California Privacy Protection Agency (Badan Perlindungan Privasi California, atau CPPA) telah memulai proses pembuatan peraturan untuk audit keamanan siber berdasarkan California Consumer Privacy Act (CCPA). Staf CPPA mengajukan Draft Cybersecurity Audit Regulations (Rancangan Regulasi Audit Keamanan Siber) pada awal September 2023 untuk pertimbangan Dewan CPPA.1 Langkah ini mencerminkan peran ambisius Badan dalam menetapkan norma keamanan siber bagi entitas yang tercakup dalam CCPA.
Latar Belakang dan Mandat Hukum
CCPA, sebagaimana diubah oleh California Privacy Rights Act (CPRA), mengarahkan CPPA untuk mengeluarkan regulasi tentang berbagai topik. Salah satunya adalah regulasi yang mengharuskan bisnis melakukan audit keamanan siber tahunan jika "pemrosesan informasi pribadi konsumen menimbulkan risiko signifikan terhadap privasi atau keamanan konsumen".1 Regulasi harus mencakup ruang lingkup audit dan menetapkan proses untuk memastikan audit menyeluruh serta independen.
Rancangan yang diajukan staf CPPA dibahas dalam materi Agenda untuk pertemuan Dewan CPPA tanggal 8 September 2023. Meski belum memulai pembuatan peraturan formal, Rancangan ini memberikan indikasi kuat tentang arah kebijakan. Persyaratan yang diusulkan serupa dengan regulasi yang ditemukan dalam aturan keamanan siber terbaru dari Federal Trade Commission (FTC) dan New York Department of Financial Services (NYDFS).1
Cakupan Bisnis yang Terkena Dampak
Belum jelas bisnis mana yang harus melakukan audit. CPPA memberikan beberapa opsi ambang batas kepada Dewan untuk diskusi.1 Badan tampaknya telah menentukan bahwa bisnis yang memperoleh lebih dari setengah pendapatan tahunan mereka dari menjual atau membagikan informasi pribadi harus melakukan audit. Opsi lain yang diusulkan terkait dengan volume data yang diproses (diukur berdasarkan jumlah informasi pribadi konsumen, informasi sensitif, atau volume data anak-anak), pendapatan kotor tahunan, atau jumlah karyawan.
| Kriteria 📊 | Deskripsi | Status |
|---|---|---|
| Pendapatan dari Penjualan Data | Bisnis dengan >50% pendapatan dari jual/bagikan data pribadi | Ditentukan |
| Volume Data Konsumen | Ambang batas berdasarkan jumlah informasi pribadi yang diproses | Belum Ditentukan |
| Data Sensitif | Volume informasi sensitif yang dikelola perusahaan | Belum Ditentukan |
| Data Anak-anak | Volume data anak yang diproses bisnis | Belum Ditentukan |
| Pendapatan Kotor Tahunan | Ambang batas pendapatan total perusahaan | Belum Ditentukan |
| Jumlah Karyawan | Ukuran perusahaan berdasarkan tenaga kerja | Belum Ditentukan |
| Institusi Kesehatan Besar | Rumah sakit dan lembaga kesehatan dengan data besar | Mungkin Tercakup |
Beberapa ambang batas ini, jika diadopsi, dapat memperluas persyaratan audit keamanan siber ke bisnis yang datanya sebagian besar dikecualikan dari CCPA—seperti institusi kesehatan besar, lembaga keuangan, dan perusahaan asuransi.1 Ketentuan ini sejalan dengan tren global meningkatnya fokus pada audit keamanan siber, seperti yang ditunjukkan dalam rencana kerja International Organisation of Supreme Audit Institutions (INTOSAI) 2026-28 yang memprioritaskan audit keamanan siber.2
Komponen Audit yang Disyaratkan
Bagian penting dari Rancangan terletak pada seksi Scope of Cybersecurity Audits (Ruang Lingkup Audit Keamanan Siber). Badan telah mencantumkan area spesifik yang harus dicakup dan dinilai dalam audit. Rancangan menyarankan audit mencakup komponen-komponen berikut dari program keamanan siber bisnis:
Kontrol Akses dan Autentikasi
Autentikasi mencakup multi-factor authentication (autentikasi multi-faktor) dan kata sandi yang kuat. Kontrol akses termasuk pembatasan hak istimewa karyawan, penyedia layanan, dan pihak ketiga hanya pada informasi pribadi yang diperlukan.1 Persyaratan ini menggemakan standar industri yang telah ditetapkan dalam aturan perlindungan FTC dan Part 500 NYDFS.
Enkripsi dan Arsitektur Keamanan Modern
Enkripsi informasi pribadi saat disimpan dan dalam transit. Yang menarik, Rancangan secara eksplisit menyebutkan zero trust architecture (arsitektur kepercayaan nol)—pendekatan keamanan yang tidak secara otomatis mempercayai apa pun di dalam atau di luar perimeter jaringan.1 Konsep zero trust semakin menjadi masa depan keamanan siber, terutama dalam industri telekomunikasi dan jaringan terdistribusi.3 Pasar global untuk Zero Trust Architecture diproyeksikan tumbuh dari USD 17,3 miliar pada 2023 menjadi USD 38,5 miliar pada 2028.4
Manajemen Aset dan Konfigurasi
Inventaris informasi pribadi serta perangkat keras dan perangkat lunak. Konfigurasi aman perangkat keras dan perangkat lunak, termasuk masking by default (penyembunyian secara default) dalam aplikasi web, manajemen patch (pembaruan keamanan), dan proses manajemen perubahan.1
Pemantauan dan Deteksi Ancaman
Pemindaian mencakup pemindaian kerentanan dan penetration testing (pengujian penetrasi). Log terpusat, pemantauan jaringan termasuk deteksi intrusi dan bot serta pencegahan kehilangan data, antivirus, segmentasi jaringan, dan pembatasan kontrol port, layanan, serta protokol.1
Elemen Program Keamanan Lainnya
Kesadaran dan pelatihan siber, praktik pengembangan aman, pengawasan vendor, jadwal retensi dan pembuangan informasi pribadi yang tepat, serta rencana dan kebijakan respons insiden termasuk rencana kontinuitas bisnis dan pemulihan bencana.1 Audit komite menjadi prioritas utama perusahaan publik, dengan keamanan siber tetap menjadi fokus teratas di luar pelaporan keuangan.5
Sertifikasi dan Pelaporan Kepatuhan
Rancangan mengharuskan bisnis yang menyelesaikan audit keamanan siber memberikan sertifikasi kepada Badan bahwa bisnis mematuhi persyaratan selama 12 bulan yang dicakup audit. Atau pengakuan bahwa bisnis tidak mematuhi persyaratan tertentu dan peta jalan remediasi yang direncanakan.1 Tidak jelas apakah sertifikasi ini dimaksudkan untuk mencakup hanya kepatuhan dengan persyaratan audit itu sendiri atau dengan perlindungan mendasar yang diminta Rancangan. Sertifikasi harus ditandatangani oleh anggota dewan atau badan pengatur, jika ada.
CPPA telah menunjukkan keseriusan penegakan hukumnya. Pada 30 September 2025, Badan mengumumkan penyelesaian senilai $1,35 juta—yang terbesar dalam sejarah singkat lembaga tersebut—dengan Tractor Supply Company atas dugaan kegagalan menghormati permintaan konsumen untuk keluar dari penjualan atau pembagian data mereka.6 Denda ini merupakan sinyal tren penegakan hukum yang "meningkat" dan menempatkan semua perusahaan yang berbisnis di California dalam peringatan.7
Kesimpulan
Rancangan Regulasi Audit Keamanan Siber dari CPPA menandai langkah signifikan dalam menetapkan standar keamanan siber nasional. Meskipun masih dalam bentuk awal dan belum menjalani pembuatan peraturan formal, Rancangan ini memberikan panduan berharga bagi perusahaan tentang harapan keamanan siber di masa depan. Perusahaan yang mungkin harus melakukan audit semacam itu disarankan untuk berpartisipasi dalam proses regulasi melalui kelompok perdagangan atau atas nama bisnis mereka sendiri. Memahami komponen mana yang mungkin sangat memberatkan dan area mana yang memerlukan kejelasan tambahan dapat membantu membentuk komentar yang efektif setelah rancangan regulasi formal dikeluarkan.
Daftar Pustaka
- Gesser, A. (2023, September 20). California Privacy Protection Agency Begins CCPA Rulemaking for Cybersecurity Audits. Debevoise Data Blog. https://www.debevoisedatablog.com/2023/09/20/california-privacy-protection-agency-begins-ccpa-rulemaking-for-cybersecurity-audits/
- PTI. (2025, September 12). INTOSAI adopts cybersecurity, remote audits work plan for 2026-28. Livemint. https://www.livemint.com/focus/intosai-adopts-cybersecurity-remote-audits-work-plan-for-202628-11757664646735.html
- Staff Writer. (2025, February 25). Why Zero Trust is the Future of Telecom Security. DQ India. https://www.dqindia.com/interview/why-zero-trust-is-the-future-of-telecom-security-8755176
- MarketsandMarkets. (2024, November 11). The Rise of Zero Trust Architecture Market: A $38.5 billion Industry Dominated by Tech Giants. Yahoo Finance. https://finance.yahoo.com/news/rise-zero-trust-architecture-market-123000760.html
- Deloitte. (2025, February 11). Cybersecurity, Enterprise Risk Management, and Meeting Effectiveness Are Top Priorities for Audit Committees. Yahoo Finance. https://finance.yahoo.com/news/cybersecurity-enterprise-risk-management-meeting-130300641.html
- Staff Writer. (2025, October 19). California Privacy Protection Agency Issues Largest Monetary Penalty to Date. JD Supra. https://www.jdsupra.com/legalnews/california-privacy-protection-agency-2910568/
- Staff Writer. (2025, October 10). California Privacy Watchdog's Record Fine Against Tractor Supply Company Signals 'Escalating' Enforcement Trend. The Recorder. https://www.law.com/therecorder/2025/10/10/california-privacy-watchdogs-record-fine-against-tractor-supply-company-signals-escalating-enforcement-trend/
