Kebijakan Privasi

BayarOn berkomitmen melindungi privasi data pribadi Anda sesuai dengan UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) dan praktik keamanan industri terbaik. Kebijakan Privasi ini menjelaskan bagaimana kami mengumpulkan, menggunakan, menyimpan, dan melindungi data Anda.

1. Data yang Kami Kumpulkan

1.1 Data Identitas

• Nama lengkap, email, nomor telepon
• NIK (Nomor Induk Kependudukan)
• Foto KTP & foto selfie dengan KTP
• Tanggal lahir, alamat domisili

1.2 Data Bisnis

• Nama bisnis, kategori usaha, NPWP
• Website / akun media sosial bisnis
• Estimasi volume transaksi

1.3 Data Keuangan

• Nomor rekening bank dan nama pemilik rekening
• Riwayat transaksi dan saldo akun
• Data kartu (untuk pemegang kartu, dilindungi tokenisasi PCI DSS)

1.4 Data Teknis

• Alamat IP, jenis perangkat, browser yang digunakan
• Lokasi geografis perkiraan
• Data interaksi dengan dashboard (login time, fitur yang dipakai)
• Cookie dan session token

2. Tujuan Penggunaan Data

Kami menggunakan data Anda untuk:

• Verifikasi identitas (KYC) sesuai regulasi OJK & PPATK
• Memproses transaksi pembayaran antara Merchant dan Pelanggan
• Melakukan settlement & penarikan dana ke rekening bank Anda
• Mendeteksi & mencegah fraud serta aktivitas mencurigakan
• Memberikan dukungan pelanggan dan menanggapi pertanyaan
• Mengirim notifikasi penting seperti status transaksi, pembaruan layanan
• Memenuhi kewajiban hukum & regulasi yang berlaku di Indonesia
• Meningkatkan layanan melalui analitik agregat (data anonim)

3. Berbagi Data dengan Pihak Ketiga

Data Anda HANYA dibagikan kepada:

1. Mitra Penyedia Pembayaran (iPaymu, bank, jaringan kartu, e-wallet) sebatas yang diperlukan untuk memproses transaksi.
2. Otoritas Hukum (Kepolisian, OJK, PPATK, Kejaksaan, Pengadilan) atas permintaan resmi sesuai prosedur hukum.
3. Penyedia Infrastruktur (cloud hosting, email service, monitoring) yang terikat perjanjian kerahasiaan dan standar keamanan.
4. Auditor Independen untuk keperluan audit kepatuhan, dengan kewajiban kerahasiaan.

Kami TIDAK menjual data Anda kepada pihak ketiga manapun untuk tujuan pemasaran.

4. Keamanan Data

Kami menerapkan kontrol keamanan teknis dan organisasi termasuk:

• Enkripsi SSL/TLS 256-bit untuk semua koneksi
• Enkripsi at-rest untuk data sensitif di database
• Tokenisasi PCI DSS untuk data kartu kredit/debit
• Multi-factor authentication (MFA) untuk akses internal
• Audit log & monitoring 24/7 untuk deteksi anomali
• Pelatihan keamanan berkala untuk staf BayarOn
• Kontrol akses berbasis peran (RBAC) dengan prinsip least privilege

5. Penyimpanan Data

Data disimpan di server cloud yang berlokasi di Indonesia atau wilayah ASEAN sesuai peraturan PP No. 71/2019. Data disimpan selama:

• Akun aktif: selama Anda menggunakan Layanan
• Setelah akun tidak aktif: 5 tahun sesuai kewajiban dokumen pajak & PPATK
• Setelah masa retensi: data dihapus atau dianonimkan secara permanen

6. Hak Anda Sebagai Subjek Data

Sesuai UU PDP, Anda berhak untuk:

1. Mengakses data pribadi yang kami simpan
2. Memperbaiki data yang tidak akurat
3. Menghapus data Anda (kecuali yang wajib disimpan untuk kewajiban hukum)
4. Membatasi pemrosesan data Anda
5. Memindahkan data Anda ke layanan lain (data portability)
6. Mencabut persetujuan kapan saja
7. Mengajukan keberatan atas pemrosesan data

Untuk menggunakan hak ini, hubungi kami via [email protected] dengan menyertakan bukti identitas. Kami akan merespons dalam 30 hari kerja.

7. Cookie & Pelacakan

BayarOn menggunakan cookie untuk:

• Cookie esensial: untuk fungsi login dan keamanan (tidak dapat dimatikan)
• Cookie analitik: untuk memahami penggunaan layanan secara agregat
• Cookie preferensi: untuk menyimpan pengaturan pengguna

Anda dapat mengelola cookie melalui pengaturan browser Anda.

8. Anak di Bawah Umur

Layanan BayarOn tidak ditujukan untuk anak di bawah 17 tahun. Kami tidak secara sengaja mengumpulkan data anak di bawah umur. Apabila orang tua/wali menemukan data anak terkumpul, silakan hubungi kami untuk penghapusan.

9. Transfer Data Internasional

Data Anda umumnya disimpan di Indonesia. Apabila terjadi transfer data ke luar negeri (misalnya untuk monitoring dari penyedia cloud global), kami memastikan negara tujuan memiliki perlindungan data yang setara atau menggunakan standar contractual clauses sesuai UU PDP.

10. Notifikasi Pelanggaran Data

Apabila terjadi pelanggaran data yang berdampak material pada hak Anda, kami akan menotifikasikan kepada Anda dan otoritas terkait dalam waktu 3x24 jam sesuai UU PDP.

11. Perubahan Kebijakan

Kebijakan ini dapat diperbarui sewaktu-waktu. Perubahan signifikan akan dinotifikasikan melalui email dan dashboard. Tanggal "Terakhir diperbarui" di atas selalu menunjukkan versi terkini.

12. Petugas Pelindungan Data (DPO)

Untuk pertanyaan terkait privasi atau menggunakan hak Anda, hubungi DPO kami:

• Email: [email protected]
• Email umum: [email protected]
• Alamat: Jakarta, Indonesia