Kebijakan Privasi

Komitmen HARAYA dalam melindungi privasi dan data pribadi pengguna layanan API PPOB

Terakhir diperbarui: 05 June 2026

Pendahuluan

HARAYA berkomitmen untuk melindungi privasi dan keamanan data pribadi Anda. Kebijakan Privasi ini menjelaskan bagaimana kami mengumpulkan, menggunakan, menyimpan, dan melindungi informasi pribadi Anda ketika menggunakan layanan API PPOB kami.

Dengan menggunakan layanan HARAYA, Anda menyetujui praktik yang dijelaskan dalam Kebijakan Privasi ini. Jika Anda tidak menyetujui kebijakan ini, mohon untuk tidak menggunakan layanan kami.

1. Informasi yang Kami Kumpulkan

1.1 Data Pribadi

Kami mengumpulkan data pribadi berikut:

  • Informasi Identitas: Nama lengkap, email, nomor telepon
  • Informasi Bisnis: Nama perusahaan, alamat, bidang usaha
  • Informasi Akun: Username, password (ter-hash), preferensi akun
  • Informasi Finansial: Data transaksi, history pembayaran, saldo
  • Data Verifikasi: Dokumen KTP, NPWP, atau dokumen bisnis lainnya

1.2 Data Teknis

  • Log Akses: IP address, browser, device information, timestamp
  • API Usage: Endpoint yang diakses, response time, error logs
  • Performance Data: Statistik penggunaan, pattern transaksi
  • Security Logs: Attempt login, suspicious activities

1.3 Data Transaksi

  • Detail Transaksi: Jenis layanan, nominal, waktu, status
  • Data Pelanggan Akhir: Nomor HP, nomor pelanggan (untuk PPOB)
  • Metadata: Referensi order, callback URLs, custom fields

2. Cara Kami Mengumpulkan Informasi

2.1 Pengumpulan Langsung

  • Formulir registrasi dan onboarding
  • Profile update dan pengaturan akun
  • Komunikasi customer support
  • Survey dan feedback form

2.2 Pengumpulan Otomatis

  • Server logs dan access logs
  • API calls dan response tracking
  • Error monitoring dan debugging
  • Security monitoring sistem

2.3 Dari Pihak Ketiga

  • Verifikasi identitas melalui provider KYC
  • Data enrichment untuk fraud prevention
  • Payment gateway untuk processing pembayaran

3. Tujuan Penggunaan Data

Operasional Layanan

  • Penyediaan layanan API PPOB
  • Processing transaksi dan pembayaran
  • Account management dan autentikasi
  • Technical support dan troubleshooting
  • Monitoring system performance

Keamanan & Compliance

  • Fraud detection dan prevention
  • Security monitoring
  • Compliance regulatory
  • Risk assessment
  • Audit trail dan forensik

Peningkatan Layanan

  • Analytics dan business intelligence
  • Product development
  • User experience optimization
  • Performance tuning
  • Market research

Komunikasi

  • Notifikasi transaksi
  • System maintenance alerts
  • Marketing communications
  • Newsletter dan updates
  • Customer satisfaction survey

4. Dasar Hukum Pemrosesan Data

Kami memproses data pribadi Anda berdasarkan dasar hukum berikut:

1

Pelaksanaan Kontrak

Untuk melaksanakan layanan API PPOB sesuai dengan perjanjian yang telah disepakati

2

Kewajiban Hukum

Untuk memenuhi kewajiban regulatory seperti AML, KYC, dan pelaporan ke otoritas

3

Kepentingan yang Sah

Untuk fraud prevention, security monitoring, dan peningkatan kualitas layanan

4

Persetujuan

Untuk komunikasi marketing dan penggunaan data untuk tujuan secondary lainnya

5. Pembagian Data dengan Pihak Ketiga

Prinsip Umum

HARAYA TIDAK akan menjual, menyewakan, atau memberikan data pribadi Anda kepada pihak ketiga untuk tujuan komersial tanpa persetujuan eksplisit dari Anda.

5.1 Pembagian yang Diizinkan

Service Providers

Cloud hosting (AWS/GCP), payment gateway, monitoring tools dengan Data Processing Agreement (DPA)

Business Partners

Provider PPOB, bank partner, untuk keperluan processing transaksi dengan data minimal

Otoritas Regulasi

Bank Indonesia, OJK, atau lembaga pemerintah lain sesuai kewajiban hukum

Legal Process

Penegak hukum dengan surat perintah yang sah atau dalam situasi emergency

5.2 Perlindungan dalam Pembagian

  • Data Processing Agreement (DPA) dengan semua service provider
  • Minimal data yang diperlukan (principle of data minimization)
  • Enkripsi data in-transit dan at-rest
  • Regular audit dan compliance monitoring
  • Retention policy dan secure deletion

6. Penyimpanan dan Keamanan Data

6.1 Lokasi Penyimpanan

  • Primary: Data center di Indonesia (untuk compliance dengan UU PDP)
  • Backup: Replikasi ke data center regional (Singapura/Malaysia)
  • DR Site: Disaster recovery site dengan enkripsi end-to-end

6.2 Measures Keamanan Teknis

Enkripsi

  • AES-256 untuk data at-rest
  • TLS 1.3 untuk data in-transit
  • Field-level encryption untuk PII
  • Key management dengan HSM

Access Control

  • Multi-factor authentication
  • Role-based access control (RBAC)
  • Principle of least privilege
  • Regular access review

Monitoring

  • 24/7 security monitoring
  • Intrusion detection system
  • Anomaly detection
  • Regular vulnerability assessment

Backup & Recovery

  • Automated daily backup
  • Point-in-time recovery
  • Disaster recovery testing
  • RTO < 4 hours, RPO < 1 hour

6.3 Measures Keamanan Organisasi

  • Screening karyawan dan background check
  • Regular security awareness training
  • Incident response plan dan procedures
  • Data classification dan handling guidelines
  • Vendor risk assessment program

7. Periode Penyimpanan Data

Jenis Data Periode Retensi Dasar Hukum
Data Registrasi & Profile Selama akun aktif + 2 tahun Keperluan audit & compliance
Data Transaksi 5 tahun Regulasi Bank Indonesia
Log Akses & API 1 tahun Security monitoring
Data Marketing Consent Hingga withdrawal consent Basis persetujuan
Backup Data 6 bulan Business continuity

Catatan Penting:

  • Data akan dihapus secara aman setelah periode retensi berakhir
  • Penghapusan menggunakan secure deletion standards (NIST 800-88)
  • Certificate of destruction akan disediakan jika diminta
  • Periode retensi dapat diperpanjang jika ada kewajiban hukum

8. Hak-Hak Anda Sebagai Subjek Data

Sesuai dengan UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi, Anda memiliki hak-hak berikut:

Hak Akses & Informasi

  • Right to Access: Meminta salinan data pribadi yang kami proses
  • Right to Information: Mendapat informasi tentang pemrosesan data
  • Data Portability: Mendapat data dalam format yang dapat dipindahkan

Hak Koreksi & Penghapusan

  • Right to Rectification: Memperbaiki data yang tidak akurat
  • Right to Erasure: Menghapus data dalam kondisi tertentu
  • Right to Complete: Melengkapi data yang tidak lengkap

Hak Kontrol

  • Right to Consent Withdrawal: Menarik persetujuan kapan saja
  • Right to Restrict: Membatasi pemrosesan data
  • Right to Object: Menolak pemrosesan untuk tujuan tertentu

Hak Legal

  • Right to Complain: Mengajukan keluhan ke otoritas
  • Right to Compensation: Mendapat kompensasi atas kerugian
  • Right to Legal Action: Mengajukan tindakan hukum

8.1 Cara Menggunakan Hak Anda

Untuk menggunakan hak-hak di atas, silakan hubungi:

  • Email: [email protected]
  • Form Online: Dashboard akun → Privacy Settings
  • Response Time: Maksimal 30 hari kalender
  • Verifikasi: Diperlukan verifikasi identitas untuk keamanan

9. Transfer Data Lintas Batas

Prinsip Transfer

HARAYA berkomitmen menyimpan data pribadi Anda di Indonesia. Transfer ke luar negeri hanya dilakukan untuk keperluan operasional dengan perlindungan yang memadai.

9.1 Kasus Transfer yang Diizinkan

  • Cloud Services: Backup ke data center regional (AWS Singapore/GCP Malaysia) dengan enkripsi
  • Technical Support: Troubleshooting oleh vendor internasional dengan data anonymized
  • Compliance: Reporting ke group company untuk audit dan compliance

9.2 Safeguards untuk Transfer

Standard Contractual Clauses (SCC) dengan semua service provider
Adequacy decision atau certification untuk negara tujuan
Data minimization dan pseudonymization sebelum transfer
Regular monitoring dan audit terhadap recipient

10. Perlindungan Data Anak-Anak

Layanan HARAYA ditujukan untuk bisnis dan tidak dimaksudkan untuk digunakan oleh anak-anak di bawah 18 tahun.

Kami tidak secara sengaja mengumpulkan data pribadi dari anak-anak di bawah 18 tahun. Jika kami mengetahui bahwa kami telah mengumpulkan data pribadi anak di bawah 18 tahun tanpa persetujuan orang tua yang dapat diverifikasi, kami akan:

  • Segera menghapus informasi tersebut dari server kami
  • Menutup akun yang terkait
  • Menghubungi orang tua/wali jika memungkinkan
  • Memperkuat measures verifikasi usia

Jika Anda adalah orang tua atau wali dan mengetahui bahwa anak Anda telah memberikan data pribadi kepada kami, silakan hubungi kami di [email protected].

11. Perubahan Kebijakan Privasi

Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu untuk mencerminkan perubahan dalam praktik kami atau untuk alasan operasional, hukum, atau regulasi lainnya.

11.1 Jenis Perubahan

Minor Changes

Perbaikan editorial, clarification, atau update kontak - efektif langsung setelah publikasi

Material Changes

Perubahan tujuan penggunaan, penerima data, atau hak subjek data - notifikasi 30 hari sebelumnya

Fundamental Changes

Perubahan mendasar yang memerlukan persetujuan ulang - explicit consent required

11.2 Notifikasi Perubahan

  • Email Notification: Ke alamat email yang terdaftar
  • Dashboard Alert: Popup notification saat login
  • Website Banner: Prominent notice di halaman utama
  • API Response: Header notification untuk material changes

Catatan: Dengan terus menggunakan layanan kami setelah perubahan berlaku, Anda menyetujui Kebijakan Privasi yang telah diperbarui. Jika Anda tidak menyetujui perubahan, silakan hentikan penggunaan layanan dan hubungi kami untuk menghapus akun Anda.

12. Data Protection Officer (DPO)

Untuk semua pertanyaan terkait privasi dan perlindungan data, silakan hubungi Data Protection Officer kami:

Email: [email protected]
WhatsApp: +62 838-2150-0659
Alamat: Jakarta, Indonesia
Response Time: Maksimal 72 jam untuk acknowledgment, 30 hari untuk resolution

12.1 Kapan Menghubungi DPO

  • Pertanyaan tentang bagaimana data Anda diproses
  • Permintaan untuk menggunakan hak-hak subjek data
  • Keluhan tentang praktik privasi kami
  • Laporan pelanggaran data atau security incident
  • Permintaan informasi tentang transfer data internasional
  • Saran untuk peningkatan praktik privasi

12.2 Otoritas Pengawas

Jika Anda tidak puas dengan respons kami, Anda dapat mengajukan keluhan kepada:

Kementerian Komunikasi dan Informatika RI

Direktorat Jenderal Aplikasi Informatika

Email: [email protected]

Website: kominfo.go.id

Kebijakan Privasi ini berlaku efektif sejak tanggal terakhir diperbarui. Dengan menggunakan layanan HARAYA, Anda mengakui bahwa Anda telah membaca dan memahami kebijakan ini.

© 2026 HARAYA. Semua hak dilindungi undang-undang.