PROVIN
DocsLogin

Kebijakan Privasi

Terakhir diperbarui: 13 Februari 2026

Kebijakan Privasi ini menjelaskan bagaimana PROVIN ("kami", "Layanan") mengumpulkan, menggunakan, menyimpan, dan melindungi informasi Anda saat menggunakan platform verifikasi identitas kami. Dengan mengakses atau menggunakan Layanan, Anda menyetujui praktik yang dijelaskan dalam kebijakan ini.

1. Informasi yang Kami Kumpulkan

1.1 Data Akun

Saat mendaftar, kami mengumpulkan:

  • Nama lengkap dan alamat email
  • Kata sandi (disimpan dalam bentuk hash, tidak pernah dalam teks biasa)
  • Informasi perusahaan (opsional): nama perusahaan, alamat, telepon, NPWP, NIB, dan bidang usaha

1.2 Data Verifikasi (Sesi)

Saat pengguna akhir (end-user) menjalani proses verifikasi melalui API atau widget embed kami, data berikut dapat dikumpulkan:

  • Foto selfie — diambil melalui kamera perangkat selama proses liveness detection
  • Foto KTP — diambil atau diunggah untuk proses OCR
  • Foto liveness — foto saat kedipan mata, membuka mulut, dan gerakan kepala
  • Data hasil OCR KTP — NIK, nama, tempat/tanggal lahir, alamat, dan field lainnya yang diekstraksi dari kartu identitas
  • Skor face matching — tingkat kecocokan antara foto selfie dan foto KTP
  • Metadata sesi — informasi opsional yang dikirimkan oleh klien API (nama, NIK, nomor HP, alamat)

1.3 Data Biometrik (Liveness Detection)

Proses liveness detection menggunakan teknologi face landmark detection (MediaPipe atau TensorFlow.js) yang berjalan sepenuhnya di sisi klien (browser). Data landmark wajah (468 titik koordinat) diproses secara lokal di perangkat pengguna dan tidak pernah dikirim ke server kami.

Yang kami terima dari proses liveness detection hanyalah foto hasil tangkapan (bukan data biometrik mentah) dan status keberhasilan verifikasi.

1.4 Data Penggunaan

  • Log aktivitas (pembuatan sesi, pengelolaan API key, perubahan tim)
  • Statistik penggunaan API (jumlah request, kuota terpakai)
  • Catatan webhook (status pengiriman, tanpa foto)

2. Bagaimana Kami Menggunakan Informasi

  • Verifikasi identitas — memproses dan menyimpan hasil verifikasi sesuai permintaan klien API
  • OCR KTP — mengekstraksi data dari foto KTP secara otomatis
  • Face matching — membandingkan foto selfie dengan foto KTP untuk konfirmasi identitas
  • Pengelolaan akun — autentikasi, otorisasi, dan manajemen tim
  • Notifikasi webhook — mengirim hasil verifikasi ke endpoint yang dikonfigurasi klien (tanpa foto)
  • Analitik — menyediakan dashboard penggunaan dan statistik bagi klien
  • Peningkatan layanan — memahami pola penggunaan untuk meningkatkan performa dan keandalan

3. Penyimpanan dan Retensi Data

3.1 Data Akun

Data akun disimpan selama akun Anda aktif.

3.2 Data Sesi Verifikasi

  • Sesi tidak selesai — kedaluwarsa otomatis setelah 30 menit dan ditandai sebagai "expired"
  • Sesi selesai — disimpan sebagai catatan historis yang dapat diakses melalui dashboard
  • Foto dan hasil verifikasi disimpan dalam database terenkripsi

3.3 Log Aktivitas

Log aktivitas dan audit disimpan untuk keperluan keamanan dan kepatuhan.

4. Berbagi dan Pengungkapan Data

Kami tidak menjual data pribadi Anda. Data dapat dibagikan dalam kondisi berikut:

  • Webhook klien — hasil verifikasi (tanpa foto) dikirim ke endpoint webhook yang dikonfigurasi oleh klien API. Pengiriman diamankan dengan tanda tangan HMAC-SHA256.
  • Resend (layanan email) — alamat email digunakan untuk mengirim undangan tim.
  • Kewajiban hukum — jika diwajibkan oleh hukum, regulasi, atau proses hukum yang berlaku di Indonesia.

5. Keamanan Data

Kami menerapkan langkah-langkah keamanan berikut:

  • Kata sandi di-hash menggunakan bcrypt (tidak pernah disimpan dalam teks biasa)
  • Autentikasi menggunakan token JWT yang disimpan dalam cookie httpOnly dan secure
  • API key diawali dengan prefix unik dan dapat dicabut kapan saja
  • Webhook diamankan dengan tanda tangan HMAC-SHA256
  • Akses berbasis peran (RBAC) untuk manajemen tim: Owner, Admin, Member, Viewer
  • Liveness detection berjalan sepenuhnya di browser — data biometrik tidak meninggalkan perangkat
  • Sesi verifikasi memiliki batas waktu (TTL) 30 menit

6. Hak Pengguna

Anda memiliki hak untuk:

  • Mengakses — melihat data akun dan riwayat sesi verifikasi melalui dashboard
  • Mengekspor — mengunduh data sesi dalam format CSV
  • Mengoreksi — memperbarui informasi akun dan perusahaan melalui halaman pengaturan
  • Menghapus — meminta penghapusan akun dengan menghubungi kami
  • Mencabut akses — mencabut API key dan menghapus anggota tim kapan saja

7. Cookie

Kami menggunakan cookie fungsional yang diperlukan untuk autentikasi (token JWT). Cookie ini bersifat httpOnly, secure, dan memiliki masa berlaku 7 hari. Kami tidak menggunakan cookie pelacakan atau iklan.

8. Mode Sandbox

Layanan kami menyediakan mode sandbox untuk pengujian. Data yang diproses dalam mode sandbox tetap tunduk pada kebijakan privasi yang sama. Klien API bertanggung jawab untuk tidak menggunakan data pribadi nyata dalam lingkungan sandbox.

9. Integrasi Embed

Widget verifikasi kami dapat diintegrasikan melalui WebView atau iframe di berbagai platform (React Native, Flutter, Android, iOS, Web). Saat menggunakan embed, data diproses sesuai dengan kebijakan privasi ini. Klien API yang mengintegrasikan widget bertanggung jawab untuk menginformasikan pengguna akhir tentang pengumpulan data.

10. Perubahan Kebijakan

Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu. Perubahan material akan diberitahukan melalui email atau pemberitahuan di dashboard. Penggunaan Layanan yang berkelanjutan setelah perubahan dianggap sebagai persetujuan terhadap kebijakan yang diperbarui.

11. Kontak

Untuk pertanyaan terkait privasi, silakan hubungi kami di: support@provin.id