Keamanan di LoginWA
Keamanan menjadi bagian dari cara kami menjalankan API WhatsApp — mulai dari transport terenkripsi hingga kredensial yang di-hash dan webhook bertanda tangan. Halaman ini merangkum praktik yang melindungi data dan integrasi Anda.
🔒 Transport terenkripsi
Seluruh trafik API hanya dilayani melalui HTTPS/TLS dan berada di belakang Cloudflare, yang menambahkan proteksi DDoS dan WAF. HTTP tanpa enkripsi tidak diterima.
🔑 Hashing & rotasi API key
Secret API key disimpan dalam bentuk hash, tidak pernah plaintext, sehingga tidak bisa dibaca kembali dari database kami. Anda bisa merotasi key kapan saja, dan key lama langsung berhenti berfungsi.
🛡️ Whitelist IP
Batasi akses API hanya untuk server yang dikenal. Permintaan dari alamat yang tidak ada di whitelist ditolak dengan 403 ip_not_allowed. Kelola allowlist Anda lewat dashboard atau endpoint /api/v1/ip-whitelist.
✍️ Webhook bertanda tangan (HMAC)
Setiap webhook keluar ditandatangani dengan header X-LoginWA-Signature — HMAC-SHA256 dari raw body — bersama X-LoginWA-Event. Verifikasi tanda tangan dengan webhook secret Anda untuk memastikan payload benar-benar dari LoginWA dan tidak diubah. Secret bisa di-regenerate kapan saja.
👤 Akses least-privilege
Akses internal ke sistem produksi dibatasi hanya untuk orang yang membutuhkannya, dengan cakupan seminimal mungkin, dan dicabut saat tidak lagi diperlukan. Autentikasi memakai HTTP Bearer token atau header X-Api-Key, dan endpoint terproteksi juga membutuhkan langganan aktif.
🗂️ Penanganan & minimisasi data
Kami hanya mengumpulkan yang diperlukan untuk mengirim pesan dan memverifikasi pengguna — terutama nomor telepon dan metadata verifikasi. Kode OTP di-hash dan otomatis kedaluwarsa; kami tidak menyimpan isi pesan melebihi yang diperlukan untuk menjalankan layanan. Lihat Kebijakan Privasi kami untuk detail lengkap.
- Simpan secret API key Anda di sisi server; jangan pernah memaparkannya di kode sisi klien atau repositori publik.
- Selalu verifikasi HMAC X-LoginWA-Signature sebelum mempercayai payload webhook yang masuk.
- Aktifkan whitelist IP agar hanya server Anda yang bisa memanggil API.
- Rotasi API key dan webhook secret secara berkala, dan segera jika Anda mencurigai adanya kebocoran.
Kami menerima laporan dari peneliti keamanan. Jika Anda menemukan kerentanan, mohon laporkan secara privat ke [email protected] (atau lewat halaman kontak) dan beri kami waktu yang wajar untuk menyelidiki dan memperbaiki sebelum diungkap ke publik. Mohon jangan mengakses atau mengubah data yang bukan milik Anda, menurunkan kualitas layanan kami, atau menjalankan pemindaian otomatis yang dapat mengganggu pelanggan lain. Kami berterima kasih atas riset yang dilakukan dengan itikad baik dan akan mengakui laporan yang valid.