang merupakan subjek dari Sertifikat, telah

diterbitkan Sertifikatnya.
Subscriber A person who is the Subject of, and has been issued, a Certificate.
Sertifikat Sertifikat adalah Sertifikat yang bersifat elektronik yang memuat tanda
tangan elektronik dan identitas yang menunjukkan status subjek hukum
para pihak dalam transaksi elektronik.
Certificate Certificate is an electronic certificate that contains digital signatures and

identities that show the legal status of the related parties in electronic
transactions
Sertifikat PSrE Induk Sertifikat yang ditandatangani sendiri yang dikeluarkan oleh PsrE Induk
untuk mengidentifikasi dirinya sendiri dan untuk memfasilitasi verifikasi
Sertifikat yang diterbitkan oleh PsrE Berinduk.
Root CA Indonesia The self-signed Certificate issued by Root CA Indonesia to identify itself
Certificate and to facilitate verification of Certificates issued to its Subordinate Cas.
Sertifikat PSrE Sertifikat yang dikeluarkan oleh PSrE Induk.

Berinduk
Subordinate’s The Certificate issued by Root CA Indonesia.

Certificate
Sertifikat Pemilik Sertifikat yang dikeluarkan oleh PSrE Berinduk.
Subscriber’s The Certificate issued by Subordinate CA.

Certificate
Pihak Pihak Berarti suatu persekutuan, firma, perusahaan, badan hukum, non
Pengandal kementerian, lembaga atau organisasi yang mengandalkan layanan
Digisign.
Relying Parties Means a partneship, firm, company, legal entity, non-ministry, institution,
or organization that relies on Digisign.services.
Certificate Policies Seperangkat aturan yang menerangkan penerapan sebuah Sertifikat

dalam implementasi IKP dengan persyaratan keamanan yang umum.
Certificate Policies A set of rules that indicates the applicability of a named Certificate to a PKI
implementation with common security requirements.
Certification Practice Satu dari beberapa dokumen yang membentuk kerangka kerja pengaturan
Statement pembuatan, penerbitan, pengelolaan dan penggunaan Sertifikat.
Certification Practice One of several documents forming the governance framework in which
Statement Certificates are created, issued, managed, and used.
Certificate Daftar terkini dari Sertifikat yang dicabut yang dibuat dan ditandatangani
Revocation List secara digital oleh PSrE Berinduk yang menerbitkan Sertifikat.
Certificate A regularly updated timestamped list of revoked Certificates that is created

Revocation List and digitally signed by the CA that issued the Certificates.
Certificate Signing Sebuah pesan yang menyampaikan permintaan untuk penerbitan

Request Sertifikat.
Certificate Signing A message conveying a request to have a Certificate issued.

Request
Kompromi Pelanggaran terhadap kebijakan keamanan yang menyebabkan hilangnya

kontrol atas informasi sensitif.
Compromise A violation of a security policy that results in loss of control over sensitive
information.
Extended Validation Sertifikat Elektronik yang berisi informasi yang ditentukan dalam Pedoman
Certificate Extended Validation dan yang telah divalidasi sesuai dengan Pedoman
tersebut.
Extended Validation A digital certificate that contains information specified in the Extended
Certificate Validation Guidelines and that has been validated in accordance with the
Guidelines.
Key Compromise Kunci Privat dikatakan dikompromikan jika nilainya telah diungkapkan
kepada orang yang tidak berkepentingan, orang yang tidak sah memiliki
akses ke sana, atau ada praktek teknis yang memungkinkan orang yang
tidak berwenang mendapatkan nilainya.
Key Compromise A Private Key is said to be compromised if its value has been disclosed to
an unauthorized person, an unauthorized person has had access to it, or
there exists a practical technique by which an unauthorized person may
discover its value.
Key Generation Sebuah prosedur di mana pasangan kunci dari PSrE atau RA dihasilkan,
Ceremony kunci privasinya ditransfer ke modul kriptografi, kunci privatnya
dicadangkan, dan/atau kunci publiknya disertifikasi.
Key Generation A procedure whereby a CA’s or RA’s key pair is generated, its private key
Ceremony is transferred into a cryptographic module, its private key is backed up,
and/or its public key is certified.
Object Identifier A unique alphanumeric or numeric identifier yang terdaftar di bawah

standar International Organization for Standardization untuk objek atau
kelas objek tertentu.
Object Identifier A unique alphanumeric or numeric identifier registered under the

International Organization for Standardization’s applicable standard for a
specific object or object class.
Online Certificate Protokol pemeriksaan Sertifikat secara online bagi Pihak Pihak Pengandal
Status Protocol yang berisi informasi mengenai status Sertifikat.
Online Certificate An online Certificate-checking protocol for providing Relying Parties with
Status Protocol real-time Certificate status information.
Kunci Privat Kunci dari pasangan kunci yang dirahasiakan oleh pemegang Pasangan
Kunci, dan yang digunakan untuk membuat Tanda Tangan Digital dan /
atau untuk mendekripsi catatan elektronik atau berkas yang dienkripsi
dengan Kunci Publik terkait.
Private Key The key of a Key Pair that is kept secret by the holder of the Key Pair, and
that is used to create Digital Signatures and / or to decrypt electronic
records or files that were encrypted with the corresponding Public Key.
Kunci Publik Kunci dari Pasangan Kunci yang dapat diungkapkan secara terbuka oleh
pemegang Kunci Pribadi terkait dan yang digunakan oleh Pihak yang
Mengandalkan untuk memverifikasi Tanda Tangan Digital yang dibuat
dengan Kunci Pribadi dan / atau untuk mengenkripsi pesan pemiliknya
sehingga dapat didekripsi hanya dengan Private Key yang sesuai.
Public Key The key of a key pair that may be publicly disclosed by the holder of the
corresponding Private Key and that is used by a Relying Party to verify
Digital Signatures created with the holder's corresponding Private Key
and/or to encrypt messages so that they can be decrypted only with the
holder's corresponding Private Key.

CPS CA Digisign V3.3

Uploaded by

Copyright:

Available Formats

You might also like

CPS CA Digisign V3.3

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CPS CA Digisign V3.3

Uploaded by

Copyright:

Available Formats

CA Digisign CPS V3.

Lembar Catatan Review / Revisi

Date Rev Description By

August 6, 1.1 Perubahan Judul CPS, menjadi PSrE Policy Authority

August 6. 1.2 Penghapusan Point 1.4.1 (OID) Policy Authority

August 6, 1.3 Penghapusan tabel 1.4.1 Policy Authority

August 6, 1.4 Penghapusan point 5.5.1 Policy Authority

Penambahan Nomor Level pada point 6.2.1

1.2 Update OID

1.3.2 Menghilangkan proses CSR

1.4.1 Menghilangkan Level 2 pada layanan

1.5.4 Memperjelas status dan PIC peran PA

2.1 Melengkapi dokumen-dokumen di

2.3 Waktu dirubah dari 1 jam menjadi 30

3.2.1 Detail pengamanan

3.2.2 Detail persyaratan

3.2.3 Detail persyaratan

3.2.4 NPWP dan Alamat dihilangkan

4.1.1 Detail persyaratan Sertifikat Details of

4.1.2 Penambahan tanggung jawab Digisign

4.2.2 Penambahan detail alasan penolakan

4.2.3 Perubahan waktu permohonan

4.5.1 Penambahan detail perlindungan kunci

4.5.2 Penambahan informasi dokumen

4.6 Penambahan Not before pada

4.6.1 Informasi H-30 Sertifikat akan

4.9.1 Penambahan responder OCSP Addition

4.9.8 Di Update OCSP menjadi 30 menit

4.12.1 Detail spesifikasi tingkat keamanan

5.2.1 Penyempurnaan trusted role Enhanced

5.3.8 Penambahan detail dokumen yang

5.4.1 Penambahan detail kejadian yang

Added details of recorded events

5.4.2 Update menjadi 1 bulan sekali Update

5.6 Perubahan kunci digisign di tahun ke 8

6.2.8 Update quorum

6.4.2 Detail perlindungan data aktivasi

6.8 Update pencocokan waktu

7.1.2.1 Penambahan table Sertifikat Pemilik

8 Update detail audit kepatuhan dan penilaian

9.1.2 update biaya

9.1.3 update biaya

9.4.3 Penambahan OCSP

9.4.4 Update perlindungan informasi pribadi

9.9.1 Penambahan kebijakan jaminan

9.15 Penambahan Root CA Indonesia

September 3.1 1.2 Penyesuaian identifikasi dan nama Staff Policy

4.9.7 Penyesuaian frekuensi penerbitan crl

5.2.1 Penyempurnaan poin trusted role

5.4.5 Penyempurnaan backup Log audit,

Improved audit log backup, in realtime

5.4.6 Penyesuaian Prosedur Backup

January 3.2 Perubahan Judul dokumen, dari Certificate Staff Policy

1.1 Memperbaiki kalimat pada bagian

1.2 Memperbaiki kalimat pada bagian

1.3.1 Revisi Definisi PSrE Induk dan

1.3.2 Revisi Bagian Otoritas Pendaftaran

1.4.1 Menghapus poin a. Otentikasi pada

1.5.1 Menambahkan no kontak PA menjadi