Pelan Tindak Balas Pelanggaran Data
Data Breach Response Plan | Prosedur tindak balas insiden keselamatan data
🚨 Pelan Tindak Balas Pelanggaran Data
Data Breach Response Plan
Kemas kini terakhir / Last updated: 10 April 2026
Dokumen ini menerangkan prosedur GigHala (Calmic Sdn Bhd) dalam mengenal pasti, mengurus, dan bertindak balas terhadap pelanggaran data peribadi selaras dengan Akta Perlindungan Data Peribadi 2010 (PDPA) Malaysia.
This document outlines GigHala's procedures for identifying, managing, and responding to personal data breaches under Malaysia's PDPA 2010.
📖 1. Definisi Pelanggaran Data / Definition
Pelanggaran data peribadi merujuk kepada sebarang insiden yang mengakibatkan:
- Pendedahan tidak sah: Data diakses atau dilihat oleh pihak yang tidak diberi kuasa
- Perolehan tidak sah: Data disalin, dicuri atau diperoleh secara haram
- Pengubahsuaian tidak sah: Data diubah tanpa kebenaran
- Kehilangan atau pemusnahan: Data hilang atau dimusnahkan secara tidak sengaja
Contoh Insiden:
- Capaian tidak sah ke pangkalan data pengguna
- Kebocoran bukti kelayakan (e-mel/kata laluan)
- Serangan siber (SQL injection, ransomware, phishing)
- Pembekal pihak ketiga yang terdedah
- Konfigurasi pelayan yang salah menyebabkan pendedahan data
- Penghantaran e-mel kepada penerima yang salah
👥 2. Pasukan Tindak Balas Insiden / Incident Response Team
| Peranan | Tanggungjawab | Hubungan |
|---|---|---|
| Pegawai Perlindungan Data (DPO) | Mengetuai tindak balas; pemberitahuan JPDP; komunikasi dengan pengguna terjejas | dpo@gighala.my |
| Pasukan Teknikal | Analisis pelanggaran; pemulihan teknikal; menampal kelemahan | security@gighala.my |
| Pengurusan Kanan | Meluluskan keputusan pemberitahuan; pengurusan risiko perniagaan | contact@gighala.my |
| Penasihat Undang-undang | Panduan pematuhan undang-undang; penilaian kewajipan pemberitahuan | legal@gighala.my |
⏱️ 3. Garis Masa Tindak Balas / Response Timeline
Dalam masa 1 jam — Pengesanan & Pengandungan
- Mengenal pasti dan mengesahkan insiden
- Mengandungi pelanggaran (blok akses, padam sesi, karantinkan sistem)
- Memaklumkan pasukan tindak balas insiden
- Memulakan log insiden
Dalam masa 24 jam — Penilaian
- Menilai skop dan tahap keterukan pelanggaran
- Mengenal pasti data dan pengguna yang terjejas
- Menentukan punca pelanggaran dan mendokumentasikan bukti
Dalam masa 72 jam — Pemberitahuan JPDP (Mandatori)
- Melaporkan kepada Jabatan Perlindungan Data Peribadi (JPDP) jika pelanggaran berkemungkinan menyebabkan kemudaratan yang ketara
- Maklumat yang disertakan: jenis data terjejas, bilangan pengguna terjejas, langkah diambil, maklumat DPO
- Laman web JPDP: www.pdp.gov.my
Sesegera mungkin — Pemberitahuan Pengguna
- Memberitahu pengguna terjejas melalui e-mel dan notifikasi dalam platform
- Menerangkan: apa yang berlaku, data yang terjejas, risiko yang mungkin, tindakan yang diambil, langkah yang pengguna boleh ambil
Dalam masa 30 hari — Pemulihan & Laporan Akhir
- Melaksanakan pembaikan teknikal dan keselamatan
- Menjalankan semula pengujian keselamatan
- Menyediakan laporan insiden penuh dan mengemas kini prosedur
🔍 4. Penilaian Risiko / Risk Assessment
| Tahap Risiko | Kriteria | Tindakan |
|---|---|---|
| 🔴 Kritikal | IC/MyKad, data kewangan atau biometrik terdedah; >1,000 pengguna terjejas | Beritahu JPDP + pengguna; komunikasi awam; pertimbangkan tindakan undang-undang |
| 🟡 Tinggi | E-mel atau telefon terdedah; 100–1,000 pengguna terjejas | Beritahu JPDP; beritahu pengguna; perkuat kawalan keselamatan |
| 🟢 Sederhana | Maklumat profil awam terdedah; <100 pengguna terjejas | Penilaian DPO; beritahu pengguna jika perlu; catat dalam log insiden |
| ⚪ Rendah | Insiden terkandung segera; tiada data sensitif terdedah | Catat dalam log; perbaiki kelemahan; tiada pemberitahuan luar |
📋 5. Kandungan Pemberitahuan Pengguna / User Notification Content
Setiap pemberitahuan kepada pengguna yang terjejas akan menyatakan:
- Apa yang berlaku dan bila
- Data peribadi yang terlibat
- Risiko yang mungkin timbul
- Langkah pemulihan yang telah kami ambil
- Tindakan yang disyorkan kepada pengguna (contoh: tukar kata laluan, pantau akaun bank)
- Maklumat hubungan untuk soalan lanjut
🛡️ 6. Langkah Pencegahan / Preventive Measures
- Audit keselamatan berkala dan pengujian penembusan (penetration testing)
- Pemantauan log akses berterusan
- Pengurusan tampalan (patch management) yang ketat
- Latihan kesedaran keselamatan untuk semua kakitangan
- Kawalan akses minimum (principle of least privilege)
- Penilaian risiko pembekal pihak ketiga secara berkala
- Penilaian Impak Perlindungan Data (DPIA) untuk pemprosesan berisiko tinggi
📞 7. Laporkan Insiden Keselamatan / Report an Incident
Jika anda mengesyaki pelanggaran keselamatan atau menemui kelemahan dalam platform kami, sila hubungi kami dengan segera:
- E-mel Keselamatan: security@gighala.my
- DPO: dpo@gighala.my
Kami menghargai pendedahan yang bertanggungjawab (responsible disclosure) dan akan bertindak balas dalam masa 48 jam.
Calmic Sdn Bhd (1466852W / 202201021155) — GigHala Platform