← Kembali ke QRIS PG

Privacy Draft

Kebijakan Privasi QRIS PG

Terakhir diperbarui: 15 July 2026

Kebijakan ini menjelaskan data yang diproses QRIS PG ketika digunakan sebagai payment gateway self-hosted. Operator aplikasi/merchant bertindak sebagai pengendali data untuk instalasi masing-masing.

1. Data yang Diproses

Data dapat mencakup nama merchant, QRIS static string, merchant ID, token terenkripsi, API key hash, payment ID, nominal, status pembayaran, metadata order, callback URL, referensi mutasi, dan log operasional.

2. Tujuan Pemrosesan

Data diproses untuk membuat QRIS dinamis, mencocokkan mutasi pembayaran, mengirim webhook, audit transaksi, keamanan API, backup, dan rekonsiliasi merchant.

3. Dasar dan Kepatuhan

Merchant wajib memiliki dasar pemrosesan yang sah, memberikan pemberitahuan kepada pelanggan jika diperlukan, serta mematuhi UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi dan PP No. 71 Tahun 2019 tentang PSTE apabila relevan.

4. Penyimpanan dan Retensi

Simpan data selama diperlukan untuk operasional, audit, perpajakan, penyelesaian sengketa, atau kewajiban hukum. Hapus/anonimkan data yang tidak lagi diperlukan.

5. Keamanan

Gunakan HTTPS, batasi akses admin, rotasi API key/token, aktifkan backup terenkripsi, lindungi file database, dan jangan membagikan Bearer token di chat/tiket publik.

6. Hak Subjek Data

Jika pelanggan meminta akses, koreksi, penghapusan, pembatasan, atau informasi pemrosesan data, merchant wajib menangani sesuai peraturan yang berlaku dan kemampuan sistem.

7. Pihak Ketiga

Integrasi dapat melibatkan layanan pihak ketiga seperti GoBiz/GoPay/GoFood dan endpoint webhook merchant. Merchant wajib mematuhi ketentuan serta kebijakan privasi pihak ketiga tersebut.

8. Catatan Produksi

Dokumen ini adalah template awal, bukan nasihat hukum. Sesuaikan nama perusahaan, kontak DPO/admin, alamat, periode retensi, dan proses komplain sebelum go-live.