1. Pendahuluan & Definisi
1.1 Tentang Kebijakan Ini
Kebijakan Privasi ini ("Kebijakan") menjelaskan bagaimana PT. Mitra Kekasir Indonesia ("Kekasir", "Kami", atau "Penyelenggara"), suatu perseroan terbatas yang didirikan berdasarkan hukum Republik Indonesia, berkedudukan di Batam (Mitra Raya 2 Blok D No. 12, Teluk Tering) dan Tanjungpinang (Jl. Gatot Subroto No. 3, Km. 5), mengumpulkan, menggunakan, menyimpan, mengelola, melindungi, dan mengungkapkan data pribadi Anda saat Anda mengunjungi, mendaftar, mengakses, atau menggunakan platform Kekasir.id. PT. Mitra Kekasir Indonesia merupakan perusahaan di bawah naungan PT. Softventure Solusi Digital Indonesia, perusahaan induk teknologi yang menaungi merek Solunesia (solunesia.id) sebagai lini Enterprise Solutions.
Kebijakan ini berlaku untuk seluruh produk, aplikasi, situs, dan layanan yang disediakan oleh Kekasir.id, termasuk namun tidak terbatas pada:
- Dashboard Owner (
dashboard.kekasir.id) — aplikasi web untuk pemilik usaha mengelola outlet, langganan, dan pengaturan - Aplikasi Kasir (POS) — aplikasi PWA (Progressive Web App) untuk staf outlet menjalankan operasional harian
- Self-Order — katalog online dan sistem pemesanan mandiri untuk pelanggan restoran
- Toko Hardware — marketplace perangkat keras fisik untuk operasional kasir
- Situs Informasi — halaman publik Kekasir.id
Kebijakan ini dibuat sebagai wujud kepatuhan Kami terhadap peraturan perundang-undangan terkait perlindungan data pribadi, khususnya UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi ("UU PDP"), serta sebagai komitmen nyata Kami untuk melindungi setiap data pribadi yang dipercayakan kepada Kami.
1.2 Definisi
Dalam Kebijakan ini, istilah-istilah berikut memiliki arti sebagai berikut:
- "Data Pribadi" — Setiap data tentang seseorang yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya, baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik, sebagaimana didefinisikan dalam UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi.
- "Data Pribadi Spesifik" — Data pribadi yang pemrosesannya dapat mengakibatkan dampak yang lebih besar terhadap pemilik data, termasuk data kesehatan, data biometrik, data keuangan, data kehidupan seksual/orientasi seksual, data anak, dan data lainnya sesuai ketentuan peraturan perundang-undangan.
- "Pemrosesan Data" — Setiap operasi atau rangkaian operasi yang dilakukan terhadap Data Pribadi, termasuk pengumpulan, perekaman, penyusunan, penyimpanan, pengadaptasian, pengubahan, pengambilan, penggunaan, pengungkapan melalui pengiriman, penyebarluasan, penggabungan, pembatasan, dan penghapusan.
- "Pengendali Data Pribadi" — PT. Mitra Kekasir Indonesia (di bawah naungan PT. Softventure Solusi Digital Indonesia), sebagai pihak yang menentukan tujuan dan melakukan pemrosesan Data Pribadi.
- "Prosesor Data Pribadi" — Pihak ketiga yang memproses Data Pribadi atas nama dan berdasarkan instruksi dari Pengendali Data Pribadi (misalnya: penyedia infrastruktur pembayaran, penyedia hosting).
- "Subjek Data" atau "Anda" — Setiap orang yang Data Pribadinya diproses oleh Kami, termasuk: pemilik usaha (Owner), staf outlet yang terdaftar, pelanggan akhir yang menggunakan Self-Order, dan pengunjung situs Kekasir.id.
- "Mitra Penyelenggara Pembayaran" — Lembaga penyelenggara jasa pembayaran berlisensi Bank Indonesia, yang bertindak sebagai Prosesor Data untuk pemrosesan pembayaran dan pencairan dana.
- "Softventure" atau "PT. Softventure Solusi Digital Indonesia" — Perusahaan induk (holding company) yang menaungi PT. Mitra Kekasir Indonesia (merek Kekasir.id), berkedudukan di Batam, Kepulauan Riau.
- "Solunesia" — Merek dagang di bawah PT. Softventure Solusi Digital Indonesia (
solunesia.id) yang menyediakan dukungan teknis Enterprise Solutions bagi Kekasir.id. - "Toko Alat Kasir Pro" — Mitra penyedia perangkat keras kasir Kekasir.id, memiliki toko fisik di Batam dan Tanjungpinang, authorized dealer dan service center resmi KASSEN.
- "Pelanggaran Data Pribadi" — Kegagalan perlindungan keamanan yang mengakibatkan kerusakan, kehilangan, perubahan, pengungkapan tidak sah, atau akses tidak sah terhadap Data Pribadi yang dikelola oleh Kami.
1.3 Persetujuan Anda
Dengan mengunjungi, mengakses, mendaftar, dan/atau menggunakan salah satu dari situs, aplikasi, atau layanan Kekasir.id, Anda menyatakan dan mengakui bahwa Anda telah membaca secara saksama, memahami sepenuhnya, dan menyetujui tanpa syarat untuk terikat oleh seluruh ketentuan dalam Kebijakan ini, termasuk praktik-praktik yang diterapkan oleh Kekasir sehubungan dengan Data Pribadi Anda. Persetujuan ini mencakup izin Anda kepada Kami untuk mengumpulkan, menyimpan, memproses, mengungkapkan, menganalisis, mengolah, dan/atau mengelola Data Pribadi Anda sebagaimana diuraikan dalam Kebijakan ini.
APABILA ANDA TIDAK MENYETUJUI KETENTUAN-KETENTUAN DALAM KEBIJAKAN INI, ATAU TIDAK MENYETUJUI PRAKTIK-PRAKTIK YANG DITERAPKAN OLEH KAMI SEHUBUNGAN DENGAN DATA PRIBADI, MOHON TIDAK MENGUNJUNGI, MENGAKSES, MENDAFTAR, ATAU MENGGUNAKAN LAYANAN KAMI DALAM BENTUK APA PUN.
Kami tidak bertanggung jawab atas: (i) tindakan, akibat, atau hal apa pun, termasuk yang terkait dengan Data Pribadi, yang terdapat dalam atau diberikan di situs, aplikasi, atau platform mana pun yang tidak dikelola, dimiliki, atau berada di bawah kendali Kami; (ii) tautan ke situs atau konten lain di internet yang dimiliki atau dioperasikan oleh pihak mana pun selain Kami; atau (iii) situs, aplikasi, platform, atau konten yang tidak dikelola atau tidak berada di bawah kendali Kami.
2. Data yang Kami Kumpulkan
Kami hanya mengumpulkan Data Pribadi yang benar-benar diperlukan (data minimization principle) untuk menyediakan Layanan kepada Anda dan memenuhi kewajiban hukum Kami. Berikut adalah rincian Data Pribadi yang Kami kumpulkan, dikelompokkan berdasarkan sumber dan konteks pengumpulannya.
2.1 Data yang Anda Berikan Saat Pendaftaran
Saat Anda mendaftar akun Kekasir.id melalui nomor WhatsApp, Kami mengumpulkan:
- Data identitas: Nama lengkap pemilik usaha, nama usaha (brand/toko), dan alamat outlet
- Data kontak: Nomor WhatsApp (digunakan sebagai pengenal utama akun), alamat email (opsional, untuk pemulihan akun dan notifikasi penting)
- Data kredensial: PIN staf dalam bentuk hash kriptografis one-way (Kami tidak pernah menyimpan PIN dalam bentuk teks biasa/plaintext)
Apabila Anda menggunakan login alternatif melalui akun Google (hanya tersedia untuk akun yang sudah terdaftar via WhatsApp), Kami menerima data dasar dari akun Google Anda — nama dan alamat email — sesuai dengan izin yang Anda berikan pada layar otorisasi OAuth 2.0 Google. Data ini digunakan hanya untuk verifikasi identitas login dan tidak menggantikan data utama yang terdaftar melalui WhatsApp.
2.2 Data yang Anda Berikan untuk Verifikasi KYC
Untuk mengaktifkan layanan QRIS Dinamis dan Pencairan Dana, Anda wajib menyerahkan data tambahan untuk keperluan verifikasi identitas sesuai peraturan perundang-undangan, termasuk UU No. 8 Tahun 2010 tentang Pencegahan dan Pemberantasan Tindak Pidana Pencucian Uang:
- Identitas resmi: Foto KTP elektronik (depan dan belakang) yang masih berlaku; NIK (Nomor Induk Kependudukan) 16 digit; nama lengkap sesuai KTP; tempat dan tanggal lahir; alamat sesuai KTP
- Perpajakan: NPWP (Nomor Pokok Wajib Pajak) — wajib diserahkan jika omzet usaha mencapai atau melampaui Rp 4,8 miliar per tahun, atau jika diminta oleh sistem Kami sebagai bagian dari kepatuhan perpajakan
- Badan usaha: NIB (Nomor Induk Berusaha) dari sistem OSS; SIUP (Surat Izin Usaha Perdagangan); atau akta pendirian perusahaan beserta pengesahan Kemenkumham — wajib untuk pendaftaran atas nama badan usaha (PT, CV, UD, Firma, Koperasi, Yayasan)
- Verifikasi biometrik: Foto selfie (liveness selfie) pemilik sambil memegang KTP asli — untuk pencocokan wajah dengan foto pada dokumen identitas dan deteksi pemalsuan
- Bukti domisili: Tagihan listrik, tagihan air, tagihan PBB, surat keterangan domisili dari kelurahan, atau dokumen resmi lain yang menunjukkan alamat tempat tinggal atau tempat usaha terkini (diterbitkan maksimal 3 bulan terakhir)
- Data perbankan: Nama bank, nomor rekening lengkap, nama pemilik rekening sesuai buku tabungan — untuk verifikasi kepemilikan rekening tujuan pencairan dana
2.3 Data yang Terkumpul Saat Menggunakan Aplikasi Kasir (POS)
Saat Anda atau staf Anda mengoperasikan aplikasi kasir, data berikut terkumpul sebagai bagian integral dari operasional bisnis:
- Transaksi penjualan: Daftar produk yang terjual, jumlah per item, harga satuan, total harga, diskon yang diterapkan (persentase atau nominal), metode pembayaran (tunai, QRIS, transfer bank), pajak yang dikenakan (PPN, PB1, atau pajak daerah), waktu dan tanggal transaksi, serta nomor referensi unik transaksi
- Data staf: Nama staf yang dicatat oleh Owner, PIN staf dalam bentuk hash, catatan shift kerja (jam masuk, jam istirahat, jam keluar), log aktivitas (login, logout, transaksi yang diproses, perubahan yang dilakukan), serta akumulasi penjualan per staf
- Data pelanggan outlet: Apabila Anda secara sukarela mencatat data pelanggan — nama, nomor telepon, alamat, catatan khusus — data tersebut disimpan sebagai bagian dari manajemen hubungan pelanggan (customer relationship management) outlet Anda
- Stok dan inventaris: Jumlah stok awal dan terkini, riwayat perubahan stok (penambahan, pengurangan otomatis dari transaksi, penyesuaian manual), biaya bahan baku (HPP/Cost of Goods Sold), nilai inventaris, log siapa yang melakukan perubahan beserta waktu dan alasan
- Data meja (F&B): Konfigurasi denah meja (nama, kapasitas, posisi), status meja (kosong, terisi, reservasi, perlu dibersihkan), riwayat penggunaan meja per transaksi, durasi penggunaan meja
- Data printer dan pengaturan: Konfigurasi printer struk (jenis koneksi, alamat Bluetooth/MAC address/IP), pengaturan format struk (header, footer, logo, informasi yang ditampilkan), template cetak
2.4 Data yang Terkumpul Saat Menggunakan QRIS dan Pencairan Dana
Data yang diproses melalui kerja sama dengan Mitra Penyelenggara Pembayaran:
- Transaksi QRIS: Nominal transaksi, waktu pembayaran, status pembayaran (berhasil, gagal, pending, expired), referensi unik transaksi (transaction ID), aplikasi pembayaran yang digunakan pelanggan akhir (jika tersedia dari penyelenggara pembayaran), dan kode bank penerbit (issuer code)
- Pencairan dana: Jumlah pencairan yang diminta, jumlah setelah biaya, bank tujuan, nama pemilik rekening tujuan, nomor rekening tujuan (sebagian tersamar), status pencairan (pending, approved, submitted, processing, completed, failed), waktu pengajuan, waktu penyelesaian, dan referensi unik pencairan
- Riwayat saldo: Saldo tersedia terkini, riwayat mutasi saldo (masuk dari pembayaran QRIS yang telah settle, keluar untuk pencairan, penyesuaian), dan catatan setiap perubahan saldo
- Data deteksi kecurangan: Skor risiko transaksi (fraud score), catatan investigasi internal (jika ada), riwayat sengketa dan chargeback, serta data pendukung investigasi lainnya yang relevan
2.5 Data yang Terkumpul Saat Menggunakan Self-Order
Data yang terkumpul saat pelanggan akhir menggunakan sistem Self-Order:
- Pesanan pelanggan: Menu yang dipesan, jumlah per item, catatan khusus (misalnya: "tidak pedas", "tanpa es", "alergi kacang"), waktu pemesanan, dan status pesanan
- Informasi meja: Nomor atau kode meja tempat kode QR dipindai — untuk memastikan pesanan diantar ke meja yang benar
- Pembayaran: Metode pembayaran (QRIS), status pembayaran, nominal pembayaran
- Data teknis pengunjung: Alamat IP, jenis perangkat, jenis dan versi browser — data minimal yang diperlukan untuk menampilkan katalog dan memproses pesanan
Pelanggan akhir Self-Order tidak perlu membuat akun dan Kami tidak secara sengaja mengumpulkan nama, nomor telepon, alamat email, atau informasi identitas pribadi apa pun dari pelanggan akhir. Data teknis yang terkumpul bersifat sementara dan tidak digunakan untuk mengidentifikasi individu pelanggan akhir.
2.6 Data yang Terkumpul Saat Pemesanan Toko Hardware
- Data pemesanan: Produk yang dipesan (jenis, merek, spesifikasi), jumlah unit, harga satuan dan total, metode pembayaran yang dipilih
- Data pengiriman: Nama lengkap penerima, nomor telepon/WhatsApp aktif, alamat pengiriman lengkap (jalan, kelurahan, kecamatan, kota/kabupaten, provinsi, kode pos), dan catatan pengiriman khusus (jika ada)
2.7 Data Teknis yang Terkumpul Secara Otomatis
Saat Anda mengakses platform Kami melalui browser, data berikut terkumpul secara otomatis melalui log server dan cookie fungsional:
- Log akses server: Alamat IP, waktu akses (timestamp), halaman atau endpoint API yang diakses, metode HTTP (GET, POST, PUT, DELETE), kode status respons, ukuran respons, durasi permintaan (response time), dan user-agent string
- Informasi perangkat: Jenis perangkat (desktop, tablet, ponsel), sistem operasi dan versinya, browser dan versinya, resolusi layar, preferensi bahasa, dan zona waktu
- Cookie dan data sesi: Token sesi (signed cookie), pengenal sesi browser, preferensi pengguna (seperti outlet terakhir yang dipilih), token autentikasi, dan data anti-CSRF token
- Data performa: Waktu muat halaman (page load time), error JavaScript yang terjadi (client-side errors), metrik penggunaan fitur — untuk keperluan pemantauan kualitas layanan dan identifikasi masalah teknis
2.8 Data yang Secara Tegas Tidak Kami Kumpulkan
Untuk kejelasan dan transparansi, Kami secara tegas menyatakan bahwa Kami tidak mengumpulkan:
- Data lokasi GPS secara terus-menerus atau background tracking (lokasi hanya dicatat secara sporadis untuk keperluan audit transaksi tertentu dan dengan persetujuan eksplisit Anda)
- Data biometrik selain foto selfie yang Anda serahkan secara sukarela untuk verifikasi KYC — Kami tidak melakukan pemindaian sidik jari, pengenalan wajah otomatis (facial recognition), pemindaian retina/iris, atau pengumpulan data biometrik lainnya
- Data kesehatan, kondisi medis, rekam medis, atau informasi genetik dalam bentuk apa pun
- Data pribadi anak di bawah usia 18 (delapan belas) tahun — Layanan Kami tidak ditujukan untuk anak-anak dan Kami tidak secara sengaja mengumpulkan data dari anak di bawah umur
- Data kartu kredit atau kartu debit — seluruh pemrosesan pembayaran non-tunai dilakukan langsung oleh Mitra Penyelenggara Pembayaran melalui infrastruktur yang mematuhi standar keamanan PCI-DSS (Payment Card Industry Data Security Standard); data kartu tidak pernah melewati, diproses, atau tersimpan di server Kami
- Data dari direktori kontak, galeri foto, mikrofon, atau sensor perangkat lainnya tanpa izin eksplisit
3. Penggunaan Data
Seluruh Data Pribadi yang Kami kumpulkan digunakan secara ketat untuk tujuan yang dijelaskan di bawah ini. Kami tidak menggunakan Data Pribadi Anda di luar tujuan yang telah ditentukan tanpa persetujuan Anda terlebih dahulu.
3.1 Penyediaan Layanan Inti
- Mengoperasikan, memelihara, dan meningkatkan aplikasi kasir (POS), dashboard owner, dan sistem Self-Order
- Memproses, mencatat, dan menyimpan transaksi penjualan beserta seluruh data terkait (produk, jumlah, harga, metode pembayaran)
- Menghasilkan, menampilkan, dan memvalidasi kode QRIS Dinamis untuk pembayaran digital
- Memfasilitasi dan memproses pencairan dana dari saldo Outlet ke rekening bank Anda yang telah terverifikasi
- Menampilkan katalog online (Self-Order) yang dapat diakses oleh pelanggan akhir melalui pemindaian kode QR
- Memproses pemesanan perangkat keras (Toko Hardware) dan mengatur pengiriman ke alamat Anda
3.2 Keamanan, Kepatuhan, dan Deteksi Kecurangan
- Melakukan verifikasi identitas (KYC) dan verifikasi berkala sesuai peraturan PPATK, OJK, dan Bank Indonesia
- Mendeteksi, mencegah, dan menyelidiki transaksi yang mencurigakan atau berpotensi melanggar hukum melalui sistem penilaian risiko otomatis (fraud scoring) dan analisis manual
- Memenuhi kewajiban pelaporan kepada regulator yang berwenang: PPATK (laporan LTKM/LTKT), OJK, Bank Indonesia, dan Direktorat Jenderal Pajak
- Melakukan audit kepatuhan internal secara berkala dan investigasi apabila terjadi insiden keamanan atau pelanggaran kebijakan
- Memverifikasi bahwa rekening bank tujuan pencairan adalah milik sah dari Owner yang terdaftar dan tidak termasuk dalam daftar sanksi atau daftar teroris
3.3 Komunikasi dan Dukungan Pelanggan
- Mengirimkan pemberitahuan penting terkait transaksi — konfirmasi pembayaran, status pencairan, tagihan jatuh tempo, dan pengingat pembayaran
- Memberikan dukungan pelanggan (customer support) dan bantuan teknis melalui WhatsApp dan email
- Menginformasikan perubahan signifikan pada Syarat & Ketentuan, Kebijakan Privasi, fitur Layanan, atau harga
- Mengirimkan pengingat perpanjangan KYC, pembaruan data, atau tindakan yang diperlukan untuk menjaga akun tetap aktif
3.4 Pengembangan Produk dan Analisis
- Menganalisis pola penggunaan secara agregat dan anonim (aggregated and anonymized) untuk memahami bagaimana pengguna berinteraksi dengan platform
- Mengidentifikasi area yang memerlukan peningkatan performa, perbaikan bug, atau penyempurnaan antarmuka
- Mengembangkan fitur baru berdasarkan kebutuhan dan perilaku pengguna yang teridentifikasi dari data penggunaan agregat
- Mengukur efektivitas, stabilitas, dan keandalan sistem melalui metrik performa dan analisis kesalahan
3.5 Pemasaran (Hanya dengan Persetujuan Eksplisit)
Kami hanya akan mengirimkan komunikasi pemasaran — seperti informasi produk baru, penawaran khusus, promo, atau survei kepuasan — jika Anda telah memberikan persetujuan eksplisit (opt-in consent) secara terpisah. Persetujuan pemasaran bersifat opsional dan tidak memengaruhi akses Anda ke Layanan inti. Anda dapat menarik kembali persetujuan pemasaran kapan saja tanpa memengaruhi penggunaan Layanan, melalui:
- Tautan "berhenti berlangganan" (unsubscribe) di setiap email pemasaran Kami
- Pengaturan preferensi notifikasi di dashboard Anda
- Permintaan tertulis melalui WhatsApp atau email ke layanan pelanggan
4. Dasar Hukum Pemrosesan
Pemrosesan Data Pribadi Anda oleh Kekasir dilakukan berdasarkan satu atau lebih dasar hukum berikut, sebagaimana diatur dalam UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi dan peraturan pelaksanaannya:
4.1 Persetujuan (Consent)
Berlaku untuk pemrosesan data yang bersifat opsional dan tidak esensial bagi penyediaan Layanan inti, seperti: pengiriman materi pemasaran dan promosi, pengumpulan data pelanggan outlet yang bersifat opsional, penggunaan cookie non-esensial (jika Kami mengaktifkannya di masa depan), dan partisipasi dalam survei atau riset pengguna. Persetujuan diberikan secara bebas, spesifik, berdasarkan informasi yang cukup (informed), dan dapat ditarik kembali kapan saja. Penarikan persetujuan berlaku untuk pemrosesan ke depan (prospective only) dan tidak memengaruhi keabsahan pemrosesan yang telah dilakukan sebelum penarikan.
4.2 Kewajiban Kontraktual
Pemrosesan data yang diperlukan untuk melaksanakan perjanjian langganan antara Anda dan Kekasir, termasuk namun tidak terbatas pada: penyediaan aplikasi kasir, pemrosesan transaksi penjualan, penyediaan akses dashboard, pemrosesan pembayaran QRIS melalui Mitra Penyelenggara Pembayaran, pemrosesan pencairan dana, dan penyediaan akses Self-Order. Tanpa pemrosesan ini, Kami tidak dapat melaksanakan kewajiban kontraktual dan menyediakan Layanan inti yang Anda langgani.
4.3 Kewajiban Hukum
Pemrosesan data yang wajib Kami lakukan untuk mematuhi peraturan perundang-undangan yang berlaku di Republik Indonesia, termasuk namun tidak terbatas pada:
- Verifikasi identitas (KYC) dan penyimpanan dokumen identitas — berdasarkan UU No. 8 Tahun 2010 dan Peraturan PPATK No. 1 Tahun 2021
- Penyimpanan data transaksi dan keuangan untuk pelaporan perpajakan — berdasarkan UU Ketentuan Umum dan Tata Cara Perpajakan (UU KUP) dan UU Pajak Penghasilan
- Pelaporan transaksi keuangan mencurigakan kepada PPATK — berdasarkan UU No. 8 Tahun 2010
- Pemenuhan permintaan resmi dari penegak hukum, pengadilan, atau otoritas yang berwenang berdasarkan peraturan perundang-undangan yang berlaku
4.4 Kepentingan yang Sah (Legitimate Interest)
Pemrosesan data yang diperlukan untuk kepentingan bisnis yang sah dari Kekasir, yang dilakukan secara proporsional dan tidak mengesampingkan (override) hak dan kebebasan mendasar Anda sebagai Subjek Data. Kepentingan sah tersebut meliputi:
- Deteksi, pencegahan, dan investigasi penipuan, penyalahgunaan, atau aktivitas ilegal
- Peningkatan kualitas, keamanan, dan keandalan Layanan
- Analisis penggunaan platform secara agregat untuk pengembangan produk dan optimalisasi
- Pemeliharaan dan perlindungan keamanan sistem, jaringan, dan infrastruktur Kami
- Penegakan Syarat & Ketentuan dan Kebijakan Privasi
5. Penyimpanan & Keamanan Data
5.1 Lokasi dan Infrastruktur Penyimpanan
Seluruh Data Pribadi utama Anda disimpan di server PostgreSQL pada Virtual Private Server (VPS) yang berlokasi secara fisik di Indonesia (Batam, Kepulauan Riau). File statis seperti gambar produk, logo outlet, dan aset lainnya disimpan pada penyimpanan lokal (local storage) server yang sama. Kami tidak menggunakan layanan cloud storage publik (seperti AWS S3, Google Cloud Storage, atau Azure Blob Storage) untuk data inti pengguna.
Data yang diproses oleh Mitra Penyelenggara Pembayaran sebagai Prosesor Data — termasuk data transaksi pembayaran dan data pencairan dana — disimpan pada infrastruktur mitra yang dikelola sesuai dengan kebijakan keamanan dan privasi mitra tersendiri, yang tunduk pada pengawasan Bank Indonesia dan otoritas terkait.
5.2 Enkripsi
- Data saat transit (data in transit): Seluruh komunikasi antara browser/perangkat Anda dan server Kami dienkripsi menggunakan TLS 1.3 (Transport Layer Security), standar enkripsi terkini untuk koneksi internet. Kami menonaktifkan versi TLS yang lebih lama (1.0, 1.1) dan cipher suite yang lemah untuk mencegah serangan downgrade.
- Data saat tersimpan (data at rest): Data sensitif — termasuk dokumen KYC (KTP, NPWP, selfie), data keuangan, hash kredensial, dan audit log — dienkripsi menggunakan AES-256 (Advanced Encryption Standard dengan kunci 256-bit) dalam mode GCM (Galois/Counter Mode) yang menyediakan autentikasi dan integritas data.
5.3 Kontrol Akses dan Autentikasi
- Autentikasi pengguna: Menggunakan signed cookie dengan atribut keamanan:
HttpOnly (tidak dapat diakses oleh JavaScript, mencegah pencurian melalui XSS), Secure (hanya dikirim melalui koneksi HTTPS), SameSite=Lax (mencegah pengiriman cookie pada permintaan lintas situs/CSRF) - OTP WhatsApp: Kode sekali pakai (One-Time Password) 6 digit yang dikirim melalui WhatsApp untuk verifikasi pendaftaran dan pemulihan akun — kode berlaku 5 menit dan hanya dapat digunakan satu kali
- OAuth 2.0 (Google): Standar autentikasi industri untuk login melalui akun Google, dengan validasi token pada setiap permintaan
- Prinsip least privilege (hak akses minimum): Setiap layanan (microservice), komponen sistem, akun database, dan personel Kami hanya memiliki akses minimum yang benar-benar diperlukan untuk menjalankan fungsinya — tidak lebih
- Immutable audit log (log audit yang tidak dapat diubah): Seluruh akses dan perubahan pada data sensitif tercatat secara permanen dalam tabel ledger yang dilindungi oleh database trigger yang memblokir operasi
UPDATE dan DELETE — setiap perubahan hanya dapat dilakukan melalui operasi INSERT baru, menciptakan jejak audit yang tidak dapat dimanipulasi
5.4 Keamanan Organisasi dan Operasional
- Seluruh karyawan, kontraktor, dan mitra Kami yang memiliki akses ke Data Pribadi menandatangani perjanjian kerahasiaan (Non-Disclosure Agreement) yang mengikat secara hukum
- Akses ke sistem produksi (production environment) dibatasi secara ketat pada personel yang telah melalui pemeriksaan latar belakang (background check) dan pelatihan keamanan data berkala
- Kami melakukan penetration testing (pengujian penetrasi) secara rutin — minimum satu kali per tahun — yang dilakukan oleh pihak ketiga independen untuk mengidentifikasi dan memperbaiki kerentanan keamanan
- Pemindaian kerentanan (vulnerability scanning) otomatis dijalankan secara berkala pada seluruh infrastruktur Kami
- Backup data dilakukan secara berkala (harian untuk database, mingguan untuk file) dan disimpan di lokasi terpisah yang aman untuk keperluan pemulihan bencana (disaster recovery)
- Kami memiliki rencana kelangsungan bisnis (Business Continuity Plan) dan rencana pemulihan bencana (Disaster Recovery Plan) yang diuji secara berkala
6. Berbagi Data dengan Pihak Ketiga
6.1 Prinsip Dasar
Kami tidak menjual, menyewakan, memperdagangkan, atau memonetisasi Data Pribadi Anda kepada pihak ketiga untuk kepentingan komersial dalam bentuk apa pun. Data Anda hanya dibagikan dalam lingkup terbatas dan untuk tujuan yang spesifik, sah, dan dijelaskan secara transparan di bawah ini. Setiap pembagian data dilakukan sesuai dengan prinsip proporsionalitas, minimalisasi data, dan keamanan.
6.2 Daftar Penerima Data
| Pihak Penerima | Data yang Dibagikan | Tujuan | Dasar Hukum |
|---|
Mitra Penyelenggara Pembayaran (Penyelenggara Jasa Pembayaran berlisensi BI) | Nama pemilik, nomor rekening, nama bank, data transaksi QRIS, data pencairan dana | Pemrosesan pembayaran QRIS, penyelesaian dana, dan pencairan ke rekening bank | Kewajiban Kontraktual |
PPATK (Pusat Pelaporan dan Analisis Transaksi Keuangan) | Data transaksi mencurigakan, data KYC, data pemilik manfaat | Pelaporan LTKM (Laporan Transaksi Keuangan Mencurigakan) dan LTKT (Laporan Transaksi Keuangan Tunai) | UU No. 8 Tahun 2010 |
OJK (Otoritas Jasa Keuangan) | Data kepatuhan, data transaksi, laporan berkala | Pengawasan, audit, dan pemeriksaan kepatuhan sektor jasa keuangan | UU No. 21 Tahun 2011 tentang OJK |
| Bank Indonesia | Data transaksi sistem pembayaran, data QRIS | Pengawasan penyelenggaraan sistem pembayaran | PBI No. 23/6/PBI/2021 |
DJP Kemenkeu (Direktorat Jenderal Pajak) | Data transaksi dan keuangan untuk pelaporan pajak | Pelaporan PPh, PPN, dan kewajiban perpajakan lainnya | UU Perpajakan |
Penegak Hukum (Kepolisian, Kejaksaan, KPK, Pengadilan) | Sesuai permintaan resmi yang sah secara hukum | Penyidikan, penyelidikan, penuntutan, dan proses peradilan | KUHAP / UU terkait |
6.3 Kewajiban Penerima Data (Prosesor Data)
Setiap pihak ketiga yang bertindak sebagai Prosesor Data Pribadi — yaitu pihak yang memproses Data Pribadi atas nama dan berdasarkan instruksi Kami — terikat oleh perjanjian pemrosesan data (Data Processing Agreement atau DPA) yang mengikat secara hukum dan mewajibkan mereka untuk:
- Memproses Data Pribadi hanya sesuai dengan instruksi tertulis dari Kami dan tidak menggunakan data untuk kepentingan sendiri atau tujuan lain apa pun
- Menerapkan langkah keamanan teknis dan organisasional yang setara atau lebih tinggi dari yang Kami terapkan
- Memberitahu Kami tanpa penundaan (without undue delay), maksimal 1 × 24 jam, jika terjadi Pelanggaran Data Pribadi yang memengaruhi data Anda
- Memastikan bahwa setiap personel yang memiliki akses ke Data Pribadi terikat oleh kewajiban kerahasiaan
- Menghapus atau mengembalikan seluruh Data Pribadi kepada Kami setelah layanan berakhir atau kontrak berakhir, dan tidak menyimpan salinan apa pun
- Tidak mentransfer Data Pribadi ke pihak lain (sub-processor) tanpa persetujuan tertulis sebelumnya dari Kami
- Membantu Kami dalam memenuhi kewajiban menanggapi permohonan hak Subjek Data
7. Persetujuan untuk Pengungkapan Terbatas kepada Mitra
Dengan menggunakan Layanan Kekasir.id — khususnya layanan QRIS Dinamis dan Pencairan Dana — Anda memahami dan menyetujui bahwa Kami perlu membagikan Data Pribadi tertentu Anda (nama, nomor rekening, data transaksi) kepada Mitra Penyelenggara Pembayaran sebagai mitra penyedia infrastruktur pembayaran dan pencairan dana. Pengungkapan ini merupakan persyaratan teknis dan operasional yang tidak dapat dihindari untuk menyediakan layanan tersebut.
Ruang lingkup data yang dibagikan terbatas pada data yang secara ketat diperlukan (strictly necessary) untuk memproses transaksi pembayaran QRIS dan pencairan dana ke rekening Anda. Mitra Penyelenggara Pembayaran tidak berhak menggunakan data Anda untuk tujuan apa pun selain yang ditentukan dalam perjanjian pemrosesan data dengan Kami.
Selain kepada Mitra Penyelenggara Pembayaran dan otoritas regulator sebagaimana tercantum dalam Bagian 6, Kami tidak membagikan Data Pribadi Anda kepada pihak ketiga lainnya tanpa persetujuan eksplisit dari Anda, kecuali diwajibkan oleh hukum atau perintah pengadilan yang sah.
7.1 Persetujuan Transfer Data kepada Mitra Pembayaran
Berdasarkan perjanjian kerja sama antara PT. Mitra Kekasir Indonesia dan Mitra Penyelenggara Pembayaran, Anda dengan ini memberikan persetujuan kepada Kami untuk membagikan data transaksi dan data identitas Anda kepada Mitra Penyelenggara Pembayaran untuk tujuan:
- Pemrosesan, penyelesaian (settlement), dan pencairan dana dari transaksi QRIS
- Verifikasi identitas (Know Your Customer) sesuai standar minimum yang ditetapkan oleh Mitra Penyelenggara Pembayaran dan Bank Indonesia
- Pencegahan dan investigasi fraud, transaksi mencurigakan, dan pencucian uang
- Pemenuhan kewajiban pelaporan kepada otoritas yang berwenang (PPATK, OJK, Bank Indonesia)
Mitra Penyelenggara Pembayaran terikat oleh kewajiban kerahasiaan yang setara dengan kewajiban Kami, dan tidak berhak menggunakan data Anda untuk kepentingan komersial di luar tujuan yang ditentukan di atas.
7.2 Investigasi Fraud dan Pencucian Uang
Dalam hal terjadi indikasi fraud, transaksi mencurigakan, dan/atau pencucian uang, Kami berhak menghentikan layanan sementara dan/atau mengambil tindakan lain yang diperlukan. Data Anda dapat dibagikan kepada otoritas yang berwenang untuk keperluan investigasi sesuai peraturan perundang-undangan yang berlaku, termasuk namun tidak terbatas pada UU No. 8 Tahun 2010 tentang Pencegahan dan Pemberantasan Tindak Pidana Pencucian Uang.
Anda dengan ini membebaskan Kami dari tuntutan apa pun terkait penghentian sementara layanan yang dilakukan berdasarkan indikasi fraud yang wajar, selama tidak terbukti bahwa tindakan tersebut dilakukan dengan itikad buruk.
8. Penyimpanan Lokal & Mode Offline
8.1 Teknologi PWA dan Arsitektur Offline-First
Aplikasi kasir Kekasir.id dibangun sebagai Progressive Web App (PWA) dengan arsitektur offline-first. Ini berarti aplikasi dirancang untuk tetap berfungsi penuh meskipun koneksi internet terputus — fitur yang kritis untuk operasional kasir di lapangan. Untuk mendukung kemampuan ini, aplikasi menyimpan data secara lokal di browser perangkat Anda menggunakan teknologi penyimpanan browser standar (Web Storage APIs).
8.2 IndexedDB — Database Lokal Aplikasi
IndexedDB adalah sistem database yang berjalan di dalam browser dan digunakan untuk menyimpan data operasional kasir secara lokal pada perangkat Anda. Data yang disimpan mencakup:
- Katalog produk beserta kategori, variasi, gambar, dan harga
- Item kombo (paket hemat) dan konfigurasi modifier
- Metode pembayaran yang dikonfigurasi untuk outlet
- Daftar pelanggan yang Anda catat (opsional)
- Pengaturan outlet (nama, alamat, logo, konfigurasi pajak, mata uang)
- Status meja (untuk restoran) dan reservasi aktif
- Keranjang belanja yang sedang aktif (draft transactions)
- Antrean transaksi offline — transaksi yang dilakukan saat koneksi internet terputus, disimpan sementara secara lokal, dan otomatis dikirim (sync) ke server saat koneksi pulih
- Riwayat shift kasir dan log aktivitas lokal
- Pengaturan printer struk (Bluetooth, LAN, USB)
- Template dan format struk
8.3 Cache Storage — Aset Aplikasi
Cache Storage (bagian dari Service Worker API) digunakan untuk menyimpan aset statis aplikasi agar dapat dimuat secara instan dan tersedia saat offline:
- File JavaScript, CSS, dan HTML aplikasi
- Gambar produk dan ikon antarmuka
- Font dan aset grafis lainnya
8.4 Sifat dan Keamanan Penyimpanan Lokal
Data yang tersimpan di IndexedDB dan Cache Storage bersifat lokal pada perangkat Anda — data ini tidak diakses, dibaca, disalin, atau dikirim oleh Kami kecuali melalui mekanisme sinkronisasi normal aplikasi (saat perangkat terhubung ke internet). Data pada penyimpanan lokal:
- Akan dihapus saat Anda melakukan logout dari aplikasi kasir, atau saat Anda secara manual menghapus data penjelajahan (browsing data) di pengaturan browser
- Transaksi yang masih berada di antrean offline dan belum disinkronkan ke server akan hilang permanen jika data browser dihapus sebelum sinkronisasi berhasil — pastikan untuk menyinkronkan (sync) transaksi sebelum logout atau menghapus data browser
- Aplikasi kasir tidak mengakses data dari aplikasi atau situs web lain yang terbuka di browser yang sama — setiap origin (domain) memiliki penyimpanan IndexedDB yang terisolasi secara ketat
Karena data tersimpan di perangkat Anda, keamanan perangkat menjadi tanggung jawab Anda. Kami sangat menyarankan:
- Selalu aktifkan kunci layar (PIN, pola, kata sandi, atau biometrik) pada perangkat yang digunakan untuk operasional kasir
- Jangan berbagi perangkat kasir dengan orang yang tidak berwenang tanpa melakukan logout terlebih dahulu
- Gunakan perangkat khusus (dedicated device) untuk operasional kasir, bukan perangkat pribadi yang juga digunakan untuk aktivitas lain
- Aktifkan fitur "Temukan Perangkat Saya" (Find My Device) untuk memungkinkan penghapusan jarak jauh jika perangkat hilang atau dicuri
9. Hak Pengguna (Berdasarkan UU PDP)
Berdasarkan UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi, Anda sebagai Subjek Data memiliki hak-hak fundamental berikut. Kami berkomitmen penuh untuk memfasilitasi dan menghormati pelaksanaan setiap hak ini.
9.1 Hak Akses (Right of Access)
Anda berhak memperoleh salinan Data Pribadi yang Kami simpan tentang Anda dalam format yang mudah dibaca dan dipahami. Ini mencakup data identitas, data transaksi, data KYC, riwayat pencairan, dan data lain yang terkait dengan akun Anda. Permohonan akses akan dipenuhi dalam waktu 30 hari kalender.
9.2 Hak Koreksi (Right to Rectification)
Anda berhak meminta koreksi, perbaikan, atau pembaruan atas Data Pribadi yang tidak akurat, tidak lengkap, sudah tidak berlaku, atau mengandung kesalahan. Perbaikan data identitas dasar dapat dilakukan sendiri melalui dashboard; perubahan data KYC atau data rekening wajib melalui permohonan ke layanan pelanggan.
9.3 Hak Penghapusan (Right to Erasure)
Anda berhak meminta penghapusan Data Pribadi Anda setelah hubungan bisnis berakhir dan setelah periode retensi wajib (sebagaimana diatur dalam Bagian 10) terlampaui. Penghapusan tidak dapat dilakukan untuk data yang masih wajib Kami simpan berdasarkan kewajiban hukum yang berlaku, termasuk data transaksi untuk pelaporan pajak dan data KYC untuk kepatuhan PPATK.
9.4 Hak Pembatasan Pemrosesan (Right to Restriction of Processing)
Anda berhak meminta pembatasan pemrosesan Data Pribadi dalam kondisi tertentu, misalnya: saat Anda menyengketakan keakuratan data dan Kami sedang melakukan verifikasi; saat pemrosesan melanggar hukum tetapi Anda menolak penghapusan; atau saat Kami tidak lagi memerlukan data tetapi Anda memerlukannya untuk pembelaan hukum.
9.5 Hak Keberatan (Right to Object)
Anda berhak mengajukan keberatan terhadap pemrosesan Data Pribadi untuk tujuan pemasaran langsung, termasuk pembuatan profil (profiling) yang terkait dengan pemasaran langsung tersebut. Keberatan juga dapat diajukan terhadap pemrosesan berdasarkan kepentingan yang sah, dan Kami wajib menghentikan pemrosesan kecuali terdapat alasan sah yang mengesampingkan (compelling legitimate grounds).
9.6 Hak Portabilitas Data (Right to Data Portability)
Anda berhak menerima Data Pribadi Anda dalam format yang terstruktur, lazim digunakan, dan dapat dibaca oleh mesin (machine-readable), serta berhak mentransfer data tersebut kepada pengendali data lain tanpa hambatan dari Kami, selama pemrosesan didasarkan pada persetujuan atau kontrak dan dilakukan secara otomatis.
9.7 Hak Menarik Persetujuan (Right to Withdraw Consent)
Untuk pemrosesan data yang didasarkan pada persetujuan Anda (seperti pemasaran atau pengumpulan data opsional), Anda berhak menarik kembali persetujuan tersebut kapan saja dengan mudah dan tanpa biaya. Penarikan persetujuan tidak memengaruhi keabsahan pemrosesan yang telah dilakukan sebelum penarikan, dan tidak memengaruhi pemrosesan berdasarkan dasar hukum lain (kontraktual, kewajiban hukum, atau kepentingan sah).
9.8 Hak untuk Tidak Mengalami Keputusan Otomatis (Right Against Automated Decision-Making)
Anda berhak untuk tidak tunduk pada keputusan yang semata-mata didasarkan pada pemrosesan otomatis — termasuk pembuatan profil (profiling) — yang menghasilkan akibat hukum atau dampak signifikan terhadap Anda. Saat ini, Kami tidak menggunakan sistem pengambilan keputusan otomatis yang menghasilkan akibat hukum terhadap Subjek Data. Apabila Kami mengadopsi sistem tersebut di masa depan, Anda akan diberitahu dan diberikan hak untuk meminta intervensi manusia.
9.9 Cara Menggunakan Hak Anda
Untuk menggunakan hak-hak di atas, kirimkan permohonan tertulis melalui:
Kami akan merespons permohonan Anda maksimal 30 (tiga puluh) hari kalender sejak permohonan diterima dan identitas Anda terverifikasi. Untuk permohonan yang kompleks atau berjumlah banyak, Kami dapat memperpanjang jangka waktu hingga maksimal 60 (enam puluh) hari kalender dengan pemberitahuan tertulis sebelumnya yang menjelaskan alasan perpanjangan.
9.10 Verifikasi Identitas
Sebelum memproses permohonan Anda, Kami akan memverifikasi identitas Anda untuk memastikan bahwa permohonan benar-benar berasal dari Subjek Data yang bersangkutan atau pihak yang diberi kuasa sah. Verifikasi dapat berupa: konfirmasi melalui WhatsApp terdaftar, permintaan dokumen identitas tambahan, atau metode verifikasi lain yang wajar. Kami berhak menolak permohonan yang tidak dapat diverifikasi atau permohonan yang jelas-jelas tidak berdasar atau berlebihan (manifestly unfounded or excessive).
10. Retensi Data
Kami menyimpan Data Pribadi Anda hanya selama diperlukan untuk memenuhi tujuan pengumpulannya, ditambah periode retensi tambahan yang diwajibkan oleh peraturan perundang-undangan. Prinsip retensi Kami: tidak lebih lama dari yang diperlukan.
| Kategori Data | Periode Retensi | Dasar Hukum / Kebijakan |
|---|
| Data KYC & dokumen identitas | Minimum 5 tahun setelah hubungan bisnis berakhir | PPATK Peraturan No. 1 Tahun 2021 |
| Data transaksi, laporan keuangan, dan data perpajakan | Minimum 5 tahun | UU KUP, UU PPh, dan Standar Akuntansi Keuangan |
| Audit log keamanan (immutable) | Minimum 7 tahun | Standar praktik terbaik keamanan informasi dan fintech |
| Log akses sistem (server) | 12 bulan | Kebutuhan operasional, pemantauan, dan investigasi insiden |
| Data akun aktif | Selama akun aktif + periode retensi setelah pengakhiran | Kewajiban kontraktual |
| Data akun ditutup (non-wajib retensi) | Maksimum 12 bulan setelah penutupan akun | Prinsip proporsionalitas — data tidak diperlukan lebih lama |
| Backup data | 30–90 hari (siklus rotasi backup) | Kebutuhan pemulihan bencana (disaster recovery) |
10.1 Prosedur Penghapusan Data
Setelah periode retensi berakhir, Kami akan melakukan penghapusan data dengan prosedur sebagai berikut:
- Menghapus data dari sistem produksi (database dan penyimpanan file) — data tidak lagi dapat diakses melalui aplikasi
- Menghapus data dari backup dalam siklus rotasi backup berikutnya (30–90 hari) — pada saat itu, data tidak lagi ada di mana pun dalam infrastruktur Kami
- Memastikan melalui verifikasi teknis bahwa data yang telah dihapus tidak dapat dipulihkan kembali (irreversible deletion)
Anda dapat meminta penghapusan data lebih awal melalui permohonan hak penghapusan (Bagian 9.3), selama tidak bertentangan dengan kewajiban hukum Kami untuk menyimpan data tersebut.
11. Cookie
11.1 Cookie Fungsional (Wajib — Tidak Dapat Dinonaktifkan)
Kami hanya menggunakan cookie fungsional yang mutlak diperlukan (strictly necessary cookies) untuk operasional Layanan. Cookie ini tidak melacak aktivitas Anda di luar platform Kekasir.id, tidak digunakan untuk tujuan periklanan, dan tidak dibagikan kepada pihak ketiga untuk tujuan pelacakan.
- Cookie sesi (session cookie): Mempertahankan status login dan konteks sesi Anda selama sesi browser aktif. Cookie ini bersifat sementara (transient) dan otomatis dihapus saat browser ditutup.
- Token autentikasi (signed auth cookie): Kredensial terenkripsi yang memungkinkan Anda tetap login tanpa memasukkan ulang kode OTP/PIN setiap kali mengakses aplikasi. Dikonfigurasikan dengan atribut keamanan:
- HttpOnly — tidak dapat diakses oleh JavaScript apa pun, mencegah pencurian cookie melalui serangan XSS (Cross-Site Scripting)
- Secure — hanya dikirim melalui koneksi HTTPS terenkripsi, tidak pernah melalui HTTP tidak aman
- SameSite=Lax — mencegah browser mengirim cookie saat permintaan berasal dari situs lain (cross-origin), memberikan perlindungan terhadap serangan CSRF (Cross-Site Request Forgery)
11.2 Yang Tidak Kami Gunakan
Untuk transparansi penuh, Kami secara tegas menyatakan bahwa Kami tidak menggunakan:
- Cookie pelacakan pihak ketiga untuk iklan (third-party advertising/tracking cookies)
- Teknik browser fingerprinting (identifikasi perangkat melalui kombinasi karakteristik unik browser seperti font, plugin, ukuran layar, dsb.)
- Tracking pixel, web beacon, atau teknik pelacakan tersembunyi lainnya
- Cookie analitik yang dapat mengidentifikasi individu secara personal — apabila Kami mengaktifkan layanan analitik di masa depan yang menggunakan cookie, Anda akan dimintai persetujuan terlebih dahulu (opt-in)
- Zombie cookie, evercookie, atau teknik persistensi cookie yang sulit dihapus
11.3 Pengaturan Cookie di Browser Anda
Anda dapat mengatur browser untuk menolak semua cookie, menghapus cookie yang sudah tersimpan, atau memberi notifikasi saat cookie akan disimpan — melalui menu pengaturan privasi/keamanan browser Anda. Namun, perlu diketahui bahwa menonaktifkan cookie fungsional akan mencegah Anda login dan menggunakan Layanan Kami karena cookie ini mutlak diperlukan untuk mekanisme autentikasi dan manajemen sesi.
12. Transfer Data Lintas Batas
12.1 Prinsip Utama: Data Disimpan di Indonesia
Seluruh Data Pribadi yang Kami kumpulkan — termasuk data identitas, data transaksi, data KYC, dan data keuangan — diproses dan disimpan di server yang berlokasi secara fisik di wilayah Negara Kesatuan Republik Indonesia (Batam, Kepulauan Riau). Kami tidak secara rutin mentransfer, menyimpan, atau memproses Data Pribadi Anda di luar wilayah Indonesia. Prinsip ini sejalan dengan semangat kedaulatan data (data sovereignty) dan ketentuan UU PDP.
12.2 Pengecualian Terbatas
Transfer data ke luar Indonesia hanya dapat terjadi dalam kondisi terbatas berikut:
- Pemrosesan pembayaran oleh Mitra Penyelenggara Pembayaran: Beberapa aspek pemrosesan pembayaran oleh mitra mungkin melibatkan infrastruktur atau sub-prosesor yang berada di luar Indonesia. Mitra sebagai penyelenggara jasa pembayaran berlisensi Bank Indonesia terikat oleh peraturan Bank Indonesia dan otoritas terkait, serta memiliki kebijakan privasi dan keamanan tersendiri yang mengatur transfer data lintas batas.
- Login Google (OAuth 2.0): Jika Anda menggunakan fitur login melalui Google, data dasar profil (nama, email) diteruskan dari server Google yang mungkin berlokasi di luar Indonesia. Ini terjadi atas inisiatif Anda sendiri saat memilih metode login Google.
12.3 Perlindungan dalam Transfer Lintas Batas
Dalam hal terjadi transfer Data Pribadi ke luar Indonesia — baik yang terjadi saat ini maupun di masa depan — Kami memastikan bahwa:
- Negara tujuan memiliki standar perlindungan data pribadi yang setara atau lebih tinggi dari standar yang ditetapkan oleh UU PDP
- Penerima data di luar negeri terikat oleh perjanjian yang memberikan tingkat perlindungan yang setara dengan UU PDP dan Kebijakan ini
- Terdapat dasar hukum yang sah untuk transfer tersebut — baik persetujuan eksplisit Anda, kewajiban kontraktual, atau kepentingan umum
- Transfer dilakukan sesuai dengan ketentuan UU No. 27 Tahun 2022, termasuk kewajiban notifikasi kepada otoritas pengawas jika dipersyaratkan
13. Notifikasi Pelanggaran Data
13.1 Definisi Pelanggaran Data Pribadi
Pelanggaran Data Pribadi (personal data breach) didefinisikan sebagai kegagalan perlindungan keamanan yang mengakibatkan satu atau lebih kejadian berikut terhadap Data Pribadi yang Kami kelola:
- Kebocoran (unauthorized disclosure) — terungkapnya Data Pribadi kepada pihak yang tidak berwenang
- Akses tidak sah (unauthorized access) — diaksesnya Data Pribadi oleh pihak yang tidak berwenang
- Perusakan (destruction) — rusaknya Data Pribadi secara tidak sah atau tidak disengaja
- Kehilangan (loss) — hilangnya Data Pribadi dari sistem Kami
- Perubahan (alteration) — berubahnya Data Pribadi tanpa izin
13.2 Prosedur Notifikasi
Dalam kejadian Pelanggaran Data Pribadi yang berdampak atau berpotensi berdampak pada Data Pribadi Anda, Kami akan melaksanakan:
- Notifikasi kepada Subjek Data terdampak: Maksimal 3 × 24 jam (tiga kali dua puluh empat jam) sejak pelanggaran terdeteksi dan terkonfirmasi, melalui email terdaftar dan/atau WhatsApp
- Notifikasi kepada otoritas pengawas: Laporan tertulis kepada Kementerian Komunikasi dan Digital Republik Indonesia dalam jangka waktu yang sama sesuai ketentuan UU PDP
- Pengungkapan publik: Apabila pelanggaran berdampak pada lebih dari 1.000 (seribu) Subjek Data atau berpotensi menimbulkan dampak sistemik, pengungkapan akan dilakukan melalui situs Kekasir.id dan/atau media massa dalam waktu 3 × 24 jam setelah investigasi awal selesai
13.3 Isi Notifikasi
Notifikasi pelanggaran data akan mencakup informasi berikut:
- Deskripsi jenis dan kategori Data Pribadi yang terdampak
- Perkiraan jumlah Subjek Data dan/atau volume data yang terdampak
- Waktu terjadinya pelanggaran dan waktu terdeteksinya
- Langkah-langkah yang telah dan akan Kami ambil untuk menangani, memitigasi, dan mencegah terulangnya pelanggaran
- Rekomendasi langkah-langkah yang dapat Anda ambil untuk melindungi diri dari potensi dampak pelanggaran
- Nama dan kontak Petugas Perlindungan Data (DPO) yang dapat dihubungi untuk informasi lebih lanjut
14. Pengakuan atas Pemrosesan Data
Dengan menggunakan Layanan Kekasir.id, Anda mengakui dan menyetujui bahwa:
- Anda telah membaca, memahami, dan menyetujui seluruh isi Kebijakan Privasi ini tanpa paksaan atau tekanan dari pihak mana pun
- Anda memahami jenis Data Pribadi yang Kami kumpulkan, tujuan pengumpulannya, dasar hukum pemrosesannya, dan bagaimana data tersebut digunakan, disimpan, dan dibagikan
- Anda menyetujui bahwa persetujuan Anda meliputi seluruh aktivitas pemrosesan Data Pribadi yang dilakukan oleh Kami sesuai dengan Kebijakan ini, termasuk pengumpulan, penggunaan, pengungkapan, penyimpanan, dan transfer data kepada mitra serta pihak ketiga untuk tujuan yang disebutkan dalam Kebijakan ini, selama dilakukan sesuai dengan hukum yang berlaku
- Anda memahami bahwa Anda memiliki hak-hak sebagai Subjek Data sebagaimana diatur dalam Bagian 9 Kebijakan ini, dan Kami menyediakan mekanisme yang jelas untuk menggunakan hak-hak tersebut
- Anda memahami bahwa Anda dapat menarik kembali persetujuan untuk pemrosesan berbasis persetujuan (consent-based processing) kapan saja, dan penarikan tersebut tidak memengaruhi keabsahan pemrosesan yang telah dilakukan sebelum penarikan
- Anda memahami bahwa untuk pemrosesan yang didasarkan pada kewajiban hukum atau kewajiban kontraktual, Anda tidak dapat menarik "persetujuan" karena pemrosesan tersebut tidak didasarkan pada persetujuan melainkan pada dasar hukum yang berbeda
- Data Pribadi yang Anda berikan adalah benar, akurat, lengkap, dan terkini, dan Anda bertanggung jawab untuk memperbarui data tersebut jika terjadi perubahan
15. Hukum yang Berlaku & Keterpisahan
15.1 Hukum yang Berlaku
Kebijakan Privasi ini — termasuk penafsiran, keabsahan, pelaksanaan, dan akibat hukumnya — diatur oleh dan ditafsirkan sesuai dengan hukum Republik Indonesia, khususnya:
- UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP)
- UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE) jo. perubahannya
- Peraturan Pemerintah dan peraturan pelaksana terkait perlindungan data pribadi
- Peraturan perundang-undangan lain yang relevan dan berlaku di wilayah Negara Kesatuan Republik Indonesia
15.2 Yurisdiksi
Setiap perselisihan yang timbul dari atau terkait dengan Kebijakan Privasi ini akan diselesaikan terlebih dahulu melalui musyawarah untuk mufakat. Apabila musyawarah tidak mencapai kesepakatan, perselisihan akan diselesaikan melalui pengadilan yang berwenang di wilayah Republik Indonesia, dengan memperhatikan hak Anda untuk mengajukan pengaduan kepada otoritas pengawas perlindungan data pribadi (Kementerian Komunikasi dan Digital).
15.3 Keterpisahan (Severability)
Apabila suatu ketentuan dalam Kebijakan Privasi ini dinyatakan tidak sah, batal, atau tidak dapat dilaksanakan oleh pengadilan atau otoritas yang berwenang, maka ketentuan tersebut akan ditafsirkan secara sempit sebatas diperlukan untuk membuatnya sah dan dapat dilaksanakan. Apabila penafsiran tersebut tidak dimungkinkan, ketentuan tersebut akan dihapus dan ketentuan-ketentuan lainnya dalam Kebijakan ini akan tetap berlaku penuh dan mengikat para pihak.
16. Perubahan Kebijakan Privasi
Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu untuk mencerminkan perubahan pada:
- Praktik pengelolaan dan pemrosesan Data Pribadi Kami
- Penambahan atau pengurangan fitur dan Layanan
- Perubahan peraturan perundang-undangan atau kebijakan regulator
- Perkembangan teknologi dan standar keamanan
Ketentuan pemberitahuan perubahan:
- Perubahan yang bersifat material — seperti perubahan tujuan pengumpulan data, penambahan kategori data yang dikumpulkan, perubahan penerima data, atau perubahan dasar hukum pemrosesan — akan diberitahukan minimal 30 (tiga puluh) hari kalender sebelum berlaku efektif melalui email terdaftar, WhatsApp, dan notifikasi dalam aplikasi dashboard
- Perubahan non-material — seperti koreksi penulisan, klarifikasi bahasa, penambahan informasi tanpa mengubah substansi, atau pembaruan informasi kontak — dapat berlaku efektif segera setelah diumumkan di halaman Kebijakan Privasi
- Dengan terus mengakses atau menggunakan Layanan setelah tanggal efektif perubahan, Anda dianggap telah membaca, memahami, dan menyetujui perubahan tersebut. Adalah tanggung jawab Anda untuk meninjau Kebijakan ini secara berkala
- Apabila Anda tidak menyetujui perubahan yang bersifat material, Anda wajib mengakhiri Layanan sebelum perubahan berlaku efektif dengan mengikuti prosedur pengakhiran yang diatur dalam Syarat & Ketentuan
17. Kontak
Untuk pertanyaan, keberatan, permohonan hak Subjek Data, pelaporan Pelanggaran Data Pribadi, atau hal lain apa pun terkait Kebijakan Privasi ini atau praktik pengelolaan Data Pribadi Kami, Anda dapat menghubungi:
| Kanal | Detail |
|---|
| WhatsApp Bisnis | +62 831-9353-3330 |
| Email | kekasir.id@gmail.com |
| Jam Operasional | Senin–Jumat, 08.00–17.00 WIB |
Alamat Kantor
- Kantor Batam: Mitra Raya 2, Blok D No. 12, Kelurahan Teluk Tering, Kecamatan Batam Kota, Kota Batam, Kepulauan Riau
- Kantor Tanjungpinang: Jalan Gatot Subroto No. 3, Km. 5, Kelurahan Batu IX, Kecamatan Tanjungpinang Timur, Kota Tanjungpinang, Kepulauan Riau
Pengaduan Eksternal
Apabila Anda merasa bahwa Kami tidak menangani Data Pribadi Anda sesuai dengan ketentuan peraturan perundang-undangan yang berlaku, Anda berhak mengajukan pengaduan kepada:
- Kementerian Komunikasi dan Digital Republik Indonesia — selaku otoritas pengawas perlindungan data pribadi berdasarkan UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi
PT. Mitra Kekasir Indonesia (di bawah PT. Softventure Solusi Digital Indonesia) — Platform aplikasi kasir berbasis cloud. QRIS, Pencairan Dana, Self-Order, Toko Hardware. Enterprise Solutions didukung oleh Solunesia (solunesia.id).