Kebijakan Privasi

Kebijakan Privasi ini menjelaskan bagaimana payco.id ("kami") mengumpulkan, menggunakan, menyimpan, dan melindungi data pribadi Anda saat Anda menggunakan layanan kami. Dokumen ini disusun mengacu pada Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) dan peraturan turunannya.

2.1. Data Kreator

• Data akun: nama, alamat email, password (di-hash), nomor telepon.
• Data identitas KYC: foto KTP, foto selfie, nomor NPWP (jika ada), data rekening bank — diproses dan disimpan oleh Penyedia Pembayaran (Xendit/Midtrans), bukan oleh kami.
• Data tenant: slug subdomain, nama brand, domain custom, pengaturan tampilan.
• Data penggunaan: log aktivitas dashboard, IP address, user agent, timestamp.

2.2. Data Pelanggan Kreator

• Pada saat checkout: nama, alamat email, nomor telepon, channel pembayaran yang dipilih, jumlah transaksi.
• Data ini bersifat pass-through — kami menyimpan untuk keperluan pemrosesan transaksi dan pelaporan ke Kreator, namun kepemilikan data tetap pada Kreator sebagai pengendali data.

2.3. Data Pengunjung Halaman

• Halaman milik Kreator dapat memuat skrip pelacak (Meta Pixel, Google Tag Manager) yang dipasang oleh Kreator. Data yang dikumpulkan oleh skrip tersebut diatur oleh kebijakan privasi Kreator dan pihak penyedia skrip (Meta, Google).
• Kami juga menempatkan cookie minimum untuk keperluan teknis (sesi login, status sidebar collapse).

• Menyediakan, mengoperasikan, dan memelihara Layanan.
• Memproses transaksi pembayaran dan menampilkan riwayat transaksi di dashboard Kreator.
• Mengirim notifikasi terkait akun, transaksi, dan layanan.
• Mendeteksi dan mencegah aktivitas penipuan, penyalahgunaan, atau pelanggaran keamanan.
• Memenuhi kewajiban hukum, termasuk pelaporan pajak dan permintaan otoritas berwenang.
• Meningkatkan kualitas Layanan melalui analisis penggunaan agregat.

Kami membagikan data hanya kepada pihak ketiga berikut:

• Xendit & Midtrans — untuk memproses pembayaran dan verifikasi KYC. Tunduk pada kebijakan privasi masing-masing.
• Vercel — sebagai penyedia hosting dan layanan domain (verifikasi DNS, SSL).
• Supabase — sebagai penyedia database dan storage. Server berada di lokasi yang ditentukan dalam pengaturan project.
• Amazon Web Services (AWS) — untuk penyimpanan aset (S3) dan pengiriman email transaksional (SES).
• Penegak hukum dan otoritas berwenang — apabila diwajibkan oleh peraturan perundang-undangan atau perintah pengadilan yang sah.

Kami tidak menjual data pribadi kepada pihak ketiga untuk tujuan periklanan.

• Password disimpan dalam bentuk hash dengan algoritma yang kuat dan tidak dapat dibalik.
• Data pribadi sensitif (PII Pelanggan: email, nomor telepon) dienkripsi saat disimpan (encryption at rest) sejauh dapat diterapkan.
• Komunikasi antara browser dan server selalu menggunakan TLS/HTTPS.
• Akses ke database dibatasi melalui Row Level Security (RLS) sehingga Kreator hanya dapat mengakses data tenant-nya sendiri.
• Webhook pembayaran selalu diverifikasi tanda tangan (signature/secret) sebelum data transaksi diperbarui.

• Data akun disimpan selama akun aktif dan untuk jangka waktu wajar setelah penghentian guna keperluan audit dan kepatuhan.
• Data transaksi pembayaran disimpan paling sedikit 10 tahun sesuai ketentuan perpajakan dan peraturan jasa keuangan yang berlaku.
• Data pelacak (Meta Pixel/GTM) tunduk pada kebijakan retensi masing-masing penyedia.

Sesuai UU PDP, Anda memiliki hak untuk:

• Mengakses data pribadi yang kami simpan tentang Anda.
• Memperbaiki data yang tidak akurat atau tidak lengkap.
• Menghapus data pribadi (kecuali yang wajib disimpan secara hukum).
• Membatasi atau menolak pemrosesan data dalam kondisi tertentu.
• Memperoleh salinan data dalam format yang dapat dibaca mesin.
• Menarik persetujuan kapan saja (penarikan tidak berlaku surut).

Permintaan dapat dikirim ke privacy@payco.id dan akan kami tanggapi dalam waktu paling lambat 30 hari kerja.

Untuk data Pelanggan yang dikumpulkan melalui halaman milik Kreator, Kreator berperan sebagai pengendali data (data controller) dan payco.id berperan sebagai prosesor data (data processor). Kreator wajib memiliki kebijakan privasi sendiri yang mengatur penggunaan data Pelanggan dan mematuhi peraturan perlindungan data yang berlaku.

• Cookie esensial: diperlukan untuk fungsi dasar (login, sesi sidebar). Tidak dapat dimatikan.
• Cookie pelacak: hanya dipasang oleh Kreator melalui Meta Pixel atau GTM. Anda dapat memblokir lewat pengaturan browser.

Beberapa penyedia layanan kami (AWS, Vercel) dapat menyimpan data di server yang berlokasi di luar wilayah Indonesia. Kami memastikan transfer tersebut dilakukan dengan tingkat perlindungan yang setara dan/atau berdasarkan persetujuan Anda sebagaimana diatur dalam UU PDP.

Layanan ini tidak ditujukan untuk pengguna di bawah usia 18 tahun. Kami tidak dengan sengaja mengumpulkan data pribadi dari anak di bawah umur. Jika Anda mengetahui hal ini terjadi, mohon segera hubungi kami untuk penghapusan.

Kebijakan Privasi ini dapat kami perbarui dari waktu ke waktu. Perubahan material akan kami beritahukan melalui dashboard dan/atau email terdaftar paling lambat 14 hari sebelum berlaku.

Pertanyaan, keluhan, atau permintaan terkait data pribadi dapat dikirim ke:

• Email: privacy@payco.id
• Email umum: halo@payco.id

Anda juga dapat mengajukan pengaduan kepada Kementerian Komunikasi dan Informatika atau lembaga pengawas perlindungan data pribadi sesuai ketentuan UU PDP.