Vibeprinting.id

Kebijakan Privasi

Berlaku efektif: 14 Mei 2026 · Versi 1.0 (closed beta) · Mengacu pada UU No. 27/2022 tentang Perlindungan Data Pribadi (UU PDP)

Draft closed beta. Kebijakan ini akan di-formalisasi oleh konsultan hukum sebelum public launch. Versi final mencakup Data Protection Officer (DPO) appointment + Privacy Impact Assessment per UU PDP Pasal 53.

Ringkasan singkat

  • Kami hanya kumpulkan data yang dibutuhkan untuk layanan.
  • Data sensitif (KTP, rekening) di-enkripsi at-rest + in-transit.
  • Tidak ada penjualan data ke pihak ketiga.
  • Kamu bisa minta export/delete data kamu kapan saja (SLA 30 hari).

1. Data yang Kami Kumpulkan

Buyer:

  • Email + password (di-hash via bcrypt)
  • Nama lengkap, nomor HP, alamat pengiriman
  • Riwayat pembelian + metode pembayaran (referensi, bukan nomor kartu lengkap)

Designer (data tambahan):

  • Foto KTP/Passport untuk KYC (disimpan terpisah, akses terbatas admin)
  • NPWP (kalau ada) untuk pelaporan PPh
  • Rekening bank atau e-wallet untuk payout royalti
  • Portfolio + karya yang di-upload (dianggap public setelah approved)

Mitra Cetak (data tambahan):

  • Akta perusahaan, NIB, SIUP (untuk verifikasi entitas legal)
  • Data PIC operasional (nama, HP, email)

Data teknis (otomatis):

  • IP address (untuk fraud detection + audit log)
  • User-agent + device info
  • Cookies untuk session + analytics (lihat banner consent saat kunjungan pertama)

2. Tujuan Penggunaan Data

  • Operasi layanan: order processing, payment, pengiriman, royalti
  • Komunikasi: notifikasi order, email payout, support ticket
  • Compliance: audit trail (UU ITE Pasal 6 — "dijamin keutuhannya"), PPh withholding (UU Perpajakan)
  • Improvement: analytics aggregate untuk UX optimization (tidak personal)
  • Keamanan: fraud detection, abuse prevention

3. Pihak Ketiga yang Memproses Data

Kami menggunakan vendor terpercaya untuk infrastruktur:

  • Supabase (USA + Singapore region): Database + Auth + Storage. Data Pribadi disimpan di server Singapore (closest ke Indonesia, low latency).
  • Cloudflare R2 (multiple regions): Object storage untuk karya + mockup. Files designer di-encrypt at-rest.
  • Xendit (Indonesia, OJK-licensed): Payment gateway. Kami tidak menyimpan nomor kartu / VA secara penuh.
  • Biteship (Indonesia): Shipping aggregator. Alamat pengiriman dikirim ke API mereka untuk rate + label creation.
  • Resend (USA): Email delivery. Email + nama recipient dikirim ke API mereka.
  • Sentry + PostHog: Error monitoring + product analytics. IP + user-agent di-anonimasi sebelum dikirim.

Semua vendor di atas memiliki kebijakan privasi mereka sendiri. Kami pilih yang patuh GDPR / SOC 2 untuk standar keamanan minimal.

4. Hak Kamu Sebagai Subjek Data (UU PDP)

  • Akses: minta salinan data pribadi yang kami simpan (SLA 30 hari)
  • Koreksi: minta perbaikan data yang salah/usang
  • Penghapusan: minta data dihapus (kecuali yang wajib disimpan untuk compliance, mis. audit log 5 tahun per UU Perpajakan)
  • Pembatasan pemrosesan: minta data tidak dipakai untuk marketing/analytics
  • Portabilitas: dapat data dalam format yang bisa di-export (JSON/CSV)
  • Penolakan profiling: minta tidak ada keputusan otomatis yang mempengaruhi kamu signifikan (e.g., tier auto-promote)

Cara: email privacy@vibeprinting.id dengan subject "Permintaan Akses/Koreksi/Hapus Data".

5. Keamanan Data

  • HTTPS/TLS 1.3 untuk semua koneksi
  • Password hashing via bcrypt (cost factor 12)
  • Row-Level Security (RLS) pada database — data designer A tidak bisa diakses designer B
  • Audit log (sha256 hash chain) untuk setiap aksi admin yang sensitive
  • MFA untuk akun admin Platform
  • Backup harian off-site untuk disaster recovery

6. Cookies

Kami pakai cookies untuk:

  • Esensial: session login (tidak opt-out, dibutuhkan untuk login)
  • Analytics: PostHog tracking (consent-based via banner)
  • Tidak ada cookie untuk advertising: kami tidak jual iklan

7. Retensi Data

  • Akun aktif: selama akun masih dipakai
  • Akun deactivated: data personal di-delete 90 hari setelah deactivation request
  • Riwayat transaksi: 5 tahun (sesuai UU Perpajakan untuk audit)
  • Audit log: 5 tahun (compliance Permendag 31/2023 & UU ITE Pasal 6)
  • KTP / dokumen KYC: delete setelah akun terverifikasi (tidak butuh disimpan lama)

8. Anak di Bawah Umur

Platform diperuntukkan usia 17 tahun ke atas. Buyer di bawah 17 wajib persetujuan orang tua/wali. Kami tidak sengaja mengumpulkan data anak.

9. Pelaporan Pelanggaran Data

Sesuai UU PDP, kami akan melaporkan kebocoran data ke BSSN (Badan Siber dan Sandi Negara) dalam 14 hari sejak diketahui, dan menotifikasi subjek data yang terdampak via email.

10. Kontak Privacy