Keamanan & Penyimpanan Data
Bagaimana Konvert.id menyimpan, mengamankan, dan melindungi data pribadi pengguna platform.
Terakhir diperbarui: 4 Mei 2026Halaman ini menjelaskan praktik keamanan dan penyimpanan data yang diterapkan PT. Konvert Digital Indonesia (“Konvert.id”) dalam mengelola data pribadi pengguna platform www.konvert.id. Halaman ini melengkapi Kebijakan Privasi sesuai UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).
1. Enkripsi Data
- Enkripsi in-transit: seluruh komunikasi antara pengguna, server, dan layanan pihak ketiga menggunakan protokol TLS 1.2 atau lebih tinggi dengan cipher modern.
- Enkripsi at-rest: data tersimpan pada infrastruktur cloud terenkripsi menggunakan AES-256 atau standar setara.
- Kata sandi: disimpan sebagai hash satu arah (bcrypt/argon2). Konvert.id tidak pernah menyimpan kata sandi dalam bentuk teks asli dan tidak dapat memulihkannya — hanya reset.
- Token sesi: disimpan dalam cookie HttpOnly + Secure, dengan rotasi dan expiry yang ketat.
- Data KYC sensitif (foto KTP, NPWP, dokumen perizinan): disimpan dengan enkripsi tambahan pada storage terpisah dengan akses yang lebih ketat.
- Data instrumen pembayaran (nomor kartu, OTP, PIN): tidak pernah kami simpan — data ini diproses langsung oleh DOKU sebagai penyedia jasa pembayaran berlisensi yang tersertifikasi PCI-DSS.
2. Kontrol Akses Internal
- Role-Based Access Control (RBAC): setiap karyawan/kontraktor hanya memiliki akses ke data yang relevan dengan tugasnya.
- Multi-Factor Authentication (MFA): wajib untuk seluruh akses internal ke sistem produksi dan dashboard administratif.
- Audit log: setiap akses ke data sensitif (KYC, transaksi, data pribadi) dicatat dengan timestamp, identitas, dan tindakan yang dilakukan.
- Privileged access: akses ke database produksi memerlukan persetujuan tambahan dan dilakukan melalui bastion host dengan rekaman sesi.
- Onboarding/offboarding: akses karyawan dicabut paling lambat 24 jam sejak terminasi atau perubahan peran.
3. Infrastruktur & Lokasi Penyimpanan
- Hosting: Vercel (CDN dan compute) dengan distribusi global edge.
- Database: Supabase (PostgreSQL terkelola) di region Asia Tenggara.
- File storage: Supabase Storage untuk gambar, dokumen KYC, dan aset landing page.
- Email: Resend (transaksional dan notifikasi).
- Payment: PT Nusa Satu Inti Artha (DOKU) — PJP berlisensi Bank Indonesia.
Seluruh penyedia infrastruktur terikat oleh perjanjian pemrosesan data (DPA) dan menerapkan standar keamanan industri (SOC 2, ISO 27001, atau setara).
4. Backup & Disaster Recovery
- Backup harian: snapshot otomatis untuk database produksi disimpan minimal 7 hari.
- Point-in-time recovery: tersedia dalam jendela 30 hari untuk pemulihan presisi.
- Replikasi: data direplikasi pada multiple availability zones untuk ketahanan terhadap kegagalan infrastruktur.
- Uji pemulihan: prosedur disaster recovery diuji secara berkala.
5. Pemantauan & Deteksi Ancaman
- Pemantauan keamanan berkelanjutan terhadap aktivitas mencurigakan (login anomali, brute force, injection attack).
- Rate limiting dan CAPTCHA pada endpoint sensitif (login, register, forgot password) untuk mencegah penyalahgunaan.
- Notifikasi otomatis ke pengguna untuk login dari perangkat/lokasi baru.
- Audit kerentanan (vulnerability scanning) berkala terhadap dependency dan konfigurasi.
6. Masa Penyimpanan Data
Data pribadi disimpan selama akun aktif dan untuk jangka waktu yang diperlukan untuk memenuhi tujuan pengumpulan, serta sesuai retensi hukum:
- Data akun & profil: selama akun aktif. Setelah penghapusan akun, data dihapus dalam 30 hari atau dianonimkan.
- Data transaksi keuangan: minimal 10 tahun sesuai ketentuan pajak dan regulasi keuangan.
- Data KYC: minimal 5 tahun setelah hubungan bisnis berakhir, sesuai ketentuan APU/PPT.
- Log akses & audit: 1–3 tahun untuk keperluan investigasi dan kepatuhan.
Setelah masa retensi berakhir, data dihapus secara aman atau dianonimkan sehingga tidak lagi dapat mengidentifikasi individu.
7. Respons Insiden Data
Konvert.id memiliki prosedur respons insiden untuk menangani potensi pelanggaran data pribadi sesuai UU PDP Pasal 46:
- Deteksi & klasifikasi insiden dalam waktu sesegera mungkin.
- Mitigasi: tindakan teknis untuk menghentikan dan membatasi dampak insiden.
- Notifikasi kepada Subjek Data & Otoritas: paling lambat 3 x 24 jam sejak insiden dikonfirmasi, sesuai ketentuan UU PDP.
- Investigasi pasca-insiden dan implementasi perbaikan untuk mencegah pengulangan.
8. Hak Anda atas Data Anda
Sesuai UU PDP, Anda memiliki hak akses, koreksi, penghapusan, portabilitas, pembatasan pemrosesan, dan penarikan persetujuan. Detail hak dan cara menggunakannya tersedia di Kebijakan Privasi Bagian 8. Permintaan dapat diajukan melalui admin@konvert.id dan akan ditanggapi dalam maksimum 14 hari kerja.
9. Kontak Data Protection Officer
PT. Konvert Digital Indonesia — Data Protection
Email: admin@konvert.id
Telepon/WhatsApp: +62 821 1169 6866
Alamat: Infiniti Office, Arcade Business Center 6th Floor Unit 6-03,
Jl. Pantai Indah Utara 2 Kab. C1, PIK, Penjaringan, Jakarta Utara 14460
Lihat juga: Pembagian Data dengan Pihak Ketiga · Kebijakan Privasi lengkap