Versi Beta · Terakhir diperbarui 22 April 2026

Kebijakan Privasi

Kebijakan ini menjelaskan data apa yang dikumpulkan ResponApp, cara kami menggunakan dan melindunginya, serta hak Anda menurut Undang-Undang Perlindungan Data Pribadi Republik Indonesia (UU No. 27 Tahun 2022).

1. Data yang Kami Kumpulkan

Kami mengumpulkan kategori data berikut untuk mengoperasikan Layanan:

  • Data akun pelanggan — email, nama lengkap, kata sandi (di-hash dengan algoritme satu arah), nama bisnis, subdomain, kategori bisnis.
  • Data konfigurasi — template percakapan, FAQ, daftar penawaran, pertanyaan kualifikasi, aturan eskalasi.
  • Data percakapan pelanggan akhir — pesan WhatsApp masuk dan keluar, nomor telepon (di-hash dengan garam per-tenant sebelum disimpan di jejak audit), status pengiriman, metadata pesan.
  • Data operasional — skor kualifikasi, catatan CRM, peristiwa eskalasi, jadwal tindak lanjut.
  • Data teknis — alamat IP, tipe peramban, timestamp permintaan, log sisi server. Disimpan maksimal 90 hari untuk tujuan keamanan dan debugging.

2. Cara Kami Menggunakan Data

  • Mengoperasikan bot AI yang merespons pesan WhatsApp pelanggan akhir atas nama bisnis Anda.
  • Menjalankan fitur analitik (corong konversi, metrik kinerja bot) dalam dasbor operator.
  • Menegakkan lapisan validasi keselamatan (SEC-02 pasca-generasi) yang memblokir pesan yang mengklaim sebagai manusia, mengarang harga, atau mengabaikan permintaan eskalasi.
  • Menjadwalkan dan mengirim tindak lanjut pada waktu yang sesuai dengan zona waktu dan jam tenang tenant Anda.
  • Mengirim notifikasi operasional dan pembaruan Layanan penting.
  • Memenuhi kewajiban hukum dan melindungi integritas Layanan dari penyalahgunaan.

3. Pemroses Pihak Ketiga

Layanan bergantung pada penyedia pihak ketiga yang memproses data atas instruksi kami dalam batasan kontrak tertulis:

  • Meta (WhatsApp Business Platform) — pengiriman pesan WhatsApp. Tunduk pada Kebijakan Bisnis WhatsApp.
  • Dify (layanan orkestrasi LLM) — memproses prompt, riwayat percakapan, dan menghasilkan respons AI. Tidak menyimpan data untuk pelatihan model.
  • Penyedia model LLM (OpenAI / Anthropic / serupa melalui Dify) — menerima prompt yang sudah dibersihkan dan mengembalikan respons. Kami mengaktifkan opsi no-training jika tersedia.
  • VaWenty (CRM internal) — layanan saudara yang menyimpan catatan Person, Opportunity, dan HandoffEvent. Host infrastruktur yang sama.
  • Validify (mesin template internal) — menyimpan Owner's Contract, template starter, dan aturan keselamatan per-tenant.
  • Redis & BullMQ — antrean pekerjaan singkat, cache konfigurasi, penanda deduplikasi pesan. Data berdurasi singkat (≤ 5 menit) kecuali jejak audit.
  • Penyedia infrastruktur (VPS Ubuntu di Indonesia) — penyimpanan berkas jejak NDJSON, database, dan log aplikasi.

4. Penyimpanan & Retensi

  • Data akun — selama akun aktif. Dihapus 30 hari setelah pengakhiran akun.
  • Data percakapan — disimpan selama akun aktif untuk mendukung konteks bot. Anda dapat mengajukan penghapusan per-pengguna-akhir dengan mengirim email ke privacy@responapp.com.
  • Jejak audit NDJSON — 90 hari dengan nomor telepon yang di-hash (tidak pernah disimpan mentah).
  • Log teknis — 90 hari.

5. Hak Pengguna Akhir

Jika Anda adalah pengguna akhir yang berinteraksi dengan bisnis melalui ResponApp, Anda memiliki hak berikut sesuai UU PDP:

  • Mengetahui data apa yang disimpan tentang Anda.
  • Meminta koreksi data yang tidak akurat.
  • Meminta penghapusan data (hak untuk dilupakan).
  • Menolak pemrosesan untuk tujuan tertentu.
  • Menarik persetujuan pada interaksi mendatang.

Permintaan dapat dikirim ke bisnis tempat Anda berinteraksi atau ke privacy@responapp.com. Kami akan menanggapi dalam 30 hari kalender.

6. Keamanan

Kami menerapkan kontrol keamanan berikut:

  • Enkripsi TLS 1.2+ untuk semua lalu lintas antarmuka.
  • Enkripsi saat istirahat untuk kunci API workspace.
  • Hashing nomor telepon dengan SHA-256 dan garam per-tenant sebelum ditulis ke jejak audit.
  • Isolasi tenant di tingkat kunci API — tenant tidak dapat membaca data tenant lain.
  • Kill switch per-tenant yang menghentikan semua pekerjaan agen dalam 5 detik.
  • Audit keamanan internal sebelum setiap rilis fase milestone.

7. Transfer Data Lintas-Batas

Infrastruktur utama di-host di Indonesia. Beberapa pemroses pihak ketiga (Meta, penyedia LLM) memproses data di luar Indonesia. Transfer tersebut dilindungi oleh kewajiban kontrak yang sesuai dengan UU PDP.

8. Anak di Bawah Umur

Layanan tidak ditujukan untuk pengguna di bawah 18 tahun. Kami tidak sengaja mengumpulkan data dari anak-anak. Jika Anda menyadari anak telah memberikan data kepada kami, hubungi privacy@responapp.com agar kami dapat menghapusnya.

9. Perubahan Kebijakan

Perubahan material akan diberitahukan melalui email minimal 14 hari sebelum berlaku. Tanggal "Terakhir diperbarui" di atas selalu mencerminkan versi saat ini.

10. Pengendali Data & Kontak

Pengendali data untuk akun pelanggan adalah operator bisnis ResponApp (PT yang dirinci dalam faktur). Untuk permintaan terkait privasi, kirim email ke privacy@responapp.com.

Dokumen ini adalah versi draf untuk periode soft launch. Lihat juga Syarat & Ketentuan.