1. Pendahuluan
Xvault ("kami", "Platform") berkomitmen untuk melindungi privasi dan data pribadi Pengguna sesuai dengan Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) serta peraturan perundang-undangan yang berlaku di Republik Indonesia. Kebijakan Privasi ini menjelaskan bagaimana kami mengumpulkan, menggunakan, menyimpan, membagikan, dan melindungi data pribadi Anda saat menggunakan layanan kami.
2. Data yang Kami Kumpulkan
2.1. Data yang Anda Berikan Secara Langsung
Saat mendaftar dan menggunakan Platform, kami mengumpulkan: (a) nama lengkap dan nama tampilan; (b) alamat email; (c) username dan password (password disimpan dalam bentuk hash, bukan teks biasa); (d) informasi rekening bank atau e-wallet untuk pencairan dana (nama bank, nomor rekening, nama pemilik rekening); (e) informasi terkait transaksi yang Anda buat atau ikuti.
2.2. Data yang Dikumpulkan Secara Otomatis
Saat Anda mengakses Platform, kami secara otomatis mengumpulkan: (a) alamat IP (Internet Protocol); (b) jenis dan versi browser; (c) jenis perangkat dan sistem operasi; (d) halaman yang diakses dan waktu akses; (e) data cookie yang esensial untuk otentikasi dan sesi.
2.3. Data Transaksi
Kami mencatat seluruh data transaksi yang dilakukan melalui Platform, termasuk: nama produk, harga, status transaksi, waktu pembayaran, riwayat dispute, dan rating. Data ini diperlukan untuk menjalankan layanan dan menyelesaikan sengketa.
3. Dasar Hukum Pemrosesan Data
Kami memproses data pribadi Anda berdasarkan landasan hukum berikut sesuai UU PDP:
(a) Pelaksanaan Perjanjian — pemrosesan data diperlukan untuk menjalankan layanan transaksi yang Anda minta, termasuk pembuatan akun, pemrosesan transaksi, dan pencairan dana;
(b) Kewajiban Hukum — pemrosesan data diperlukan untuk memenuhi kewajiban hukum, termasuk namun tidak terbatas pada pelaporan pajak dan pencegahan pencucian uang sesuai peraturan yang berlaku;
(c) Kepentingan Sah — pemrosesan data diperlukan untuk menjaga keamanan platform, mencegah penipuan, dan meningkatkan kualitas layanan;
(d) Persetujuan — untuk tujuan tertentu seperti pengiriman komunikasi pemasaran dan promosi, kami meminta persetujuan eksplisit Anda yang dapat ditarik kembali kapan saja.
4. Penggunaan Data
Data pribadi Anda digunakan untuk: (a) memproses pendaftaran akun dan verifikasi identitas; (b) memfasilitasi transaksi jual beli produk digital antara Seller dan Buyer; (c) memproses pembayaran dan pencairan dana melalui payment gateway; (d) mengirimkan notifikasi terkait transaksi, pembayaran, dan aktivitas akun; (e) menjalankan sistem dispute dan resolusi sengketa; (f) mencegah penipuan, penyalahgunaan, dan aktivitas ilegal; (g) meningkatkan keamanan dan kualitas layanan Platform; (h) mematuhi kewajiban hukum dan peraturan perundang-undangan yang berlaku; (i) mengirimkan komunikasi pemasaran (hanya dengan persetujuan Anda).
5. Berbagi Data dengan Pihak Ketiga
Kami dapat membagikan data pribadi Anda kepada pihak ketiga berikut dengan tetap menjaga kerahasiaan dan keamanan data:
(a) Payment Gateway (iPaymu / penyedia pembayaran berlisensi BI) — untuk memproses transaksi pembayaran dan pencairan dana. Payment gateway terikat oleh kebijakan privasi dan regulasi Bank Indonesia tersendiri;
(b) Penyedia Layanan Cloud dan Infrastruktur — untuk penyimpanan data yang terenkripsi dan operasional Platform. Data dapat disimpan di server yang berlokasi di luar Indonesia, namun kami memastikan penyedia layanan memenuhi standar perlindungan data yang setara atau lebih baik;
(c) Penyedia Layanan Email — untuk pengiriman notifikasi transaksional dan komunikasi terkait layanan;
(d) Otoritas Hukum dan Pemerintah — jika diwajibkan oleh peraturan perundang-undangan, perintah pengadilan, atau proses hukum yang sah.
Kami tidak pernah menjual data pribadi Anda kepada pihak ketiga untuk tujuan pemasaran atau tujuan komersial lainnya.
6. Transfer Data Lintas Batas
Dalam menjalankan layanan, data Anda mungkin diproses atau disimpan di server yang berlokasi di luar wilayah Republik Indonesia (misalnya layanan cloud hosting). Dalam hal transfer data lintas batas, kami memastikan: (a) penerima data memiliki tingkat perlindungan data pribadi yang setara atau lebih baik; (b) terdapat perjanjian pemrosesan data yang mengikat dengan penyedia layanan; (c) transfer dilakukan sesuai ketentuan Pasal 56 UU PDP mengenai transfer data pribadi ke luar wilayah hukum Indonesia.
7. Penyimpanan & Retensi Data
Kami menyimpan data pribadi Anda selama diperlukan untuk memenuhi tujuan pemrosesan atau sesuai kewajiban hukum: (a) data akun disimpan selama akun aktif dan 30 hari setelah penghapusan akun; (b) data transaksi disimpan selama 5 (lima) tahun sesuai kewajiban pembukuan dan perpajakan; (c) log keamanan dan audit disimpan selama 1 (satu) tahun; (d) file digital yang diunggah dihapus 30 hari setelah transaksi selesai atau dibatalkan; (e) data backup dihapus dalam waktu 90 hari setelah data asli dihapus.
Setelah masa retensi berakhir, data akan dihapus secara permanen atau dianonimkan sehingga tidak dapat dikaitkan kembali dengan identitas Anda.
8. Hak Anda sebagai Subjek Data
Sesuai UU PDP No. 27 Tahun 2022, Anda memiliki hak-hak berikut atas data pribadi Anda:
(a) Hak Akses — mengakses dan mendapatkan salinan data pribadi Anda yang kami proses;
(b) Hak Perbaikan — meminta perbaikan atau pembaruan data pribadi yang tidak akurat atau tidak lengkap;
(c) Hak Penghapusan — meminta penghapusan data pribadi Anda, dengan pengecualian data yang wajib disimpan berdasarkan kewajiban hukum;
(d) Hak Penarikan Persetujuan — menarik kembali persetujuan yang telah diberikan untuk pemrosesan data tertentu (misalnya komunikasi pemasaran);
(e) Hak Keberatan — mengajukan keberatan atas pemrosesan data pribadi Anda dalam kondisi tertentu;
(f) Hak Portabilitas — mendapatkan data pribadi Anda dalam format yang terstruktur dan umum digunakan;
(g) Hak Pembatasan — meminta pembatasan pemrosesan data pribadi dalam kondisi tertentu.
Untuk menjalankan hak-hak di atas, hubungi kami di privacy@xvault.id atau support@xvault.id. Kami akan memproses permintaan Anda dalam waktu 3x24 jam kerja dan menyelesaikannya dalam waktu maksimal 14 hari kerja.
9. Keamanan Data
Kami menerapkan langkah-langkah teknis dan organisasi yang sesuai untuk melindungi data pribadi Anda dari akses tidak sah, pengubahan, pengungkapan, atau penghancuran, meliputi:
(a) Enkripsi data saat transit menggunakan TLS/SSL dan enkripsi saat disimpan (at-rest encryption); (b) Hashing password menggunakan algoritma bcrypt dengan salt unik; (c) Token akses (session token) dengan masa berlaku terbatas dan rotasi otomatis; (d) Autentikasi dua faktor (2FA) untuk keamanan tambahan; (e) Pembatasan akses berdasarkan peran (role-based access control) untuk tim internal; (f) Pemantauan keamanan berkelanjutan dan pencatatan audit log; (g) Pengujian keamanan berkala terhadap infrastruktur Platform.
Meskipun kami berusaha keras melindungi data Anda, tidak ada sistem yang 100% aman. Kami mendorong Pengguna untuk juga menjaga keamanan akun mereka dengan menggunakan password yang kuat dan mengaktifkan 2FA.
10. Cookie & Teknologi Pelacakan
Kami menggunakan cookie yang esensial dan diperlukan untuk: (a) otentikasi pengguna dan manajemen sesi login; (b) menyimpan preferensi pengaturan (seperti tema tampilan); (c) menjaga keamanan dan mencegah serangan CSRF.
Kami tidak menggunakan cookie pelacakan pihak ketiga, cookie untuk keperluan iklan, atau teknologi pelacakan lintas situs (cross-site tracking). Pengguna dapat mengatur cookie melalui pengaturan browser, namun menonaktifkan cookie esensial dapat mempengaruhi fungsi Platform.
11. Perlindungan Data Anak
Platform tidak ditujukan untuk dan tidak secara sadar mengumpulkan data pribadi dari anak di bawah usia 18 tahun. Jika kami mengetahui bahwa data anak di bawah usia 18 tahun telah dikumpulkan, kami akan segera menghapus data tersebut. Orang tua atau wali yang mengetahui bahwa anaknya telah memberikan data pribadi kepada kami tanpa persetujuan dapat menghubungi kami untuk meminta penghapusan.
12. Insiden Keamanan Data
Dalam hal terjadi pelanggaran keamanan data (data breach) yang berdampak pada data pribadi Anda, kami akan: (a) memberitahukan Anda melalui email dan/atau notifikasi di Platform dalam waktu maksimal 3x24 jam sejak insiden teridentifikasi; (b) melaporkan insiden kepada otoritas perlindungan data yang berwenang sesuai ketentuan UU PDP; (c) mengambil langkah-langkah mitigasi yang diperlukan untuk meminimalkan dampak; (d) menyediakan informasi mengenai langkah-langkah yang dapat Anda ambil untuk melindungi diri.
13. Perubahan Kebijakan Privasi
Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu untuk mencerminkan perubahan layanan, praktik bisnis, atau peraturan yang berlaku. Perubahan material akan diberitahukan melalui email dan/atau pemberitahuan di Platform minimal 14 hari sebelum berlaku efektif. Kami menyarankan Anda untuk meninjau Kebijakan Privasi ini secara berkala.
14. Kontak & Pengaduan
Untuk pertanyaan, permintaan, atau pengaduan terkait privasi dan perlindungan data pribadi Anda, silakan hubungi:
Petugas Perlindungan Data (DPO)
Email: privacy@xvault.id
Email Umum: support@xvault.id
Website: xvault-rust.vercel.app
Waktu respons: maksimal 3x24 jam kerja
Apabila Anda merasa bahwa pengaduan Anda tidak ditanggapi dengan memadai, Anda berhak untuk mengajukan pengaduan kepada otoritas perlindungan data yang berwenang sesuai ketentuan UU PDP.
Kebijakan ini merupakan bagian dari Syarat & Ketentuan dan Kebijakan Konten Xvault. Dengan menggunakan Platform kami, Anda menyetujui pemrosesan data pribadi sebagaimana diuraikan dalam Kebijakan Privasi ini.