Kebijakan Privasi

Kebijakan Privasi ini menjelaskan bagaimana Fibidy mengumpulkan, menggunakan, menyimpan, dan melindungi data pribadi Pengguna yang menggunakan platform fibidy.com beserta seluruh subdomain dan layanannya.

Fibidy dioperasikan secara independen oleh pengelola perseorangan yang berdomisili di Indonesia. Dalam konteks Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), Fibidy bertindak sebagai Pengendali Data Pribadi untuk data yang dikumpulkan melalui Platform.

Untuk seluruh pertanyaan, permintaan, atau pengaduan terkait data pribadi, hubungi admin@fibidy.com.

Data akun — Saat mendaftar, kami mengumpulkan alamat email dan kata sandi (disimpan dalam bentuk terenkripsi menggunakan bcrypt). Untuk Pengguna yang upgrade menjadi Seller, kami juga mengumpulkan nama toko, kategori usaha, nomor WhatsApp, deskripsi, dan alamat yang kamu berikan secara sukarela.

Data profil toko — Seller dapat mengunggah logo, foto produk, dan konten lainnya untuk menampilkan toko dan produk digital mereka.

Data produk digital — File PDF yang diunggah Seller untuk dijual, beserta metadata terkait (nama file, ukuran, jumlah halaman, waktu unggah).

Data transaksi — Untuk setiap pembelian, kami mencatat ID sesi pembayaran, ID payment intent, jumlah yang dibayar, mata uang, fee platform, dan sumber transaksi (Direct atau Discover). Data kartu pembayaran tidak pernah menyentuh server Fibidy — seluruh pemrosesan kartu dilakukan oleh Stripe.

Data log download — Untuk setiap unduhan produk oleh Buyer, kami mencatat alamat IP, User-Agent, dan waktu unduhan. Tujuannya adalah menyediakan bukti akses file sebagai evidence jika terjadi sengketa chargeback. Data ini disimpan maksimum 365 hari.

Data sesi — Kami menggunakan cookie sesi httpOnly untuk menjaga kamu tetap login. Detail di Kebijakan Cookie di fibidy.com/legal/cookies.

Data penggunaan agregat — Kami menggunakan Vercel Analytics yang mengumpulkan statistik pengunjung secara anonim, tanpa cookie pelacak dan tanpa mengidentifikasi individu.

Menyediakan dan mengoperasikan Platform, termasuk autentikasi, manajemen akun, dan penyediaan layanan kepada Seller dan Buyer.

Memproses pembayaran dan payout melalui Stripe.

Memenuhi kewajiban verifikasi identitas (KYC) Seller melalui Stripe Connect untuk kepatuhan terhadap regulasi anti pencucian uang.

Menyediakan bukti teknis (download log) untuk dispute chargeback dan perlindungan terhadap klaim yang tidak sah.

Mengirim notifikasi penting terkait akun, transaksi, perubahan layanan, atau perubahan kebijakan.

Mencegah, mendeteksi, dan menangani penipuan, pelanggaran keamanan, atau pelanggaran Syarat Layanan.

Meningkatkan Platform berdasarkan analisis penggunaan agregat.

Memenuhi kewajiban hukum yang berlaku di Republik Indonesia.

Kami tidak menggunakan datamu untuk iklan pihak ketiga, tidak menjual datamu, dan tidak membagikannya untuk tujuan pemasaran oleh pihak lain.

Pemrosesan data pribadi dilakukan berdasarkan satu atau lebih dasar hukum berikut, sesuai Pasal 20 UU PDP:

Persetujuan — kamu memberikan persetujuan eksplisit saat mendaftar dan menerima Kebijakan Privasi ini.

Pelaksanaan perjanjian — pemrosesan yang diperlukan untuk memenuhi Syarat Layanan dan menyediakan layanan kepada kamu.

Kewajiban hukum — pemrosesan yang diperlukan untuk memenuhi kewajiban hukum Fibidy.

Kepentingan sah — pemrosesan untuk tujuan yang wajar seperti keamanan Platform, pencegahan penipuan, dan perlindungan hak hukum, sepanjang tidak melanggar hak dasar Pengguna.

Untuk mengoperasikan Platform, kami menggunakan penyedia layanan pihak ketiga yang bertindak sebagai Pemroses Data sesuai instruksi Fibidy. Masing-masing pihak memiliki kebijakan privasi sendiri yang mengatur bagaimana mereka menangani data.

Stripe, Inc. (Amerika Serikat dan afiliasi global) — memproses pembayaran, melakukan verifikasi KYC Seller, dan mengelola payout. Stripe menerima data identitas Seller, data transaksi, dan data kartu Buyer. Kebijakan privasi Stripe tersedia di stripe.com/privacy.

Supabase, Inc. (Amerika Serikat) — menyediakan infrastruktur database PostgreSQL. Seluruh data akun, transaksi, dan metadata produk disimpan di database yang dihosting oleh Supabase.

Upstash, Inc. (Amerika Serikat) — menyediakan infrastruktur Redis untuk cache, session management, dan rate limiting. Data yang disimpan bersifat sementara dan tidak mengandung data sensitif.

Cloudflare, Inc. (global) — melalui layanan R2 kami menyimpan file PDF produk digital dan file preview yang diunggah Seller.

Cloudinary Ltd. (Amerika Serikat dan Israel) — menyimpan aset gambar seperti logo toko dan ikon feature.

Railway Corp. (Amerika Serikat) — menyediakan infrastruktur hosting untuk backend server Fibidy.

Vercel, Inc. (Amerika Serikat) — menyediakan infrastruktur hosting untuk frontend web Fibidy dan layanan analitik anonim.

Sebagian penyedia di atas berbasis di luar Indonesia. Transfer data lintas batas dilakukan dengan dasar hukum sesuai Pasal 56 UU PDP, termasuk persetujuanmu dan pelaksanaan perjanjian.

File PDF yang diunggah Seller disimpan secara terenkripsi di Cloudflare R2. Kunci file internal (fileKey) tidak pernah diekspos ke Buyer atau publik.

Buyer hanya memperoleh akses via signed URL sementara dengan masa berlaku 15 menit, yang dibangkitkan fresh setiap kali Buyer klik tombol download.

Untuk setiap produk PDF, sistem secara otomatis menghasilkan file preview yang berisi maksimum 3 halaman pertama. File preview ini yang ditampilkan di halaman produk publik — file asli tetap tersembunyi sampai Buyer membeli.

Integritas file diverifikasi saat upload menggunakan library pdf-lib. File yang corrupt atau tidak dapat diproses ditolak saat upload.

Setiap kali Buyer mengunduh produk yang telah dibeli, sistem mencatat alamat IP, User-Agent browser, waktu unduhan, dan ID produk terkait.

Data log download dikumpulkan untuk dua tujuan spesifik: menyediakan bukti akses file kepada Stripe jika Buyer mengajukan chargeback, dan menyediakan histori unduhan kepada Seller untuk keperluan operasional toko.

Log download disimpan maksimum 365 hari sejak waktu unduhan, kemudian dihapus secara periodik melalui mekanisme cleanup.

Alamat IP yang tercatat dianggap data pribadi dalam kerangka UU PDP. Kami memproses data ini berdasarkan kepentingan sah untuk perlindungan dari klaim chargeback yang tidak berdasar.

Kami menerapkan langkah keamanan teknis dan organisasional yang wajar untuk melindungi data pribadi, termasuk — transmisi data melalui koneksi terenkripsi HTTPS/TLS, enkripsi kata sandi dengan bcrypt cost factor 12, sesi login dengan cookie httpOnly dan secure, mekanisme token versioning untuk invalidasi sesi otomatis saat kata sandi diubah, rate limiting terhadap serangan brute force, dan isolasi data antar Pengguna pada level aplikasi dan database.

Pembayaran diproses oleh Stripe yang tersertifikasi PCI-DSS Level 1. Data kartu pembayaran tidak pernah tersimpan atau terproses di server Fibidy.

Tidak ada sistem yang dapat menjamin keamanan absolut. Jika terjadi insiden keamanan yang secara material membahayakan data pribadi Pengguna, kami akan memberitahumu sesegera mungkin setelah insiden dikonfirmasi, sesuai kewajiban notifikasi pelanggaran data dalam UU PDP.

Jika kamu menemukan celah keamanan, mohon laporkan ke admin@fibidy.com dengan subjek "Security Report".

Data akun aktif — disimpan selama akun aktif digunakan.

Data akun tertutup — setelah permintaan penutupan akun dikonfirmasi, data akun dihapus permanen dalam 30 hari. Setelah periode tersebut data tidak dapat dipulihkan.

Data transaksi — dipertahankan untuk kepatuhan hukum dan kebutuhan audit keuangan sesuai jangka waktu yang diwajibkan oleh peraturan perpajakan dan peraturan terkait lainnya di Indonesia.

Data log download — dipertahankan maksimum 365 hari, kemudian dihapus otomatis.

Data webhook Stripe — dipertahankan maksimum 90 hari untuk mendukung pemrosesan ulang jika diperlukan, kemudian dihapus.

Data yang disimpan Stripe sebagai Pemroses Data tunduk pada kebijakan retensi Stripe, termasuk kebutuhan mempertahankan catatan transaksi dan catatan KYC sesuai regulasi keuangan yang berlaku.

Sesuai UU PDP, kamu memiliki hak sebagai Subjek Data Pribadi, termasuk:

Hak atas akses — meminta salinan data pribadi yang kami simpan tentangmu.

Hak atas perbaikan — meminta koreksi atas data yang tidak akurat atau tidak lengkap.

Hak atas penghapusan — meminta penghapusan data pribadi dengan memperhatikan kewajiban hukum yang membatasi.

Hak atas pembatasan pemrosesan — meminta pembatasan pemrosesan data dalam kondisi tertentu.

Hak atas portabilitas data — meminta salinan data dalam format yang terstruktur dan dapat dibaca mesin.

Hak untuk menarik persetujuan — menarik persetujuan pemrosesan yang sebelumnya telah kamu berikan.

Hak untuk mengajukan keberatan dan pengaduan — mengajukan keberatan atas pemrosesan tertentu atau mengajukan pengaduan kepada otoritas yang berwenang.

Untuk menggunakan hak-hak ini, kirim permintaan ke admin@fibidy.com dengan subjek "Data Request". Kami akan merespons dalam jangka waktu maksimum 14 hari kerja. Beberapa hak dapat dibatasi oleh kewajiban hukum atau kepentingan sah Fibidy.

Platform tidak ditujukan untuk anak di bawah usia 17 tahun. Kami tidak secara sadar mengumpulkan data pribadi anak di bawah umur.

Jika kamu mengetahui atau memiliki kekhawatiran bahwa seorang anak di bawah umur telah memberikan data pribadi kepada Platform, mohon hubungi admin@fibidy.com dan kami akan menghapus data tersebut sesegera mungkin.

Karena beberapa Pemroses Data kami berbasis di luar Indonesia, data pribadimu dapat diproses dan disimpan di yurisdiksi di luar Indonesia, termasuk Amerika Serikat.

Transfer data lintas batas dilakukan dengan memperhatikan tingkat perlindungan data pribadi di negara tujuan sesuai Pasal 56 UU PDP, serta berdasarkan persetujuanmu dan pelaksanaan perjanjian dengan kamu.

Fibidy dapat memperbarui Kebijakan Privasi ini sewaktu-waktu. Perubahan material akan diberitahukan kepada Pengguna terdaftar via email minimal 7 hari sebelum berlaku efektif.

Versi terbaru selalu tersedia di fibidy.com/legal/privacy. Tanggal "terakhir diperbarui" di bagian atas halaman menunjukkan versi terbaru yang berlaku.

Penggunaan Platform yang berlanjut setelah tanggal efektif dianggap sebagai persetujuan terhadap versi terbaru.

Untuk pertanyaan umum terkait Kebijakan Privasi ini, hubungi admin@fibidy.com.

Untuk permintaan hak sebagai Subjek Data Pribadi (akses, koreksi, penghapusan, portabilitas, dan lain-lain), gunakan email yang sama dengan subjek "Data Request".

Untuk laporan insiden keamanan atau kebocoran data, gunakan subjek "Security Report".