Kebijakan Privasi
Berlaku sejak: 2026-05-06
Kebijakan Privasi — Capital Commerce Consulting
Berlaku sejak: [TBD per launch date — fill saat publish] Versi: 1.0 Entitas hukum: PT Mega Supertek Indonesia Brand layanan: Capital Commerce Consulting
1. Pendahuluan
Kebijakan Privasi ini menjelaskan bagaimana PT Mega Supertek Indonesia ("kami", "Capital Commerce Consulting") mengumpulkan, menggunakan, menyimpan, dan melindungi data pribadi pengunjung situs capital-commerce.com ("Anda", "pengguna").
Kami berkomitmen mematuhi Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) dan praktik privasi terbaik internasional (GDPR-aligned default).
2. Data yang kami kumpulkan
2.1 Data yang Anda berikan secara aktif (formulir kontak, langganan)
- Nama lengkap
- Alamat email
- Nama perusahaan
- Jabatan / role
- Nomor WhatsApp atau telepon (opsional)
- Konteks pertanyaan / pain operasional yang Anda sampaikan via form qualification (Q1-Q4)
2.2 Data yang dikumpulkan otomatis
- Plausible Analytics (cookie-less, default ON): halaman yang dikunjungi, referrer, bahasa browser, durasi visit, tipe device — agregat, tanpa identifikasi personal.
- Google Analytics 4 (cookie-based, opt-in): mengumpulkan data behavior tambahan kalau Anda menerima cookie consent. Termasuk session duration, bounce rate, conversion event. IP di-anonymize.
- Server log: alamat IP, user-agent, timestamp request — disimpan 30 hari untuk audit + security.
2.3 Data yang TIDAK kami kumpulkan
- Data pembayaran (kami tidak proses pembayaran via situs — dilakukan via invoice manual atau payment processor klien).
- Data sensitif (agama, ras, orientasi politik, kondisi kesehatan, dll.) — kecuali Anda secara eksplisit cantumkan di form qualification.
- Data anak di bawah 17 tahun — situs ini ditujukan untuk audience B2B profesional dewasa.
3. Tujuan penggunaan data
Kami menggunakan data Anda untuk:
- Merespons pertanyaan + scoping engagement — data form qualification dipakai untuk konsultasi awal + draft proposal.
- Komunikasi sales + onboarding — follow-up email atau WhatsApp terkait engagement potensial atau aktif.
- Improve experience situs — analytics agregat untuk identifikasi page yang perform baik, navigasi yang membingungkan, dst.
- Compliance + audit — log akses + audit trail untuk regulator atau internal review.
Kami TIDAK akan:
- Menjual data Anda ke pihak ketiga
- Menggunakan data untuk profiling marketing yang invasive
- Mengirim email marketing tanpa Anda berlangganan eksplisit
- Membagikan data ke afiliasi yang tidak relevan dengan engagement
4. Dasar hukum pengolahan data
Per UU PDP Pasal 20, kami mengolah data berdasarkan:
- Persetujuan eksplisit Anda (untuk form submission + cookie GA opt-in)
- Pelaksanaan kontrak (kalau Anda klien aktif)
- Kepentingan sah (legitimate interest) — analytics agregat untuk improve produk + situs
5. Penyimpanan + retensi data
| Kategori data | Lokasi | Retensi |
|---|---|---|
Form submission (contact.contact_inquiry di Postgres) | DigitalOcean Singapore (sgp1) | 24 bulan post-submission, lalu archived |
CRM lead (Phase 1.5+) (crm.lead) | DigitalOcean Singapore | 36 bulan kalau tidak ada engagement; selama active engagement + 12 bulan post-close kalau closed |
| Plausible analytics agregat | DigitalOcean Singapore | 36 bulan |
| Google Analytics raw event | Google US | 14 bulan default GA4 (configurable) |
| Server log | DigitalOcean Singapore | 30 hari rolling |
| Backup database | DigitalOcean Spaces Singapore | 30 hari rolling + monthly archive 12 bulan |
Data residency primary = Indonesia (Singapore region — closest jurisdiction yang serve Indonesian latency + GDPR-aligned). Kalau Anda mandate strict on-shore Indonesia, hubungi kami untuk diskusi engagement Managed/Private Deployment dengan posture data residency lokal.
6. Hak Anda sebagai subjek data (per UU PDP Pasal 5-15)
Anda berhak untuk:
- Mengakses data pribadi yang kami simpan tentang Anda
- Memperbaiki data yang tidak akurat atau out-of-date
- Menghapus data Anda (right to erasure / right to be forgotten)
- Membatasi pengolahan data Anda
- Menarik persetujuan kapan saja (untuk data berbasis consent, e.g. GA cookie)
- Portabilitas — request export data Anda dalam format machine-readable
- Menolak pengolahan untuk tujuan marketing
- Mengajukan keluhan ke otoritas pengawas (Kementerian Komunikasi dan Digital Indonesia)
Cara exercise hak ini: kirim email ke privacy@capital-commerce.com (atau hello@capital-commerce.com Phase 1) dengan subject "[Privacy Request] – [tipe request]". Kami respons dalam 14 hari kerja.
7. Sharing data ke pihak ketiga
Kami share data hanya dalam scenario:
| Pihak ketiga | Tujuan | Lokasi data |
|---|---|---|
| Google (Google Analytics 4) | Analytics behavior — opt-in only | Google US |
| Anthropic (Claude API) | LLM processing form qualification — tidak menyimpan permanent | Anthropic US |
| DigitalOcean | Hosting infra (droplet + Spaces) | Singapore (sgp1) |
| Cloudflare | DNS + CDN edge | Global |
| Penegak hukum (kalau diminta secara legal) | Compliance | Indonesia |
Kami TIDAK sharing data ke:
- Vendor marketing / data broker
- Affiliate / referral partner
- Layanan agregasi data publik
Daftar pihak ketiga ini bisa berubah; kami akan update kebijakan ini + notifikasi material change kepada visitor + klien aktif.
8. Cookie + tracker
| Cookie / Tracker | Tipe | Default state | Tujuan |
|---|---|---|---|
| Plausible | Cookie-less analytics | Always ON | Aggregated behavior |
Google Analytics 4 (_ga, _ga_*) | Cookie | Opt-in only | Detailed behavior |
Cloudflare (__cf_bm) | Bot management | Always ON | Security + DDoS |
| Session cookie (Strapi admin) | Functional | N/A (admin only) | Login session admin |
Cookie consent banner muncul saat first visit — Anda bisa pilih "Terima Semua" (load GA) atau "Tolak GA" (Plausible saja). Pilihan tersimpan 12 bulan via localStorage.
Cara reset cookie consent: clear localStorage browser, atau visit /legal/privacy?reset-consent=1 (page action akan trigger banner muncul ulang).
9. Keamanan data
Kami menerapkan kontrol teknis + organisasional:
- Enkripsi in-transit: TLS 1.3 (Let's Encrypt) untuk semua koneksi situs
- Enkripsi at-rest: Postgres encryption + DigitalOcean volume encryption
- Akses kontrol: RBAC (Role-Based Access Control) di Strapi admin + Postgres role-scoped
- Audit log: semua admin action ter-log dengan timestamp + user
- Backup ter-isolasi: backup nightly ke DigitalOcean Spaces (separate failure domain) per [[Decisions/ADR-022-dev-staging-prod-env-and-isolated-backup-mandate]]
- Quarterly security review: patch cadence + vulnerability assessment
10. Pelanggaran data (data breach notification)
Kalau terjadi pelanggaran data yang berisiko terhadap hak Anda, kami akan:
- Notifikasi otoritas pengawas (KOMINFO) dalam 3 × 24 jam sesuai mandate UU PDP Pasal 46
- Notifikasi Anda secara langsung kalau data Anda terdampak — via email + post di banner situs
- Investigasi root cause + remediation
- Update kebijakan + kontrol untuk prevent recurrence
11. Perubahan kebijakan
Kami dapat memperbarui kebijakan ini sewaktu-waktu. Material change akan dinotifikasi via:
- Banner di top situs selama 14 hari
- Email kepada subscriber + klien aktif
- Versi update di field "Berlaku sejak" di atas
Visitor yang menggunakan situs setelah update kebijakan dianggap menyetujui versi terbaru.
12. Kontak Data Protection
Data Protection Officer (DPO): [TBD — appointed pre-launch atau Phase 2 saat klien BUMN engagement justify]
Email: privacy@capital-commerce.com (Phase 1 fallback ke hello@)
Alamat fisik:
PT Mega Supertek Indonesia
Komplek Marinatama Blok A No.8-9
Jalan Gunung Sahari Raya No.2
RT001/RW013, Kelurahan Pademangan Barat
Kecamatan Pademangan, Kota Jakarta Utara, 14420
Telp: +6221-6404316
13. Pengaduan
Kalau Anda merasa hak Anda dilanggar dan kami tidak respons memuaskan, Anda dapat mengajukan keluhan ke:
Kementerian Komunikasi dan Digital Republik Indonesia Jl. Medan Merdeka Barat No.9, Jakarta Pusat 10110 Web: https://www.komdigi.go.id/
Versi history
| Versi | Tanggal | Perubahan |
|---|---|---|
| 1.0 | [TBD launch date] | Initial publication |
Disclaimer: dokumen ini draft template berbasis voice doc + UU PDP + GDPR-aligned best practice. Sebelum publish, mandatory legal review oleh praktisi legal yang familiar UU PDP enforcement Indonesia. Khususnya: §3 (purpose), §6 (subject rights process), §10 (breach timeline), §12 (DPO appointment).