Kebijakan
Privasi.

Pengendali data atas layanan CrescendPOS adalah pengelola aplikasi yang dapat dihubungi melalui email [email protected].

Untuk data pelanggan akhir (end customer) yang Pengguna kumpulkan melalui CrescendPOS, Pengguna bertindak sebagai pengendali data dan CrescendPOS bertindak sebagai prosesor data sesuai Pasal 1 angka 4 dan 5 UU PDP.

Data akun (saat pendaftaran):

• Nama lengkap
• Alamat email
• Password (disimpan dalam bentuk hash bcrypt, tidak dapat dibaca)
• Nama bisnis dan alamat (saat onboarding)

Data operasional (saat penggunaan):

• Data menu, produk, dan harga yang Pengguna input
• Riwayat transaksi dan order
• Data shift dan kasir
• Pengaturan toko dan preferensi

Data teknis (otomatis):

• Alamat IP, jenis browser, dan perangkat
• Log akses untuk keperluan keamanan
• Session cookies untuk menjaga login

Kami tidak mengumpulkan: nomor identitas (KTP), NPWP, data biometrik, data kesehatan, atau kategori data sensitif lainnya sebagaimana diatur dalam Pasal 4 UU PDP.

Pemrosesan data pribadi dilakukan berdasarkan persetujuan eksplisit Pengguna saat mendaftar, sesuai Pasal 20 UU PDP, dengan tujuan:

• Menyediakan, memelihara, dan meningkatkan Layanan
• Memproses transaksi dan pembayaran berlangganan
• Mengirim notifikasi terkait akun, keamanan, atau perubahan layanan
• Mendeteksi dan mencegah penyalahgunaan atau aktivitas mencurigakan
• Mematuhi kewajiban hukum yang berlaku

Data disimpan di server Hetzner Cloud di Singapura dengan enkripsi at-rest dan in-transit (TLS 1.3). Backup harian otomatis disimpan di Cloudflare R2 (region global).

Penyedia layanan pihak ketiga yang memproses data atas nama kami:

• Hetzner Online GmbH (Jerman) — penyedia server cloud di Singapura
• Cloudflare, Inc. (Amerika Serikat) — CDN, proteksi DDoS, dan penyimpanan backup
• Brevo (Prancis) — pengiriman email transaksional

Transfer data lintas negara dilakukan dengan jaminan tingkat perlindungan yang setara sebagaimana diatur dalam Pasal 56 UU PDP, melalui klausula kontrak standar dengan masing-masing penyedia.

Kami tidak menjual data pribadi Pengguna kepada pihak ketiga. Data hanya dibagikan dalam kondisi berikut:

• Dengan persetujuan eksplisit dari Pengguna
• Kepada penyedia layanan pihak ketiga yang membantu operasional (lihat poin 04), terbatas pada data yang diperlukan
• Sesuai kewajiban hukum, putusan pengadilan, atau permintaan otoritas yang berwenang
• Untuk melindungi hak, properti, atau keamanan CrescendPOS dan penggunanya

Sesuai Pasal 5–13 UU PDP, Pengguna berhak untuk:

• Mendapat informasi tentang data pribadi yang diproses
• Mengakses dan menyalin data pribadi yang dimiliki
• Memperbaiki atau memperbarui data yang tidak akurat
• Menghapus data ("hak untuk dilupakan")
• Membatasi pemrosesan data dalam kondisi tertentu
• Mengajukan keberatan atas pemrosesan data
• Memindahkan data (data portability) dalam format yang dapat dibaca mesin
• Menarik kembali persetujuan kapan saja

Permintaan dapat dikirim ke [email protected] dan akan kami tindak lanjuti paling lambat 3 × 24 jam sejak diterima.

Data pribadi disimpan selama akun Pengguna aktif. Setelah akun ditutup atau dihapus:

• Data operasional (transaksi, menu) dihapus dalam 30 hari
• Data akun (email, nama) dihapus dalam 90 hari
• Log keamanan dan audit dapat disimpan hingga 1 tahun untuk kepatuhan
• Data yang wajib disimpan sesuai hukum perpajakan dapat disimpan lebih lama sesuai ketentuan yang berlaku

Pengguna dapat meminta penghapusan segera (immediate deletion) melalui email kontak kami.

Kami menerapkan langkah-langkah teknis dan organisasi untuk melindungi data, termasuk:

• Enkripsi TLS 1.3 untuk seluruh komunikasi
• Password ter-hash dengan bcrypt (cost factor 12)
• Rate limiting pada endpoint login dan registrasi
• Web Application Firewall dan proteksi DDoS via Cloudflare
• Backup otomatis harian dengan retensi 30 hari
• Audit log untuk akses data sensitif
• Whitelisted registration — akun baru memerlukan persetujuan admin

Sesuai Pasal 46 UU PDP, kami akan memberitahukan kepada Pengguna dan otoritas berwenang dalam 3 × 24 jam apabila terjadi kegagalan perlindungan data yang berdampak material.

Kami menggunakan cookie yang sangat diperlukan (strictly necessary) untuk:

• Menjaga sesi login (session cookie)
• Mencegah serangan CSRF
• Menyimpan preferensi tampilan

Kami tidak menggunakan cookie tracking, advertising, atau third-party analytics yang invasif. Layanan analitik internal dilakukan secara terbatas dan tidak melacak Pengguna lintas situs.

Layanan ini ditujukan untuk pelaku usaha yang sah dan tidak ditujukan bagi individu di bawah usia 18 tahun. Kami tidak dengan sengaja mengumpulkan data pribadi dari anak-anak. Jika kami mengetahui adanya pengumpulan demikian, data akan dihapus sesuai Pasal 25 UU PDP.

Kebijakan ini dapat diperbarui untuk mencerminkan perubahan layanan atau peraturan. Perubahan material akan diberitahukan melalui email paling lambat 30 hari sebelum berlaku.

Pertanyaan, permintaan akses data, atau pengaduan terkait privasi dapat disampaikan ke:

⌁ [email protected]

Pengguna juga berhak mengajukan pengaduan kepada otoritas pelindungan data pribadi sesuai ketentuan UU PDP.