Privacy Policy — VULNEZ PTaaS

Ringkasan: PT Nararya Semesta Visitama ("Kami", "VULNEZ") menghormati privasi Anda. Kebijakan ini menjelaskan data apa yang kami kumpulkan, bagaimana kami menggunakannya, dan hak-hak Anda atas data tersebut dalam platform VULNEZ PTaaS.

1. Definisi

"Platform" — Layanan VULNEZ PTaaS yang dapat diakses melalui situs web dan API kami.
"Pengguna" — Individu yang mengakses atau menggunakan Platform atas nama Tenant.
"Tenant" — Organisasi atau perusahaan (ISP, NAP, Enterprise) yang berlangganan layanan kami.
"Data Pengguna" — Informasi yang diberikan atau dihasilkan saat menggunakan Platform.
"Data Pemindaian" — Data teknis yang dihasilkan dari proses scanning keamanan yang Anda jalankan.

2. Data yang Kami Kumpulkan

2.1 Data Akun & Identitas

Nama lengkap, alamat email, dan nomor telepon
Nama perusahaan, jenis usaha (ISP/NAP/Enterprise), dan NPWP (opsional)
ID keanggotaan APJII (jika berlaku)
Kata sandi yang di-hash menggunakan bcrypt (kami tidak menyimpan kata sandi plaintext)
Kunci autentikasi dua faktor (TOTP secret, disimpan terenkripsi)

2.2 Data Teknis & Penggunaan

Alamat IP, jenis browser, dan sistem operasi saat login
Log aktivitas platform (aksi yang dilakukan, waktu, sumber IP) — tersimpan di Audit Log
Target yang di-scan (domain, IP address, URL) — hanya data yang Anda masukkan secara aktif
Hasil pemindaian keamanan (temuan, severity, status remediasi)
Laporan yang dibuat dan diunduh

2.3 Data Pembayaran

Informasi tagihan dikirimkan ke Midtrans (penyedia pembayaran pihak ketiga)
Kami tidak pernah menyimpan data kartu kredit/debit secara langsung
Riwayat invoice dan status pembayaran disimpan di sistem kami

2.4 Data yang Tidak Kami Kumpulkan

Kami tidak melacak aktivitas Anda di luar Platform
Kami tidak menggunakan cookie pihak ketiga untuk iklan
Kami tidak menjual data Anda kepada siapapun

3. Bagaimana Kami Menggunakan Data

Tujuan	Dasar Hukum
Menyediakan dan mengoperasikan layanan Platform	Pemenuhan kontrak
Autentikasi dan keamanan akun	Pemenuhan kontrak
Mengirimkan laporan keamanan dan notifikasi	Pemenuhan kontrak
Memproses pembayaran dan penagihan	Pemenuhan kontrak
Mendeteksi dan mencegah penyalahgunaan Platform	Kepentingan sah
Mematuhi kewajiban hukum (perpajakan, regulasi OJK/Kominfo)	Kewajiban hukum
Meningkatkan performa dan fitur Platform (data anonim)	Kepentingan sah
Mengirimkan pembaruan layanan dan informasi keamanan penting	Kepentingan sah

4. Keamanan Data Pemindaian

Data pemindaian keamanan (target, temuan, laporan) bersifat sangat sensitif. Kami menjamin:

Isolasi Tenant: Data setiap Tenant diisolasi secara ketat. Tenant A tidak dapat mengakses data Tenant B dalam kondisi apapun.
Enkripsi Transit: Seluruh komunikasi menggunakan TLS 1.2+. Tidak ada data sensitif yang dikirim melalui kanal tidak terenkripsi.
Enkripsi Penyimpanan: Data sensitif di database dienkripsi menggunakan standar AES-256.
Akses Minimal: Karyawan kami hanya dapat mengakses data Anda atas dasar need-to-know untuk keperluan dukungan teknis yang disetujui.
Audit Trail: Setiap akses dan modifikasi data tercatat dalam audit log yang tidak dapat dimodifikasi.
Retensi: Data pemindaian disimpan selama masa berlangganan aktif + 90 hari setelah pembatalan. Anda dapat meminta penghapusan lebih awal.

5. Berbagi Data dengan Pihak Ketiga

Kami tidak menjual data Anda. Kami dapat berbagi data dengan:

Midtrans — penyedia pembayaran, untuk memproses transaksi
Anthropic (Claude API) — untuk fitur AI Pentest & remediasi, data dikirim sesuai Privacy Policy Anthropic. Data yang dikirim adalah deskripsi teknis temuan, bukan data identitas pengguna.
Penyedia infrastruktur cloud — untuk hosting dan penyimpanan data, tunduk pada perjanjian pemrosesan data (DPA)
Penegak hukum — hanya jika diwajibkan oleh hukum Indonesia yang berlaku

6. Hak-Hak Anda

Sesuai dengan regulasi perlindungan data yang berlaku di Indonesia (UU PDP No. 27 Tahun 2022), Anda berhak:

Akses: Meminta salinan data pribadi yang kami pegang tentang Anda
Perbaikan: Meminta koreksi data yang tidak akurat atau tidak lengkap
Penghapusan: Meminta penghapusan data Anda (dengan pengecualian data yang wajib kami simpan secara hukum)
Portabilitas: Menerima data Anda dalam format terstruktur dan dapat dibaca mesin
Keberatan: Mengajukan keberatan atas pemrosesan data tertentu
Pencabutan Persetujuan: Menarik persetujuan kapan saja tanpa mempengaruhi legalitas pemrosesan sebelumnya

Untuk mengajukan permintaan, kirim email ke privacy@nsvisitama.id. Kami akan merespons dalam 30 hari kalender.

7. Cookie & Teknologi Pelacakan

Platform kami menggunakan cookie minimal yang diperlukan untuk fungsi:

Cookie Esensial: Token autentikasi JWT (access_token, refresh_token) — wajib untuk mengakses dashboard. Kedaluwarsa setelah 8 jam (access) dan 30 hari (refresh).
Tidak Ada Cookie Iklan: Kami tidak menggunakan Google Analytics, Meta Pixel, atau platform iklan lainnya.

8. Retensi Data

Jenis Data	Periode Retensi
Data akun aktif	Selama berlangganan + 90 hari
Data pemindaian & laporan	Selama berlangganan + 90 hari
Audit log	12 bulan dari tanggal pencatatan
Data pembayaran & invoice	5 tahun (kewajiban perpajakan)
Log akses sistem	90 hari

9. Transfer Data Internasional

Data Anda diproses terutama di Indonesia. Untuk fitur AI (Anthropic Claude API), data teknis dapat diproses di server Anthropic di Amerika Serikat. Transfer ini dilindungi oleh Standard Contractual Clauses (SCC) yang sesuai dengan standar internasional.

10. Perubahan Kebijakan Ini

Kami dapat memperbarui Kebijakan Privasi ini secara berkala. Perubahan material akan diberitahukan melalui email ke alamat terdaftar Anda dan/atau notifikasi di Platform setidaknya 14 hari sebelum berlaku. Penggunaan Platform setelah tanggal efektif perubahan merupakan penerimaan Anda atas kebijakan yang diperbarui.

11. Hubungi Kami

Pertanyaan Privasi

PT Nararya Semesta Visitama

Jakarta, Indonesia

privacy@nsvisitama.id

Data Protection Officer

DPO VULNEZ

PT Nararya Semesta Visitama

dpo@nsvisitama.id