PERNYATAAN KEPATUHAN UU PDP โ BISNAPI
Initial Version: 25 Maret 2026 (PT Snappy Angkasa Media formation) Last Updated: 21 Mei 2026 Effective Date: 21 Mei 2026 Version: 1.0 PSE: 022966.01/DJAI.PSE/04/2026 Next Scheduled Review: 21 November 2026
ยง1. Ringkasan Eksekutif
Dokumen ini adalah pernyataan kepatuhan formal PT Snappy Angkasa Media terhadap Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) untuk seluruh aktivitas pemrosesan Data Pribadi yang dilakukan melalui platform Bisnapi (app.bisnapi.id).
Tujuan dokumen ini:
- Menyatakan posisi hukum Kami sebagai Pengendali dan/atau Prosesor Data sesuai konteks pemrosesan.
- Memberikan transparansi kepada Pengguna, Subjek Data, peneliti keamanan, dan otoritas regulasi mengenai praktik pemrosesan Data Pribadi.
- Menjadi referensi tunggal yang dirujuk oleh DPA, Privacy Policy, DPIA, VDP, dan halaman Security/Compliance.
Status keseluruhan: Patuh dengan komitmen perbaikan berkelanjutan. Kontrol yang sudah berjalan disebut secara eksplisit di ยง13. Item yang masih dalam roadmap tidak disembunyikan.
ยง2. Dasar Hukum dan Cakupan
2.1. Dasar Hukum
Pernyataan ini disusun untuk pemenuhan:
- UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP).
- PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSE).
- PerMenKominfo No. 5 Tahun 2020 tentang Penyelenggara Sistem Elektronik Lingkup Privat.
- Standar industri yang diadopsi sukarela: ISO 27001:2022 (referensi), CSA CCM v4 (referensi), NIST CSF (referensi).
2.2. Cakupan
Berlaku untuk seluruh pemrosesan Data Pribadi melalui:
bisnapi.id(situs publik dan halaman pemasaran).app.bisnapi.id(aplikasi utama Bisnapi).api.bisnapi.id(API publik dan internal).status.bisnapi.id(halaman status layanan).- Layanan tambahan PT Snappy Angkasa Media yang merujuk dokumen ini.
2.3. Dasar Pemrosesan (Pasal 20 UU PDP)
| Dasar Hukum | Konteks Pemrosesan |
|---|---|
| Pelaksanaan kontrak (Pasal 20(2)(b)) | Penyediaan layanan inti Bisnapi. |
| Persetujuan eksplisit (Pasal 20(2)(a)) | Data akun, fitur opsional, komunikasi pemasaran. |
| Kewajiban hukum (Pasal 20(2)(c)) | Pelaporan perpajakan, ketenagakerjaan, regulasi terkait. |
| Kepentingan sah (Pasal 20(2)(f)) | Keamanan platform, deteksi penipuan, peningkatan layanan dengan minimalisasi data. |
ยง3. Peran dan Tanggung Jawab
3.1. PT Snappy Angkasa Media sebagai Pengendali Data
Kami adalah Pengendali Data untuk:
- Data akun dan identitas Pengguna (pendaftaran, autentikasi, billing).
- Data penggunaan platform (telemetry, audit log, analitik agregat).
- Data komunikasi pemasaran yang dikirim langsung oleh Bisnapi ke Pengguna.
3.2. PT Snappy Angkasa Media sebagai Prosesor Data
Kami adalah Prosesor Data untuk:
- Data operasional bisnis yang diinput oleh Pengguna (data karyawan, pelanggan, transaksi, inventori, dll).
- Pemrosesan Data Pribadi atas instruksi Pengguna (Pengendali) sesuai DPA.
3.3. Pengguna sebagai Pengendali Data
Pengguna (organisasi UMKM yang menggunakan Bisnapi) adalah Pengendali Data atas:
- Data karyawan mereka di modul HRIS/Payroll.
- Data pelanggan mereka di modul CRM/POS.
- Data mitra bisnis dan vendor di modul ERP.
Pengguna bertanggung jawab atas legalitas pengumpulan, persetujuan Subjek Data, dan instruksi pemrosesan kepada Kami.
ยง4. Hak Subjek Data (Pasal 5โ15 UU PDP)
Subjek Data berhak untuk:
| Hak | Pasal UU PDP | SLA Respon |
|---|---|---|
| Mendapatkan informasi pemrosesan | Pasal 5 | 14 hari kerja |
| Mengakses dan memperoleh salinan Data Pribadi | Pasal 6 | 14 hari kerja |
| Memperbaiki Data Pribadi yang tidak akurat | Pasal 7 | 7 hari kerja |
| Mengakhiri pemrosesan, menghapus, dan/atau memusnahkan Data Pribadi | Pasal 8 | 14 hari kerja |
| Menarik persetujuan pemrosesan | Pasal 9 | Segera (real-time) |
| Mengajukan keberatan atas pemrosesan otomatis | Pasal 10 | 14 hari kerja |
| Menunda atau membatasi pemrosesan | Pasal 11 | 7 hari kerja |
| Menggugat dan menerima ganti rugi atas pelanggaran | Pasal 12 | Sesuai proses hukum |
| Memperoleh dan menggunakan Data Pribadi (portabilitas) | Pasal 13 | 30 hari kerja |
4.1. Cara Mengajukan Permintaan
- Email:
privacy@bisnapi.id - Subjek email:
[Subject Rights Request] - <Nama Hak> - Wajib dilampirkan: identitas pemohon (untuk verifikasi), deskripsi permintaan, periode data yang relevan.
4.2. Verifikasi Identitas
Untuk mencegah penyalahgunaan, Kami memverifikasi identitas pemohon sebelum memproses permintaan. Jika permintaan datang dari Pengguna untuk Data Pribadi karyawan/pelanggannya, permintaan harus diajukan oleh administrator akun yang terverifikasi.
4.3. Penolakan Permintaan
Kami dapat menolak permintaan sesuai Pasal 14 UU PDP jika:
- Bertentangan dengan kepentingan keamanan negara, pertahanan, atau penegakan hukum.
- Diperlukan untuk pemenuhan kewajiban hukum yang mengikat Kami (mis. arsip perpajakan).
- Bertentangan dengan kepentingan publik dalam konteks penyelenggaraan negara.
Penolakan akan disertai alasan tertulis dan informasi mekanisme pengaduan.
ยง5. Aktivitas Pemrosesan (ROPA โ Records of Processing Activities)
Sesuai Pasal 31 UU PDP, Kami memelihara catatan pemrosesan Data Pribadi sebagai berikut.
5.1. Per-Modul Mapping
| Modul | Kategori Data | Tujuan | Retention | Cross-Border |
|---|---|---|---|---|
| POS | Transaksi, kasir, pelanggan | Operasi retail, invoice | 7 tahun (kewajiban pajak) | Tidak (Aiven EU untuk DR) |
| ERP | Inventori, supplier, PO | Manajemen rantai pasok | 5 tahun | Tidak (Aiven EU untuk DR) |
| HRIS/Payroll | NPWP, BPJS, gaji, rekening bank | Penggajian, pelaporan pajak/BPJS | 10 tahun (UU Ketenagakerjaan) | Tidak (Aiven EU untuk DR) |
| CRM | Kontak, deal, riwayat interaksi | Manajemen relasi pelanggan | Selama akun aktif + 90 hari | Tidak (Aiven EU untuk DR) |
| Accounting (FIN) | Transaksi keuangan, jurnal | Pembukuan, laporan keuangan | 7 tahun (kewajiban pajak) | Tidak (Aiven EU untuk DR) |
| TAX & e-Faktur | Faktur pajak, NPWP rekanan | Pelaporan PPN, e-Faktur DJP | 10 tahun (UU KUP) | Tidak (Aiven EU untuk DR) |
| SIGN (TTE) | Tanda tangan elektronik, hash dokumen | Verifikasi tanda tangan | Selama validitas TTE + 5 tahun | Tidak (Aiven EU untuk DR) |
| Omni-channel | Token integrasi marketplace, pesanan eksternal | Sinkronisasi multi-channel | 90 hari setelah disconnect | Bervariasi (per marketplace) |
| BISNAY AI | Prompt, ringkasan, token usage | Asisten AI operasional | 30 hari (analytics agregat) | Cloudflare global edge |
| Email keluar, status pengiriman | Notifikasi sistem, transaksional | 90 hari | Cloudflare Email Routing | |
| Delivery | Alamat pengiriman, kontak penerima | Manajemen pengiriman | Per transaksi + 1 tahun | Tidak (Aiven EU untuk DR) |
| BE-Sentinel | Audit log, security telemetry | Forensik insiden, compliance | 1 tahun (keamanan) | Tidak (R2 ID-pinned) |
5.2. Data Sensitif (Pasal 4(2) UU PDP)
Data sensitif dalam Bisnapi:
- Data keuangan: NPWP, nomor rekening bank, gaji, riwayat transaksi.
- Data ketenagakerjaan: BPJS Kesehatan, BPJS Ketenagakerjaan, dokumen kepegawaian.
- Data biometrik: tidak dikumpulkan oleh Bisnapi.
- Data kesehatan: tidak dikumpulkan oleh Bisnapi (tidak berlaku untuk vertikal Klinik tier dasar).
Pemrosesan data sensitif memerlukan persetujuan eksplisit dan dasar hukum tambahan sesuai Pasal 21 UU PDP.
5.3. Penghapusan dan Anonimisasi
- Akun yang ditutup: data operasional dipertahankan sesuai retention table di atas, kemudian dianonimisasi.
- Permintaan penghapusan oleh Subjek Data: dieksekusi dalam 14 hari kerja kecuali ada kewajiban retensi hukum.
- Anonimisasi: pengabaian identifier langsung (nama, email, ID) sambil mempertahankan data agregat untuk statistik.
ยง6. Ringkasan DPIA (Pasal 34 UU PDP)
DPIA telah dilaksanakan dan didokumentasikan di docs/legal/DPIA.md. Cakupan:
- Modul HRIS/Payroll โ pemrosesan data sensitif (NPWP, BPJS, gaji).
- Modul BISNAY AI โ pemrosesan otomatis dan rekomendasi.
- Modul POS โ pemrosesan data transaksi finansial volume tinggi.
- Modul CRM โ profiling kontak pelanggan.
- Modul BE-Sentinel โ monitoring dan audit lintas layanan.
Risiko utama yang teridentifikasi dan mitigasi:
| Risiko | Mitigasi |
|---|---|
| Akses lintas tenant | Filter org_id di setiap query, audit code review |
| Brute force autentikasi | Rate limiting per IP/endpoint, TTL sesi ketat |
| Eksfiltrasi melalui sub-prosesor | DPA dengan setiap sub-prosesor, region pinning |
| Kebocoran data sensitif HRIS | Field-level AES-256-GCM, kunci turunan per tenant |
| Penyalahgunaan AI prompt | Quota, audit log, no-train policy ke model |
Review DPIA dijadwalkan ulang setiap perubahan signifikan modul atau minimal setiap 12 bulan.
ยง7. Langkah Keamanan (Pasal 35 UU PDP)
Detail teknis di bisnapi.id/security. Ringkasan:
7.1. Enkripsi
- In transit: TLS 1.3 dengan post-quantum key exchange (X25519MLKEM768) via Cloudflare.
- At rest infrastruktur: AES-256 di Aiven Postgres dan Cloudflare R2.
- At rest field-level: AES-256-GCM dengan kunci turunan per tenant untuk data sensitif aplikasi.
7.2. Isolasi Tenant
- Schema bersama di Aiven Postgres
public, isolasi logis melalui filterorg_iddi setiap query. - Audit isolasi melalui code review dan integration test setiap PR.
7.3. Kontrol Akses
- RBAC (Role-Based Access Control) di middleware sebelum handler bisnis.
- Sesi split-token (Lucia-inspired): plaintext suffix tidak pernah dipersist.
- Multi-factor authentication tersedia (opsional di tier RAKJAT, default-on di tier OESAHA+).
7.4. Postur Publik Terverifikasi
| Audit | Skor | Tanggal |
|---|---|---|
| Mozilla HTTP Observatory | A+ (120/100) | 2026-05-21 |
| internet.nl | 96% | 2026-05-21 |
| HSTS Preload | preload-eligible | 2026-05-21 |
Semua skor dapat diverifikasi independen oleh peneliti.
7.5. Vulnerability Management
- Tracking publik vulnerability di
docs/security/VULNERABILITY-TRACKING.md. - Vulnerability Disclosure Policy di
bisnapi.id/legal/vdp. - PGP key publik untuk pelaporan terenkripsi:
bisnapi.id/.well-known/pgp-key.txt.
ยง8. Pemberitahuan Pelanggaran (Pasal 46 UU PDP)
8.1. Kewajiban Notifikasi
Sesuai Pasal 46 UU PDP, Kami berkomitmen memberitahukan pelanggaran Data Pribadi kepada:
- Subjek Data terdampak โ paling lambat 3 ร 24 jam sejak diketahuinya pelanggaran.
- Lembaga (Kementerian Komunikasi dan Informatika) โ paling lambat 3 ร 24 jam sejak diketahuinya pelanggaran.
8.2. Linimasa Respon Insiden
| Fase | Target | Tindakan |
|---|---|---|
| Deteksi | Real-time | Monitoring otomatis, alerting awal |
| Triase | < 30 menit | Klasifikasi keparahan, blast radius, owner |
| Kontainmen | < 1 jam | Isolasi komponen, pembatasan akses |
| Notifikasi | < 72 jam (3ร24) | Komunikasi ke Subjek Data + Kominfo |
| Remediasi | Per keparahan | Patch, rollout, validasi vektor |
| Pasca-insiden | < 7 hari | RCA, action items, pembaruan kontrol |
8.3. Konten Notifikasi
Sesuai Pasal 46(3) UU PDP, notifikasi mencakup:
- Data Pribadi yang terungkap.
- Kapan dan bagaimana Data Pribadi terungkap.
- Upaya penanganan dan pemulihan oleh Kami.
- Rekomendasi tindakan kepada Subjek Data.
8.4. Eskalasi Internal
Engineer on-call โ DPO (Bagas Fajar Wicaksono) โ Direktur PT Snappy Angkasa Media
โ Notifikasi Kominfo + Subjek Data
ยง9. Transfer Data Lintas Negara (Pasal 56 UU PDP)
9.1. Status Transfer
Kami melakukan transfer Data Pribadi ke luar wilayah Republik Indonesia dalam konteks operasional berikut:
| Sub-Prosesor | Lokasi Pemrosesan | Tujuan | Mekanisme Perlindungan |
|---|---|---|---|
| Cloudflare Workers | Global edge (pinned APAC, fallback global) | Komputasi edge | DPA, SCC EU, ISO 27001 |
| Cloudflare R2 | Global (region pinning tersedia) | Penyimpanan objek | DPA, SCC EU, enkripsi at-rest |
| Cloudflare D1 | Global edge | Database edge tier-rendah | DPA, SCC EU |
| Cloudflare Email Routing | Global | Routing email | DPA, SCC EU |
| Aiven Postgres | EU (Helsinki) | Database utama tenant | DPA, SCC EU, GDPR-grade |
| Xendit | Indonesia | Payment processing | DPA, kepatuhan PSE Kominfo |
9.2. Adequacy Assessment
Sebelum melakukan transfer, Kami menilai negara tujuan memiliki tingkat perlindungan yang setara melalui:
- Adopsi GDPR atau standar setara (Uni Eropa).
- Penerapan Standard Contractual Clauses (SCC) dengan sub-prosesor.
- Kontrol teknis tambahan: enkripsi end-to-end, pseudonymization.
9.3. Hak Pengguna Atas Lokasi Data
Pengguna pada tier OESAHA dan ke atas dapat meminta data residency Indonesia-only dengan biaya tambahan. Permintaan diajukan melalui privacy@bisnapi.id.
ยง10. Daftar Sub-Prosesor
Daftar sub-prosesor yang aktif per 2026-05-21:
| # | Sub-Prosesor | Peran | Lokasi | Diaktifkan Sejak | DPA |
|---|---|---|---|---|---|
| 1 | Cloudflare, Inc. | Edge compute, CDN, R2, D1, Workers AI, Email | Global | 2026-03-25 | Cloudflare DPA |
| 2 | Aiven Oy | Managed Postgres | EU (Helsinki) | 2026-05-17 | Aiven DPA |
| 3 | Xendit Indonesia | Payment processing | Indonesia | 2026-04-12 | DPA terlampir di kontrak komersial |
10.1. Penambahan Sub-Prosesor Baru
- Pemberitahuan tertulis ke Pengguna 14 hari kerja sebelum aktivasi.
- Pengguna berhak mengajukan keberatan tertulis dalam 14 hari sejak pemberitahuan.
- Jika keberatan valid dan tidak dapat diselesaikan, Pengguna berhak mengakhiri layanan tanpa penalti.
10.2. Riwayat Perubahan Sub-Prosesor
| Tanggal | Perubahan | Justifikasi |
|---|---|---|
| 2026-05-17 | Aiven Postgres ditambah | Migrasi dari per-tenant pg schema ke shared public di Aiven |
| 2026-05-16 | Per-tenant D1 dideprekasi | Konsolidasi data plane ke Aiven Postgres |
| 2026-04-12 | Xendit ditambah | Aktivasi modul payment processing |
| 2026-03-25 | Cloudflare ditambah | Pembentukan PT Snappy Angkasa Media |
ยง11. Pejabat Pelindungan Data Pribadi (DPO)
Sesuai Pasal 53 UU PDP, PT Snappy Angkasa Media menunjuk Pejabat Pelindungan Data Pribadi (Data Protection Officer):
- Nama: Bagas Fajar Wicaksono
- Jabatan: Founder & DPO, PT Snappy Angkasa Media
- Email:
privacy@bisnapi.id - Alternatif:
legal@bisnapi.id - WhatsApp: +62 851-9088-8404
- Alamat surat: PT Snappy Angkasa Media, Turen, Malang, Jawa Timur
11.1. Tanggung Jawab DPO
- Memantau kepatuhan PT Snappy Angkasa Media terhadap UU PDP.
- Menjadi titik kontak utama untuk Subjek Data, Kominfo, dan otoritas regulasi terkait.
- Melaksanakan audit internal pemrosesan Data Pribadi.
- Memberikan konsultasi DPIA untuk modul baru dan perubahan signifikan.
- Mengkoordinasikan respon pelanggaran data dan notifikasi 3ร24 jam.
11.2. SLA Respon DPO
| Jenis Permintaan | SLA |
|---|---|
| Pertanyaan umum privasi | 5 hari kerja |
| Permintaan hak Subjek Data | 7โ14 hari kerja (sesuai ยง4) |
| Pelaporan pelanggaran data | 1 hari kerja (acknowledge), eskalasi sesuai ยง8 |
| Permintaan otoritas regulasi | Sesuai jangka waktu yang diminta otoritas |
ยง12. Catatan dan Audit Trail
12.1. Versi Dokumen
| Versi | Tanggal | Perubahan |
|---|---|---|
| 1.0 | 2026-05-21 | Versi awal pernyataan UU PDP compliance |
12.2. Review Periodik
- Review terjadwal: setiap 6 bulan atau sebelum perubahan signifikan modul.
- Review berikutnya: 2026-11-21.
- Review dilakukan oleh DPO dengan input dari engineering lead dan legal counsel.
12.3. Audit Internal
- Internal compliance audit: kuartalan.
- Output: log audit di
docs/security/, action items terlacak di sprint tracker.
12.4. Audit Eksternal (Roadmap)
- Annual penetration test formal: target Q4 2026.
- SOC 2 Type II attestation: target 2027.
- ISO 27001 certification: target 2027.
- TรV certification: target 2027.
ยง13. Status Kepatuhan โ Honest Posture
Tabel berikut adalah status jujur per item kepatuhan UU PDP. Item โ sudah berjalan, โ ๏ธ partial, ๐ dalam roadmap.
| Item | Pasal UU PDP | Status | Bukti / Lokasi |
|---|---|---|---|
| Privacy Policy publik | Pasal 19 | โ | bisnapi.id/legal/privacy |
| DPA tersedia | Pasal 47 | โ | bisnapi.id/legal/dpa |
| DPIA dilakukan | Pasal 34 | โ | docs/legal/DPIA.md |
| Encryption at rest | Pasal 35 | โ | AES-256 (Aiven + R2) |
| Encryption in transit | Pasal 35 | โ | TLS 1.3 + post-quantum |
| Akses Subjek Data terhadap haknya | Pasal 5โ15 | โ | ยง4 di dokumen ini |
| DPO designated | Pasal 53 | โ | ยง11 di dokumen ini |
| ROPA (Records of Processing Activities) | Pasal 31 | โ ๏ธ | ยง5; formal per-modul mapping selesai, integrasi otomatis dengan audit log dalam progres |
| Breach notification 3ร24 jam | Pasal 46 | โ | ยง8 di dokumen ini, drill belum dilaksanakan |
| Cross-border transfer disclosure | Pasal 56 | โ | ยง9 di dokumen ini |
| Subprocessor list publik | Pasal 47 | โ | ยง10 di dokumen ini |
| Audit logging terpusat | Pasal 35 | ๐ | Roadmap Q2 2026 (R2 audit logs) |
| Annual pentest formal | Pasal 35 | ๐ | Roadmap Q4 2026 |
| Breach response drill | Pasal 46 | ๐ | Target H2 2026 |
| Data residency Indonesia-only option | Pasal 56 | โ | Tier OESAHA+ via permintaan |
| Vulnerability Disclosure Policy | (best practice) | โ | bisnapi.id/legal/vdp |
| PGP key publik | (best practice) | โ | bisnapi.id/.well-known/pgp-key.txt |
| MTA-STS untuk email | (best practice) | โ | mta-sts.bisnapi.id/.well-known/mta-sts.txt |
13.1. Komitmen Perbaikan
Item dengan status โ ๏ธ atau ๐
memiliki target waktu di roadmap publik (bisnapi.id/security). Progress dilaporkan setiap review 6-bulanan dokumen ini.
13.2. Kontak Pelaporan Ketidakpatuhan
Jika menemukan item yang status di atas tidak sesuai dengan kondisi nyata, laporkan ke privacy@bisnapi.id dengan deskripsi spesifik. Kami akan menanggapi dalam 5 hari kerja dan memperbarui dokumen ini bila valid.
ยง14. Tanda Tangan dan Pengesahan
Dokumen ini disahkan dan ditandatangani secara elektronik oleh:
PT Snappy Angkasa Media Bagas Fajar Wicaksono โ Founder & DPO Tanda tangan elektronik via Bisnapi SIGN (TTE) Tanggal: 2026-05-21
Lampiran
A. Dokumen Pendukung
- Kebijakan Privasi:
bisnapi.id/legal/privacy - Data Processing Addendum (DPA):
bisnapi.id/legal/dpa - Acceptable Use Policy (AUP):
bisnapi.id/legal/aup - Vulnerability Disclosure Policy (VDP):
bisnapi.id/legal/vdp - DPIA Lengkap:
docs/legal/DPIA.md - Halaman Keamanan Teknis:
bisnapi.id/security - Halaman Compliance:
bisnapi.id/compliance
B. Referensi Hukum
- Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi.
- Peraturan Pemerintah No. 71 Tahun 2019 tentang PSE.
- Peraturan Menteri Kominfo No. 5 Tahun 2020 tentang PSE Lingkup Privat.
C. Kontak Otoritas
- Kementerian Komunikasi dan Informatika RI: pse.kominfo.go.id
- Lembaga Pelindungan Data Pribadi (saat ditetapkan oleh Pemerintah).
Pernyataan Kepatuhan UU PDP โ BISNAPI v1.0 | PT Snappy Angkasa Media | PSE 022966.01/DJAI.PSE/04/2026