Privacy Draft
Kebijakan Privasi QRIS PG
Terakhir diperbarui: 15 July 2026
Kebijakan ini menjelaskan data yang diproses QRIS PG ketika digunakan sebagai payment gateway self-hosted. Operator aplikasi/merchant bertindak sebagai pengendali data untuk instalasi masing-masing.
1. Data yang Diproses
Data dapat mencakup nama merchant, QRIS static string, merchant ID, token terenkripsi, API key hash, payment ID, nominal, status pembayaran, metadata order, callback URL, referensi mutasi, dan log operasional.
2. Tujuan Pemrosesan
Data diproses untuk membuat QRIS dinamis, mencocokkan mutasi pembayaran, mengirim webhook, audit transaksi, keamanan API, backup, dan rekonsiliasi merchant.
3. Dasar dan Kepatuhan
Merchant wajib memiliki dasar pemrosesan yang sah, memberikan pemberitahuan kepada pelanggan jika diperlukan, serta mematuhi UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi dan PP No. 71 Tahun 2019 tentang PSTE apabila relevan.
4. Penyimpanan dan Retensi
Simpan data selama diperlukan untuk operasional, audit, perpajakan, penyelesaian sengketa, atau kewajiban hukum. Hapus/anonimkan data yang tidak lagi diperlukan.
5. Keamanan
Gunakan HTTPS, batasi akses admin, rotasi API key/token, aktifkan backup terenkripsi, lindungi file database, dan jangan membagikan Bearer token di chat/tiket publik.
6. Hak Subjek Data
Jika pelanggan meminta akses, koreksi, penghapusan, pembatasan, atau informasi pemrosesan data, merchant wajib menangani sesuai peraturan yang berlaku dan kemampuan sistem.
7. Pihak Ketiga
Integrasi dapat melibatkan layanan pihak ketiga seperti GoBiz/GoPay/GoFood dan endpoint webhook merchant. Merchant wajib mematuhi ketentuan serta kebijakan privasi pihak ketiga tersebut.
8. Catatan Produksi
Dokumen ini adalah template awal, bukan nasihat hukum. Sesuaikan nama perusahaan, kontak DPO/admin, alamat, periode retensi, dan proses komplain sebelum go-live.