Kebijakan Privasi AffiliaStay
Versi: 1.0 | Berlaku: 22 Mei 2026
Berdasarkan UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).
Dokumen ini menjelaskan data pribadi apa yang AffiliaStay ("Platform") kumpulkan, gunakan, simpan, dan bagikan saat Anda menggunakan layanan kami, baik sebagai Guest (Tamu), Owner (Pemilik Hotel), maupun Affiliate.
1. Data Pribadi Yang Dikumpulkan
1.1 Semua Pengguna
- Email, nomor telepon, password (di-hash dengan bcrypt 12 rounds).
- Nama lengkap.
- IP address (disimpan dalam bentuk hash SHA256 — IP mentah tidak disimpan permanen).
- User agent, device type.
1.2 Guest (Tamu)
- Data booking: nama, telepon, email, jumlah tamu, tanggal check-in/check-out.
- Riwayat booking dan pembayaran.
- Review dan rating yang diberikan.
1.3 Owner (Pemilik Hotel)
- Data hotel: nama, alamat, foto, fasilitas.
- Data verifikasi: KTP, bukti kepemilikan atau pengelolaan properti.
- Data finansial: rekening bank untuk payout.
- Subscription dan billing history.
1.4 Affiliate
- Display name, handle, foto profil, bio.
- (Pro tier) KTP, NPWP, foto dokumen.
- Rekening bank atau e-wallet (OVO/DANA/GoPay).
- Riwayat komisi, withdraw, payout.
- Click tracking data: IP hash, user agent, referrer, UTM source, device type, timestamp.
- Fraud score (4-faktor: self-referral, IP cluster, abnormal CR, velocity).
- Data akseptansi T&C (versi, timestamp, IP hash, user agent).
2. Sumber Pengumpulan
- Langsung dari pengguna: saat registrasi, booking, profile update, KYC upload.
- Otomatis: click tracking, cookies, informasi perangkat.
- Sistem internal: audit log, computation jobs, notifikasi.
3. Tujuan Penggunaan
- Operasional: booking, payment processing, commission tracking, payout.
- Verifikasi & KYC: validasi identitas owner dan affiliate Pro tier, validasi rekening payout.
- Anti-fraud: deteksi self-referral, IP cluster, bot traffic.
- Compliance: audit log transaksi keuangan, retention sesuai regulasi perpajakan.
- Komunikasi: notifikasi WA/email yang bersifat transaksional (booking confirmation, payout success, dsb.). Platform tidak mengirim pesan marketing tanpa consent eksplisit.
- Analytics agregat: laporan performa dalam bentuk anonim, tidak per-individu.
Platform TIDAK menjual data pribadi kepada pihak ketiga untuk tujuan pemasaran.
4. Berbagi Data Dengan Pihak Ketiga
| Pihak Ketiga | Data Dibagikan | Tujuan |
|---|---|---|
| Fontte (WA API) | Nomor telepon, isi pesan | Notifikasi WhatsApp |
| Resend (email) | Email, isi pesan | Notifikasi email |
| Cloudflare R2 / MinIO | Foto, dokumen KYC, OG images | File hosting |
| Midtrans / Xendit | Nama, jumlah, detail pembayaran | Payment processing |
| Bank / e-wallet | Nama, nomor rekening, jumlah transfer | Payout |
| Otoritas hukum / pajak | Sesuai permintaan resmi | Compliance |
Tidak ada transfer data ke luar yurisdiksi Indonesia tanpa pemberitahuan eksplisit kepada pengguna (UU PDP Pasal 56).
5. Retention (Lama Penyimpanan)
| Jenis Data | Retention |
|---|---|
| Identitas (nama, email, telepon) | Selama akun aktif + 5 tahun pasca-close |
| Data booking | 5 tahun setelah checkout |
| Data komisi dan payout | 10 tahun (UU Perpajakan & UU Dokumen Perusahaan) |
| Click tracking (IP hash, UA, referrer) | 24 bulan, lalu dianonimisasi |
| KYC dokumen (KTP, NPWP) | Selama akun aktif + 5 tahun pasca-close |
| Audit log akseptansi T&C | Permanen |
| Notifikasi history | 12 bulan |
| Fraud score | 24 bulan |
| Review | Selama hotel listing aktif + 2 tahun |
6. Hak Subjek Data (UU PDP Pasal 5-15)
- Akses: minta salinan data pribadi yang kami simpan.
- Koreksi: minta perbaikan data yang tidak akurat.
- Penghapusan: minta hapus data pribadi Anda — dengan pengecualian data yang wajib disimpan oleh regulasi (komisi, payout, audit, data perpajakan).
- Pembatasan pemrosesan: minta hentikan penggunaan tertentu (misal: opt-out notifikasi marketing — bukan transaksional).
- Portabilitas: minta data dalam format machine-readable (JSON).
- Pencabutan persetujuan: tarik consent kapan saja — konsekuensi: akun akan ditutup karena Platform tidak dapat beroperasi tanpa data dasar.
- Keberatan atas automated decision-making: jika akun Anda di-suspend secara otomatis oleh fraud score, Anda berhak minta review oleh manusia (admin).
Permintaan dikirim via email ke privacy@affiliastay.com atau melalui form kontak. SLA respons: 30 hari kerja.
7. Keamanan Data
- Password di-hash dengan bcrypt (12 rounds).
- Token sesi: JWT signed, refresh token rotation setiap request.
- IP address di-hash SHA256 sebelum disimpan untuk fraud detection.
- File disimpan di S3-compatible storage dengan encryption at rest.
- Akses internal Platform berbasis role-based access control (RBAC).
- Audit log untuk semua perubahan data sensitif (booking, payment, komisi, harga kamar).
- Insiden atau kebocoran data: notifikasi kepada pengguna terdampak dalam 72 jam sesuai UU PDP Pasal 47.
8. Cookies dan Tracking
- Session cookie (HTTP-only, secure): autentikasi pengguna.
- Refresh token (HTTP-only, secure, SameSite=Lax): rotasi sesi.
- Platform TIDAK menggunakan tracking pixel pihak ketiga (Facebook Pixel, Google Analytics, dsb.).
- Halaman publik dapat menyertakan analytics agregat sesuai pemberitahuan terpisah.
9. Anak di Bawah Umur
Layanan AffiliaStay hanya ditujukan untuk individu berusia minimal 18 tahun. Platform tidak secara sengaja mengumpulkan atau memproses data pribadi dari subjek di bawah umur.
10. Perubahan Kebijakan
- Perubahan minor: notifikasi email + banner in-app 14 hari sebelum berlaku.
- Perubahan material (kategori data baru, sharing pihak ketiga baru, retention berubah): notifikasi 30 hari + wajib re-acceptance.
11. Petugas Pelindungan Data (DPO)
Penunjukan DPO formal akan dilakukan saat Platform mencapai threshold yang ditetapkan UU PDP Pasal 53. Saat ini, seluruh korespondensi terkait pelindungan data pribadi ditujukan ke privacy@affiliastay.com.
12. Kontak
- Email umum: support@affiliastay.com
- Privasi dan PDP: privacy@affiliastay.com
- Permintaan hak subjek data: /help/contact
Versi Kebijakan Privasi: 1.0. Pertanyaan? Hubungi support. Lihat juga Syarat dan Ketentuan.