Checklist Keamanan SaaS Sebelum Demo Enterprise

1 Mei 2026

Demo enterprise tidak hanya menilai fitur. Setelah buyer bisnis tertarik, tim IT, security, legal, atau procurement biasanya mulai bertanya: data disimpan di mana, siapa yang bisa akses, bagaimana backup berjalan, apakah ada audit log, dan apa yang terjadi jika vendor mengalami incident.

Founder SaaS tidak perlu punya semua sertifikasi sejak hari pertama. Tetapi sebelum masuk demo enterprise, tim harus punya jawaban minimum yang rapi. Jawaban "nanti bisa" atau "aman kok" tidak cukup. Buyer enterprise membutuhkan bukti, owner, dan batasan yang jelas.

Tujuan checklist keamanan

Checklist ini bukan audit formal. Tujuannya membantu founder:

• menjawab pertanyaan buyer dengan konsisten
• menghindari klaim keamanan yang tidak bisa dibuktikan
• menemukan gap sebelum security questionnaire datang
• membantu sales bergerak tanpa menunggu founder menjawab ulang
• menentukan risiko mana yang perlu diperbaiki sebelum mengejar akun besar

Untuk kontrak besar atau sektor regulated, tetap libatkan counsel, security advisor, atau auditor yang relevan. Artikel ini adalah panduan operasional awal, bukan pengganti nasihat hukum atau audit keamanan.

Access control

Pertanyaan enterprise paling dasar: siapa yang bisa mengakses data?

Siapkan jawaban untuk:

• apakah user punya role dan permission
• siapa admin pelanggan
• bagaimana akses admin internal vendor dibatasi
• apakah MFA tersedia untuk akun penting
• bagaimana akses dicabut saat karyawan keluar
• siapa yang bisa melihat data produksi

Untuk tim kecil, minimal buat daftar akses internal. Catat siapa punya akses ke database, cloud console, support tool, analytics, dan log. Review daftar itu setiap bulan. Jika semua engineer punya akses luas "karena masih kecil", tulis sebagai gap dan buat rencana pembatasan.

Password dan authentication

Buyer akan menanyakan login:

• apakah password disimpan dengan hashing yang aman
• apakah ada reset password
• apakah session timeout tersedia
• apakah SSO tersedia atau belum
• apakah MFA tersedia

Jika SSO belum ada, jangan mengarang. Jelaskan roadmap atau workaround. Untuk beberapa akun enterprise, SSO bisa menjadi syarat. Untuk akun lain, role permission dan MFA mungkin cukup di tahap awal.

Backup dan restore

Backup hanya berguna jika restore pernah diuji. Siapkan catatan:

• frekuensi backup
• data apa yang dibackup
• lokasi backup
• siapa yang bisa restore
• kapan terakhir restore test dilakukan
• estimasi recovery time

Founder sering berkata "kami ada backup" tetapi belum pernah mencoba restore. Itu berbahaya. Jadwalkan restore test sederhana dan simpan hasilnya. Evidence kecil lebih baik daripada klaim besar.

Logging dan audit trail

Enterprise buyer ingin tahu apakah aktivitas penting tercatat. Minimal pisahkan:

• log aplikasi untuk debugging
• audit log user untuk aktivitas bisnis
• admin/internal access log
• security alert atau error log

Tidak semua produk awal punya audit log lengkap. Tetapi untuk B2B, beberapa event penting sebaiknya dicatat: login admin, perubahan permission, export data, perubahan setting penting, dan penghapusan data.

Data export dan deletion

Pertanyaan yang sering muncul:

• apakah pelanggan bisa export data
• format export apa yang tersedia
• siapa yang bisa meminta deletion
• berapa lama data disimpan setelah kontrak berhenti
• bagaimana data backup diperlakukan

Data export adalah sinyal trust. Pelanggan lebih berani masuk jika tahu mereka tidak terkunci. Untuk SaaS lokal, export CSV yang rapi sering cukup sebagai tahap awal.

Security one-pager

Buat dokumen satu halaman:

• ringkasan produk dan data yang diproses
• infrastructure overview
• access control
• backup dan restore
• data export
• incident contact
• privacy policy link
• compliance status dan gap yang jujur

Dokumen ini membantu sales dan procurement. Jangan masukkan detail sensitif seperti konfigurasi internal lengkap atau secret. Beri overview yang cukup untuk evaluasi awal.

Owner internal

Security tidak boleh "milik semua orang" tanpa owner. Tentukan:

• owner access review
• owner backup/restore
• owner incident response
• owner security questionnaire
• owner vendor/subprocessor list

Di tim kecil, satu orang bisa memegang beberapa peran. Yang penting jelas siapa menjawab saat buyer bertanya.

Checklist sebelum demo enterprise

• daftar akses internal tersedia
• role dan permission produk bisa dijelaskan
• backup berjalan dan restore pernah diuji
• data export tersedia atau roadmap jelas
• security one-pager siap
• privacy policy tersedia
• owner security question ditunjuk
• gap log ditulis
• jawaban "belum tersedia" disiapkan dengan rencana realistis

Pertanyaan yang biasanya muncul saat demo

Siapkan jawaban singkat untuk:

• Apakah data pelanggan dipisahkan antar tenant?
• Apakah tim vendor bisa masuk ke akun pelanggan?
• Siapa yang menyetujui akses production?
• Bagaimana pelanggan meminta export data?
• Apakah ada log untuk perubahan permission?
• Apa yang terjadi jika ada user pelanggan resign?
• Bagaimana pelanggan melaporkan security issue?
• Apakah ada subprocessor penting?

Jawaban tidak harus panjang. Yang penting konsisten. Jika sales, founder, dan engineer memberi jawaban berbeda, buyer akan melihat risiko operasional.

Security pack versi awal

Buat folder berisi:

• security one-pager
• architecture overview satu halaman
• data flow sederhana
• access review terakhir
• backup/restore note
• incident contact
• daftar vendor/subprocessor
• privacy policy
• gap log

Folder ini tidak perlu dibagikan semua ke prospek. Beberapa dokumen cukup internal. Tetapi saat pertanyaan muncul, tim tahu jawaban mana yang sudah disepakati.

Prioritas perbaikan jika waktu terbatas

Jika demo enterprise tinggal dua minggu, jangan mencoba semua hal. Prioritaskan:

• access review internal
• backup restore test
• security one-pager
• data export path
• daftar vendor/subprocessor
• owner incident response

Kontrol ini sering muncul di procurement dan bisa diperbaiki tanpa proyek besar. Sertifikasi formal bisa dibahas nanti jika segmen enterprise benar-benar menjadi fokus.

Cara bicara tentang gap

Buyer enterprise tidak selalu menolak vendor yang belum sempurna. Mereka menolak vendor yang tidak sadar risikonya.

Format jawaban gap:

• status saat ini
• risiko
• workaround
• rencana perbaikan
• apakah gap memengaruhi scope pilot

Contoh: "SSO belum tersedia. Untuk pilot 10 user, akses dibatasi lewat admin pelanggan dan review user mingguan. Jika rollout enterprise penuh, SSO perlu masuk scope sebelum ekspansi."

Jawaban seperti ini menunjukkan founder memahami tradeoff.

Metrik kesiapan enterprise

Pantau beberapa angka sederhana:

• jumlah akses internal production
• tanggal access review terakhir
• tanggal restore test terakhir
• jumlah event audit penting yang sudah dicatat
• waktu rata-rata menjawab pertanyaan security
• jumlah gap security yang muncul berulang di deal

Metrik ini membantu founder melihat kesiapan secara operasional, bukan berdasarkan perasaan. Jika restore test belum pernah dilakukan atau access review sudah lama, perbaiki sebelum mengejar akun enterprise berikutnya.

Langkah berikutnya

Ambil satu deal enterprise yang sedang aktif. Buat folder security pack berisi security one-pager, access review, backup note, data export note, dan daftar gap. Jika folder ini belum bisa dibuat, jangan menunggu questionnaire datang. Perbaiki dasar keamanan sebelum sales masuk terlalu jauh.

Bacaan terkait

• Menjawab Security Questionnaire Tanpa Tim Compliance Besar
• UU PDP untuk Founder SaaS: Langkah Praktis