Kebijakan Privasi

Karibin (selanjutnya disebut “Karibin”, “kami”) adalah platform Conversational CRM yang membantu UMKM Indonesia mengelola komunikasi WhatsApp dengan pelanggan secara terpusat. Karibin dikelola oleh tim pengembang independen dengan kontak resmi di hello@karibin.com.

Kebijakan ini menjelaskan bagaimana kami mengumpulkan, menggunakan, melindungi, dan membagikan data pribadi Anda saat menggunakan aplikasi Karibin (situs karibin.com, dasbor admin, dan API).

Karibin tunduk pada Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) Republik Indonesia, dan untuk fitur WhatsApp tunduk pada Syarat Layanan WhatsApp Business dan Kebijakan Data Meta Platforms.

Saat Anda mendaftar dan memakai Karibin, kami menyimpan data berikut:

• Data akun: nama, email, password (di-hash, tidak disimpan plaintext), peran (Owner/Admin/Member), riwayat login terakhir.
• Data workspace: nama bisnis, slug workspace, kredensial WhatsApp Business Anda (Phone Number ID, WABA ID, Access Token — token dienkripsi AES-256-GCM saat istirahat).
• Data kontak pelanggan Anda: nama, nomor WhatsApp, email, tag, catatan yang Anda input atau pelanggan kirim via form pendaftaran publik.
• Isi percakapan WhatsApp: pesan inbound dari pelanggan ke nomor WA bisnis Anda, balasan outbound dari tim Anda, status pesan (terkirim/diterima/dibaca), metadata pesan media (caption, MIME type, ukuran).
• File media: gambar/video/voice note/dokumen yang dikirim atau diterima melalui chat — disimpan di server kami dengan URL acak 128-bit (URL = access control).
• Log audit: aksi penting yang dilakukan tim Anda (kirim broadcast, hubungkan WhatsApp, edit otomasi, dll) — append-only, tidak bisa dihapus, untuk keperluan kepatuhan dan investigasi.
• Data billing: riwayat invoice, status pembayaran. Detail kartu kredit/VA tidak disimpan di server Karibin — diproses langsung oleh penyedia gateway pembayaran (Midtrans) sesuai standar PCI DSS.
• Data teknis: IP address (log akses), user agent (browser), waktu request, error backend. Tidak dipakai untuk profiling iklan.

Data diproses untuk tujuan-tujuan berikut, dengan dasar hukum sebagaimana UU PDP:

• Pelaksanaan kontrak (Pasal 20(2)(b) UU PDP) — menyediakan layanan CRM, mengirim pesan WhatsApp atas perintah Anda, menagih biaya berlangganan.
• Persetujuan eksplisit (Pasal 20(2)(a)) — saat pelanggan Anda mengisi form publik Karibin, mereka memberikan persetujuan UU PDP sebelum data dikirim ke workspace Anda.
• Kepentingan sah (Pasal 20(2)(f)) — keamanan platform (deteksi fraud, rate limit), audit kepatuhan, perbaikan produk berbasis log error agregat.
• Kewajiban hukum (Pasal 20(2)(c)) — pelaporan pajak (PPN 11% atas biaya berlangganan), respon perintah resmi penegak hukum yang sah.

Kami tidak memakai isi percakapan WhatsApp Anda untuk iklan, training model AI, atau dijual ke pihak ketiga. Pesan adalah milik Anda dan pelanggan Anda.

Kami membagi data hanya kepada pihak-pihak yang diperlukan untuk operasional:

• Meta Platforms / WhatsApp Business Cloud API — pesan keluar yang Anda kirim diteruskan ke Meta untuk delivery ke pelanggan; pesan masuk diterima via webhook Meta. Tunduk pada ketentuan WhatsApp Business.
• Midtrans (PT Midtrans) — pemrosesan pembayaran berlangganan Karibin. Tidak menerima isi percakapan atau data kontak Anda.
• Penyedia infrastruktur (cloud server) — VPS hosting Indonesia memegang data Anda dalam keadaan terenkripsi at-rest. Operator infrastruktur tidak memiliki akses logis ke data terdekripsi.
• Penegak hukum — apabila dipanggil surat resmi pengadilan Indonesia yang sah, sebatas yang diwajibkan undang-undang.

Kami tidak menjual, menyewakan, atau mempertukarkan data pribadi Anda untuk kepentingan komersial pihak ketiga.

Data Karibin disimpan di pusat data di wilayah Indonesia. Beberapa layanan pendukung (Meta Cloud API untuk delivery WhatsApp) memproses data di server Meta yang berada di luar wilayah Indonesia. Pemindahan ini dilakukan berdasarkan klausul kontraktual standar yang disyaratkan UU PDP Pasal 56.

• Data akun aktif — disimpan selama akun Anda aktif. Setelah akun dihapus, data dihapus dalam 30 hari (kecuali yang wajib disimpan secara hukum, mis. catatan transaksi pajak: 10 tahun sesuai UU Perpajakan).
• File media chat — di-cache di server kami selama 7 hari (HTTP cache header immutable, max-age=7d), setelah itu otomatis dihapus.
• Pesan teks chat — disimpan selama workspace aktif. Anda bisa menghapus percakapan kapan saja lewat UI atau permintaan ke privacy@karibin.com.
• Audit log — disimpan minimal 12 bulan untuk keperluan kepatuhan, setelah itu dapat di-rotasi.
• Backup terenkripsi — backup harian database disimpan 14 hari, lalu di-rotasi otomatis. Setelah Anda hapus akun, data dari backup juga akan kedaluwarsa dalam siklus rotasi 14 hari.

Sesuai UU PDP Pasal 5-13, Anda berhak:

• Mengetahui data yang kami simpan tentang Anda — kirim permintaan ke privacy@karibin.comdengan subjek “Permintaan Salinan Data”.
• Memperbarui data — kebanyakan bisa Anda lakukan sendiri di Pengaturan Profil dan Pengaturan Workspace.
• Menghapus data — kirim permintaan ke privacy@karibin.com dengan subjek “Permintaan Penghapusan Data”. Permintaan akan diproses dalam 7 hari kerja.
• Membatasi pemrosesan tertentu (mis. opt-out komunikasi non-esensial dari Karibin).
• Memindahkan data (data portability) — kami sediakan ekspor CSV untuk kontak + log percakapan kapan saja lewat UI.
• Menarik persetujuan — jika dasar pemrosesan adalah persetujuan Anda, Anda bisa menariknya. Catatan: untuk fitur inti CRM, dasar hukumnya kontrak, jadi penarikan persetujuan setara dengan penutupan akun.
• Mengajukan keluhan ke otoritas pelindungan data (Komisi Pelindungan Data Pribadi di Indonesia, ketika sudah terbentuk).

• Password user di-hash dengan algoritma bcrypt (cost factor 12).
• Akses token WhatsApp, app secret Meta, dan kredensial Baileys dienkripsi dengan AES-256-GCM at-rest.
• Komunikasi antara browser dan server selalu melalui HTTPS (TLS 1.2+).
• Audit log mencatat setiap aksi penting workspace — tidak dapat dihapus oleh user.
• Backup database harian, terenkripsi, dengan retensi rotasi.
• Karyawan Karibin yang punya akses ke produksi terikat NDA dan diaudit access-nya.

Karibin memakai cookies sesi (session cookie) untuk menjaga Anda tetap login. Tidak ada cookie iklan pihak ketiga (Facebook Pixel, Google Ads, dll) di aplikasi internal Karibin. Landing page publik mungkin memuat Google Analytics dengan anonimisasi IP. Tidak ada tracking lintas-situs.

Karibin ditujukan untuk pengguna bisnis berusia 18 tahun ke atas. Kami tidak secara sengaja mengumpulkan data dari anak-anak di bawah usia 13 tahun. Jika orang tua/wali menemukan data anak di Karibin, hubungi privacy@karibin.com dan kami akan hapus dalam 7 hari kerja.

Kami dapat memperbarui kebijakan ini dari waktu ke waktu. Perubahan material (mis. cakupan data baru, pihak ketiga baru, tujuan pemrosesan baru) akan diberitahukan via banner di aplikasi dan email ke admin workspace minimal 30 hari sebelum berlaku. Tanggal di atas selalu mencerminkan versi terkini.

Pertanyaan tentang privasi atau permintaan menjalankan hak Anda?

• Email umum: hello@karibin.com
• Khusus permintaan privasi & data: privacy@karibin.com