Kebijakan Privasi

Terakhir diperbarui 7 Juli 2026

Privasi kamu penting buat kami. Halaman ini menjelaskan apa data yang kami kumpulkan, kenapa kami mengumpulkannya, siapa yang bisa akses, berapa lama kami simpan, dan apa hak kamu. Kami menulis dengan bahasa yang jelas karena kamu berhak paham.

Kebijakan ini disusun mengacu pada Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) dan peraturan turunannya.

Ringkasan perubahan v1.2 (29 Juni 2026): Kami memisahkan persyaratan data untuk pencairan dana dari verifikasi identitas (KTP). Mulai sekarang seller cukup menambahkan rekening bank untuk mencairkan saldo — verifikasi KTP tidak lagi menjadi syarat pencairan. Verifikasi KTP tetap diperlukan untuk mendapatkan badge "Terverifikasi", menjual produk eksklusif, dan (bila kelak kami aktifkan) pencairan di atas ambang batas tertentu — pengaturan ambang ini default tidak aktif. Kami juga memperjelas penggunaan hash rekening (HMAC) untuk memastikan satu rekening hanya dipakai satu akun aktif. Tidak ada penjualan data ke pihak ketiga.

Ringkasan perubahan v1.1 (26 Juni 2026): Kami memperjelas dan menambah pengungkapan untuk data yang sudah kami proses seiring fitur baru — identitas badan usaha penjual (NIB), hash NIK untuk pencegahan duplikasi, PIN penarikan dana, bukti unggahan saat refund/komplain, riwayat penggunaan kupon, metadata sertifikat pengalihan, pesan chat antar pengguna, data pembeli tamu (guest), dan token perangkat tepercaya 2FA. Tidak ada penjualan data ke pihak ketiga.


1. Identitas Pengendali Data (Data Controller)

Pengendali data pribadi di Platform Kreavo adalah Tim Kreavo selaku usaha perseorangan yang mengoperasikan Kreavo.

Saat PT Kreavo Digital Indonesia terbentuk dan aktif, pengendali data akan dialihkan ke PT Kreavo Digital Indonesia. Kamu akan diberitahu 30 hari sebelum pengalihan ini efektif.

Data Protection Officer (DPO)

Email: privacy@kreavo.id · Subjek baris: [PRIVACY] atau [DPO]


2. Data yang Kami Kumpulkan

Kami hanya mengumpulkan data yang benar-benar kami butuhkan untuk menjalankan layanan.

2.1 Data Akun

  • Nama lengkap
  • Alamat email
  • Password (disimpan sebagai hash — kami tidak bisa membaca password aslimu)

2.2 Data Rekening Bank (Pencairan Dana)

Untuk mencairkan saldo hasil penjualan, seller cukup menambahkan data rekening bank. Menambahkan rekening sudah cukup untuk mulai mencairkan dana — verifikasi KTP tidak diperlukan untuk pencairan biasa.

  • Nama bank
  • Nomor rekening
  • Nama pemilik rekening
  • Hash rekening (HMAC) — kami menyimpan hasil enkripsi satu arah (HMAC) dari nomor rekening, bukan untuk menampilkannya kembali, melainkan semata untuk memastikan satu rekening hanya dipakai oleh satu akun aktif (pencegahan penyalahgunaan dan rekening pinjaman/money mule).
  • PIN penarikan dana — angka rahasia yang kamu buat untuk mengonfirmasi penarikan saldo. Disimpan sebagai hash (kami tidak bisa membacanya), dipakai semata untuk mengamankan pencairan dana kamu.

Data ini hanya diminta dari seller yang akan mencairkan dana. Kami tidak meminta data ini dari buyer. Dasar hukum: pelaksanaan kontrak (UU PDP Pasal 20 huruf b) — data rekening diperlukan untuk menjalankan layanan pencairan dana yang kamu minta.

2.2a Data Legalitas Usaha Seller (NIB)

Untuk seller yang merupakan pelaku usaha, kami dapat meminta Nomor Induk Berusaha (NIB) beserta status legalisasinya. Pengumpulan ini merupakan kewajiban hukum kami sebagai penyelenggara PMSE berdasarkan Permendag No. 19 Tahun 2026 (Pasal 17). NIB adalah identitas badan usaha — kami menggunakannya hanya untuk kepatuhan regulasi dan menampilkan status legalitas seller; kami tidak memverifikasinya ke sistem OSS dan tidak menjadikannya dasar profil pribadi.

2.2b Data Identitas Seller (KYC/KTP) — Opsional

Verifikasi identitas dengan KTP tidak wajib untuk mencairkan dana. Verifikasi identitas (KYC) hanya diperlukan untuk tiga konteks berikut:

  1. Mendapatkan badge "Terverifikasi" (sekaligus prasyarat untuk tier badge yang lebih tinggi);
  2. Menjual produk eksklusif (pengalihan lisensi/kepemilikan); dan
  3. Pencairan dana di atas ambang batas tertentu, bila Operator mengaktifkan ambang ini — pengaturan ini default tidak aktif dan baru berlaku jika dan ketika kami mengumumkannya.

Bila kamu memilih melakukan verifikasi identitas, kami mengumpulkan:

  • Foto KTP (Kartu Tanda Penduduk)
  • Selfie verifikasi
  • Hash NIK — kami menyimpan hasil enkripsi satu arah (hash) dari Nomor Induk Kependudukan (NIK) di KTP, bukan NIK aslinya. Hash ini hanya dipakai untuk mendeteksi pendaftaran ganda (satu KTP tidak bisa dipakai banyak akun) dan pencegahan fraud. Karena NIK memuat unsur tanggal lahir, jenis kelamin, dan wilayah, hash NIK kami perlakukan sebagai data pribadi sesuai UU PDP.
  • NPWP (opsional, untuk seller terdaftar)

Kami tidak mengumpulkan NIK untuk keperluan pencairan dana. Bila di kemudian hari kami diwajibkan mengumpulkan NIK untuk pelaporan perpajakan, kami akan memberitahukannya terlebih dahulu dan memperbarui kebijakan ini.

2.3 Data Transaksi

  • Riwayat pembelian dan penjualan
  • Invoice dan bukti transaksi
  • Metode pembayaran yang dipakai (nomor kartu tidak disimpan oleh Kreavo — ditangani langsung oleh payment gateway)
  • Nominal transaksi dan komisi
  • Status refund (jika ada)
  • Bukti unggahan refund/komplain — saat kamu mengajukan refund atau komplain, kami menyimpan file/foto bukti yang kamu unggah, beserta deskripsi keluhan, untuk memproses dan menyelesaikan sengketa.
  • Riwayat penggunaan kupon dan saldo Koin — kupon yang kamu pakai, jumlah Koin yang diperoleh/digunakan, serta cashback, untuk menjalankan program promosi dan mencegah penyalahgunaan.

2.3a Data Sertifikat Pengalihan (Produk Eksklusif)

Untuk pembelian produk eksklusif, kami menerbitkan sertifikat pengalihan kepemilikan/lisensi yang berisi metadata transaksi (nama pihak, ID pesanan, tanggal pengalihan, status). Sertifikat ini berfungsi sebagai catatan transaksi dan dokumen elektronik (alat bukti) sesuai UU ITE Pasal 5, 6, dan 11. Lihat Bagian 6 untuk informasi penyimpanan.

2.4 Data Produk (Seller)

  • File produk yang diupload (template, musik, ebook, dll.)
  • Thumbnail dan gambar preview
  • Metadata produk (judul, deskripsi, kategori, harga)
  • Variasi produk (opsi varian dan harganya) serta data lencana (badge) seller yang dihitung dari aktivitas penjualan kamu.

2.5 Data Penggunaan

  • Halaman yang dikunjungi, fitur yang digunakan, waktu dan durasi sesi
  • Pencarian yang dilakukan
  • Klik dan interaksi

2.5a Data Pembeli Tamu (Guest Checkout)

Jika kamu berbelanja tanpa membuat akun (guest checkout), kami tetap mengumpulkan alamat email yang diperlukan untuk memproses pesanan dan mengirim produk/magic link. Data ini diperlakukan dengan standar perlindungan yang sama seperti data akun terdaftar.

2.6 Data Teknis

  • Alamat IP
  • Jenis browser dan versi
  • Jenis perangkat dan sistem operasi
  • Waktu akses
  • Token perangkat tepercaya 2FA — bila kamu mengaktifkan verifikasi dua langkah (2FA) dan memilih "percayai perangkat ini", kami menyimpan token terenkripsi di perangkatmu agar kamu tidak diminta kode berulang kali selama jangka waktu tertentu. Token ini tidak mengidentifikasi kamu ke pihak lain.
  • Cookie dan teknologi serupa (lihat Bagian 8)

2.7 Data Komunikasi

  • Tiket dukungan dan pesan ke support@kreavo.id
  • Pesan chat antara pembeli dan penjual di dalam Platform — disimpan untuk keamanan transaksi, penyelesaian sengketa, serta penegakan aturan anti-transaksi di luar Platform (lihat Pasal 25 Syarat & Ketentuan).
  • Laporan pelanggaran HKI atau keluhan ke legal@kreavo.id

3. Tujuan Pemrosesan dan Dasar Hukum

Setiap data yang kami kumpulkan punya tujuan jelas dan dasar hukum yang sah, sesuai UU PDP Pasal 20.

Jenis DataTujuan PemrosesanDasar Hukum
Data AkunMembuat dan mengelola akun, autentikasi, notifikasi layananPelaksanaan kontrak
Data Rekening BankMemproses pencairan dana (payout) ke rekening sellerPelaksanaan kontrak
Hash Rekening (HMAC)Memastikan satu rekening hanya dipakai satu akun aktif, pencegahan penyalahgunaanKepentingan sah Operator
PIN penarikan danaMengamankan konfirmasi pencairan saldo sellerPelaksanaan kontrak + kepentingan sah
Data Identitas Seller (KTP/KYC)Verifikasi identitas untuk badge Terverifikasi, penjualan produk eksklusif, dan pencairan di atas ambang (bila diaktifkan); pencegahan fraudPelaksanaan kontrak + kepentingan sah
Hash NIKMencegah pendaftaran ganda satu identitas, pencegahan fraudKepentingan sah Operator
Data Legalitas Usaha (NIB)Kepatuhan regulasi PMSE, menampilkan status legalitas sellerKewajiban hukum (Permendag 19/2026)
Data TransaksiMemproses pembayaran (via Midtrans), menerbitkan bukti, penyelesaian sengketa, pelaporan pajak, audit pembukuanPelaksanaan kontrak + kewajiban hukum
Bukti refund/komplainMemproses dan menyelesaikan sengketa refund/komplainPelaksanaan kontrak
Riwayat kupon & KoinMenjalankan program promosi, mencegah penyalahgunaanPelaksanaan kontrak + kepentingan sah
Metadata Sertifikat PengalihanCatatan transaksi & dokumen elektronik (alat bukti) untuk produk eksklusifKewajiban hukum + kepentingan sah (UU ITE)
Data ProdukMenampilkan ke buyer, distribusi setelah pembelian, moderasiPelaksanaan kontrak
Data PenggunaanMemperbaiki fitur, memahami perilaku pengguna, analitik agregatKepentingan sah Operator
Data TeknisMendeteksi aktivitas mencurigakan, mencegah akses tidak sah, keamanan PlatformKepentingan sah Operator + pengguna
Token perangkat tepercaya (2FA)Mengurangi friksi login pada perangkat yang kamu percayaiPelaksanaan kontrak + kepentingan sah
Data Komunikasi (termasuk chat)Memberikan dukungan, menangani keluhan, penyelesaian sengketa, anti-circumvention, memproses laporan HKIPelaksanaan kontrak + kepentingan sah

4. Pihak Ketiga yang Memproses Data Kamu

Pihak KetigaPeranLokasi Server
SupabaseDatabase, autentikasi, file storageSingapura / US
VercelHosting aplikasi webUS / Edge global
CloudflareCDN, proteksi DDoS, file storage R2Global (edge)
Midtrans (PT Midtrans)Payment gateway — pemrosesan pembayaran dan pencegahan fraudIndonesia
ResendPengiriman email transaksionalUS / Eropa

Kami TIDAK menjual data kamu ke pihak ketiga untuk keperluan iklan.

4.1 Pengungkapan Data ke Midtrans (PT Midtrans)

Saat kamu melakukan transaksi di Platform, data berikut diteruskan ke PT Midtrans ("Midtrans") sebagai payment processor berlisensi Bank Indonesia:

Data yang DibagikanTujuan
Nama lengkapIdentifikasi pemegang transaksi
Alamat emailKonfirmasi dan notifikasi transaksi
Jumlah transaksi (gross amount)Pemrosesan pembayaran
Alamat IP (saat checkout)Pencegahan fraud dan deteksi risiko
Informasi perangkat (user agent)Pencegahan fraud

Tujuan pembagian data: (a) pemrosesan pembayaran (pelaksanaan kontrak), dan (b) pencegahan fraud sesuai kewajiban hukum dan kepentingan sah Kreavo serta Midtrans.

Dasar hukum: pelaksanaan kontrak antara Buyer dan Kreavo (UU PDP Pasal 20 huruf b) — data ini diperlukan untuk memproses transaksi yang kamu minta.

Midtrans beroperasi di bawah regulasi Bank Indonesia dan tunduk pada kebijakan privasinya sendiri, yang tersedia di midtrans.com/privacy-policy. Sebagai bagian dari kepatuhan UU PDP Pasal 56 terkait pemrosesan data oleh pihak ketiga, Kreavo mensyaratkan perjanjian pemrosesan data (Data Processing Agreement) dengan prosesor pembayaran yang digunakan; status dan dokumentasi perjanjian ini tersedia atas permintaan ke privacy@kreavo.id.

Kreavo tidak meneruskan data kartu kredit/debit kamu ke sistem kami — data tersebut dikirim langsung oleh browser kamu ke infrastruktur Midtrans yang bersertifikasi PCI-DSS.


5. Transfer Data ke Luar Negeri

Sebagian infrastruktur yang kami gunakan menjalankan server di luar Indonesia. Sesuai UU PDP Pasal 56, kami berupaya memastikan transfer data lintas negara dilakukan dengan perlindungan yang setara dengan UU PDP, melalui langkah-langkah berikut:

  • Memilih prosesor yang memiliki sertifikasi standar industri (SOC 2, ISO 27001)
  • Mensyaratkan Data Processing Agreement (DPA) atau mekanisme kontraktual setara dengan prosesor yang memproses data pribadi
  • Menerapkan klausul kontraktual standar untuk transfer internasional

Detail teknis tersedia atas permintaan ke privacy@kreavo.id.


6. Berapa Lama Data Disimpan (Retention)

Jenis DataLama Penyimpanan
Data akun aktifSelama akun aktif
Data setelah akun dihapus30 hari, lalu dihapus permanen
Data transaksi10 tahun sejak transaksi (kewajiban pembukuan UU No. 8/1997 Pasal 11; minimum 5 tahun untuk keperluan audit pajak DJP)
Data identitas seller (KTP)Selama akun seller aktif + 5 tahun
Hash NIKSelama akun seller aktif + 5 tahun (mengikuti retensi data identitas seller)
Data rekening bank sellerSelama akun seller aktif + sesuai kewajiban pembukuan (lihat data transaksi)
Data legalitas usaha (NIB)Selama akun seller aktif
Bukti refund/komplainMengikuti retensi data transaksi terkait
Riwayat kupon & KoinMengikuti retensi data transaksi terkait
Metadata sertifikat pengalihanDisimpan secara permanen sebagai catatan transaksi dan dokumen elektronik (alat bukti) sesuai UU ITE Pasal 5, 6, dan 11. Dikecualikan dari hak penghapusan data (UU PDP Pasal 8 ayat 2) karena diperlukan untuk kepentingan hukum yang sah dan pembuktian sengketa.
Pesan chat antar pengguna2 tahun sejak pesan dibuat (selaras Pasal 25.6 Syarat & Ketentuan)
Data pembeli tamu (guest)2 tahun sejak transaksi (selaras Pasal 23.3 Syarat & Ketentuan)
Token perangkat tepercaya (2FA)Hingga 30 hari, atau sampai kamu mencabut/keluar dari perangkat
Log teknis (IP, aktivitas sistem)90 hari
Data komunikasi support2 tahun sejak ticket selesai
Cookie analitikMaksimum 12 bulan

Saat kamu menghapus akun, data masuk masa retensi 30 hari sebelum dihapus permanen. Sebagian data — misalnya data transaksi, identitas seller, dan metadata sertifikat — dapat disimpan lebih lama bila diwajibkan oleh hukum atau diperlukan untuk keperluan pembukuan, perpajakan, dan penyelesaian sengketa (lihat Bagian 7.4).


7. Hak Kamu atas Data Pribadi (UU PDP)

Berdasarkan UU No. 27 Tahun 2022 Pasal 5-15:

  • 7.1 Hak Mendapatkan Informasi (Pasal 5) — kamu berhak tahu pengendali, dasar hukum, tujuan, dan jenis data yang dikumpulkan.
  • 7.2 Hak Akses (Pasal 6) — minta salinan data pribadi.
  • 7.3 Hak Memperbaiki Data (Pasal 7) — koreksi data yang tidak akurat.
  • 7.4 Hak Menghapus Data (Pasal 8 dan 9) — kamu berhak meminta penghapusan data pribadimu. Sebagian data tidak dapat langsung dihapus selama masih ada dasar hukum untuk menyimpannya — misalnya data transaksi dan identitas seller untuk kewajiban pembukuan/perpajakan, serta data yang diperlukan untuk penyelesaian sengketa yang sedang berjalan atau sebagai dokumen elektronik (alat bukti) sesuai UU ITE. Setelah dasar tersebut berakhir, data akan dihapus sesuai jadwal retensi pada Bagian 6.
  • 7.5 Hak Menarik Persetujuan (Pasal 10) — untuk pemrosesan berbasis consent.
  • 7.6 Hak Keberatan (Pasal 11) — atas pemrosesan berbasis kepentingan sah.
  • 7.7 Hak Portabilitas (Pasal 13) — ekspor data dalam format umum (JSON, CSV).
  • 7.8 Hak Membatasi Pemrosesan (Pasal 12) — penundaan dalam kondisi tertentu.

Kirim permintaan ke privacy@kreavo.id dengan nama lengkap, email terdaftar, hak yang ingin digunakan, dan bukti identitas. Respon dalam 14 hari kerja, gratis dalam batas wajar.


8. Cookie dan Teknologi Serupa

8.1 Cookie Teknis (Wajib)

Diperlukan untuk login, transaksi, dan fitur dasar. Tidak bisa dimatikan.

8.2 Cookie Analitik (Opsional)

Membantu kami memahami penggunaan agregat. Kamu bisa memilih untuk tidak mengizinkan, tanpa mempengaruhi penggunaan dasar.

8.3 Tidak Ada Cookie Iklan / Tracking

Kreavo tidak menggunakan cookie iklan pihak ketiga tanpa persetujuan eksplisit di banner cookie.


9. Keamanan Data

9.1 Enkripsi

  • Data sensitif (KTP, data keuangan) dienkripsi dengan AES-256 at rest
  • Komunikasi browser-server menggunakan HTTPS / TLS 1.2+
  • Password disimpan dengan algoritma hash kuat (bcrypt)

9.2 Kontrol Akses Internal

  • Prinsip least privilege, 2FA wajib untuk admin, audit log untuk akses data sensitif

9.3 Infrastruktur

  • Database di Supabase dengan Row Level Security (RLS)
  • File produk di Cloudflare R2 dengan signed URL terbatas waktu
  • Monitoring keamanan aktif

10. Prosedur Pelanggaran Data (Data Breach)

10.1 Timeline Respons (UU PDP Pasal 46)

  • T+0: Deteksi insiden
  • 0-24 jam: Investigasi internal awal
  • 24-48 jam: Penilaian dampak — data apa, subjek mana yang terdampak
  • Maks 72 jam: Notifikasi ke subjek data terdampak dan ke Lembaga PDP
  • Selanjutnya: Remediation, perbaikan sistem, pencegahan berulang, laporan pasca-insiden

10.2 Apa yang Akan Kami Sampaikan ke Kamu

Notifikasi akan berisi: apa yang terjadi, data apa yang terdampak, kapan kejadian, langkah kami, langkah yang bisa kamu lakukan (ganti password, pantau aktivitas), dan kontak untuk pertanyaan.


11. Perlindungan Anak

Kreavo tidak diperuntukkan bagi pengguna di bawah usia 17 tahun. Jika kami mengetahui ada data pengguna di bawah 17 tahun yang dikumpulkan tanpa persetujuan orang tua/wali, kami akan menghapus data tersebut.


12. Perubahan Kebijakan Privasi

Untuk perubahan material, kami akan memberitahu 30 hari sebelum berlaku melalui email dan notifikasi in-app.


13. Pengaduan dan Eskalasi

13.1 Hubungi Kami Dulu

Email: privacy@kreavo.id · Subjek: [PRIVACY] · SLA: 14 hari kerja

13.2 Eskalasi ke Regulator

  • Lembaga PDP (kominfo.go.id)
  • BSSN (bssn.go.id) untuk masalah keamanan siber

14. Kontak

Email DPO: privacy@kreavo.id · Email umum: support@kreavo.id


Kebijakan Privasi ini disusun mengacu pada UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Versi: 1.2 — Terakhir diperbarui 29 Juni 2026.