Kebijakan Privasi

Kami mengumpulkan kategori data berikut saat Anda menggunakan SMSCode:

Data Akun

• Alamat email (digunakan untuk login dan notifikasi).
• Kata sandi (disimpan sebagai hash argon2 — kami tidak pernah menyimpan kata sandi dalam bentuk teks biasa).

Data Google Sign-In

Jika Anda masuk menggunakan Google, kami mengakses data berikut dari akun Google Anda:

• Alamat email — Digunakan sebagai identitas akun dan untuk komunikasi layanan.
• Google user ID — Digunakan untuk menautkan akun Google Anda dengan akun SMSCode Anda.

Kami hanya meminta cakupan minimum yang diperlukan untuk autentikasi (email dan openid). Kami tidak mengakses kontak Google, kalender, drive, atau layanan Google lainnya.

Data Transaksi

• Riwayat pesanan (penyewaan nomor, layanan, negara, waktu, status).
• Riwayat deposit (jumlah, metode pembayaran, status).
• Saldo akun dan catatan transaksi.

Data Aplikasi Mobile

• Token perangkat Firebase Cloud Messaging (FCM) — Digunakan untuk mengirim notifikasi push tentang pembaruan pesanan dan aktivitas akun.
• Preferensi notifikasi push (aktif/nonaktif).
• Nama perangkat (opsional, untuk mengidentifikasi perangkat di akun Anda).

Data Penggunaan

• Alamat IP dan perkiraan geolokasi.
• Informasi perangkat dan browser (user agent).
• Log server (waktu permintaan, endpoint yang diakses).

Data Penggunaan API

• Log permintaan API (endpoint, waktu, kode respons).
• Penghitung rate limit.

• Penyediaan layanan — Memproses penyewaan nomor, mengelola saldo, dan memenuhi pesanan.
• Autentikasi — Email dan Google user ID (jika menggunakan Google Sign-In) digunakan semata-mata untuk autentikasi dan identifikasi akun. Kami tidak menggunakan data pengguna Google untuk iklan, profiling, atau tujuan apa pun yang tidak terkait dengan penyediaan layanan SMSCode.
• Notifikasi push — Token perangkat FCM digunakan secara eksklusif untuk mengirimkan pembaruan pesanan, konfirmasi deposit, dan peringatan keamanan akun ke perangkat mobile Anda.
• Pencegahan penipuan — Mendeteksi dan mencegah penyalahgunaan, akses tidak sah, dan pelanggaran kebijakan.
• Analitik — Memahami pola penggunaan untuk meningkatkan keandalan dan kinerja platform.
• Dukungan — Menanggapi pertanyaan dan menyelesaikan masalah terkait akun atau pesanan Anda.
• Komunikasi — Mengirim notifikasi terkait layanan (pembaruan pesanan, peringatan keamanan). Kami tidak mengirim email pemasaran tanpa persetujuan Anda.

• Kode OTP bersifat sementara — Konten SMS yang diterima (kode OTP) ditampilkan secara real-time dan tidak disimpan dalam jangka panjang setelah pesanan kedaluwarsa atau selesai.
• Nomor telepon bersifat sementara — Nomor yang disewa bersifat sementara dan didaur ulang setelah masa sewa berakhir. Kami tidak mengaitkan nomor yang disewa dengan identitas Anda di luar pesanan yang aktif.
• Tanpa data panggilan — SMSCode hanya menangani verifikasi SMS; kami tidak memproses panggilan suara atau metadata panggilan.

• Pembayaran diproses oleh gateway pihak ketiga (Duitku, Heleket). Kami tidak menyimpan detail kartu kredit, rekening bank, atau instrumen pembayaran Anda.
• Kami menyimpan referensi transaksi (ID gateway pembayaran, jumlah, status) untuk keperluan rekonsiliasi dan dukungan.
• Penyedia gateway pembayaran memiliki kebijakan privasi sendiri yang mengatur cara mereka menangani informasi pembayaran Anda.

Kami membagikan data hanya bila diperlukan untuk memberikan Layanan. Berikut adalah daftar lengkap kategori pemroses pihak ketiga yang kami gunakan; lokasi operasional terperinci dan perlindungan transfer dijelaskan dalam Bagian 13 (Transfer Data Internasional).

• Cloudflare, Inc. — jaringan pengiriman konten, perlindungan DDoS, dan jaringan egress. Memproses alamat IP, metadata permintaan, dan lalu lintas yang dihentikan TLS saat dalam transit.
• Resend, Inc. — pengiriman email transaksional (verifikasi, reset kata sandi, notifikasi pesanan). Memproses alamat email dan konten pesan Anda.
• Penyedia SMS hulu — sewa nomor virtual dan perutean SMS masuk. Kami mengirim parameter pesanan minimal (negara, layanan) untuk memenuhi sewa; kami tidak membagikan identitas atau data akun Anda dengan penyedia.
• Gerbang pembayaran — data transaksi dibagikan dengan pemroses pembayaran untuk menyelesaikan setoran. Kami tidak menerima atau menyimpan detail instrumen pembayaran lengkap.
• Firebase Cloud Messaging (Google) — token perangkat FCM dikirim ke layanan Firebase Google untuk mengirimkan push notification. Tidak ada data pribadi lain yang dibagikan dengan Firebase.
• Penegak hukum — Kami dapat mengungkapkan data jika diwajibkan oleh hukum, perintah pengadilan, atau untuk melindungi hak, properti, atau keselamatan SMSCode, pengguna kami, atau masyarakat.

Kami tidak menjual data pribadi Anda kepada pihak ketiga. Kami tidak membagikan data pribadi Anda kepada pengiklan. Kami tidak berpartisipasi dalam broker data atau jaringan iklan mana pun. Data pengguna Google yang diperoleh melalui Google Sign-In tidak pernah dibagikan dengan pihak ketiga mana pun dan hanya digunakan secara eksklusif untuk autentikasi di dalam SMSCode.

• Riwayat pesanan — Disimpan untuk keperluan rekonsiliasi, dukungan, dan audit.
• Konten OTP/SMS — Dihapus setelah pesanan kedaluwarsa atau selesai.
• Data akun — Disimpan selama akun Anda aktif.
• Log server — Disimpan hingga 90 hari untuk keperluan keamanan dan debugging.
• Token perangkat FCM — Dihapus segera saat Anda membatalkan pendaftaran perangkat atau menghapus akun Anda.

Penghapusan Akun & Pembersihan Data

Anda dapat menghapus akun kapan saja melalui pengaturan akun di dashboard web atau aplikasi mobile. Saat Anda menghapus akun:

• Akun Anda langsung di-soft-delete (status diubah menjadi "Deleted").
• Sisa saldo Anda hangus dan dicatat sebagai transaksi akhir.
• Semua sesi aktif (web dan mobile) langsung dicabut.
• Token perangkat FCM dan langganan push dihapus.
• Token API dan konfigurasi webhook dihapus.
• Masa tunggu pendaftaran ulang 30 hari berlaku — Anda tidak dapat membuat akun baru dengan email yang sama selama periode ini.
• Setelah 30 hari, tugas terjadwal akan menghapus secara permanen informasi identitas pribadi (PII) Anda: email diganti dengan placeholder yang tidak dapat diidentifikasi, hash kata sandi dihapus, serta Google user ID Anda dihapus.
• Riwayat transaksi dan catatan pesanan disimpan dalam bentuk anonim untuk keperluan akuntansi dan kepatuhan hukum.

• Kami menggunakan satu cookie sesi httpOnly (__session) untuk menjaga sesi autentikasi Anda. Cookie ini dienkripsi dan tidak dapat dibaca oleh skrip sisi klien.
• Kami tidak menggunakan cookie pelacakan, cookie iklan, atau cookie analitik pihak ketiga.
• Tidak diperlukan banner cookie karena kami hanya menggunakan cookie yang benar-benar diperlukan untuk autentikasi.

Penyimpanan Data

• Infrastruktur — Semua data disimpan di server khusus yang dioperasikan oleh kami. Kami tidak menggunakan hosting cloud bersama untuk data pengguna.
• Database — Data pengguna disimpan di PostgreSQL dengan akses yang dibatasi hanya untuk layanan aplikasi.
• Enkripsi saat transit — Semua lalu lintas antara Anda dan server kami dienkripsi melalui TLS (HTTPS).
• Enkripsi sesi — Cookie sesi dienkripsi dengan AES-256-GCM.

Perlindungan Data

• Hashing kata sandi — Kata sandi di-hash dengan argon2, algoritma memory-hard yang tahan terhadap serangan brute-force.
• Perlindungan CSRF — Endpoint yang mengubah data dilindungi terhadap cross-site request forgery.
• Rate limiting — Endpoint API dan autentikasi dibatasi untuk mencegah penyalahgunaan.
• Kontrol akses — Layanan internal berkomunikasi melalui saluran terotentikasi dengan kunci rahasia. Layanan database dan cache diisolasi dalam jaringan pribadi yang tidak dapat diakses dari internet.

Meskipun kami menerapkan langkah keamanan standar industri, tidak ada sistem yang 100% aman. Jika Anda menemukan kerentanan, silakan laporkan ke [email protected].

Anda memiliki hak untuk:

• Akses — Meminta salinan data pribadi yang kami simpan tentang Anda.
• Koreksi — Meminta koreksi data pribadi yang tidak akurat.
• Penghapusan — Menghapus akun dan data pribadi terkait langsung dari pengaturan akun Anda (web atau aplikasi mobile). Data pribadi akan dihapus dalam 30 hari setelah penghapusan. Anda juga dapat meminta penghapusan dengan menghubungi kami.
• Ekspor — Meminta data Anda dalam format portabel.

Untuk menggunakan hak akses, koreksi, atau ekspor, hubungi kami di [email protected]. Kami akan merespons dalam 30 hari.

Jika Anda adalah penduduk California, California Consumer Privacy Act (CCPA), sebagaimana diubah oleh California Privacy Rights Act (CPRA), memberi Anda hak-hak spesifik terkait informasi pribadi Anda, sebagai tambahan atas hak-hak yang diuraikan dalam Bagian 9 (Hak Anda).

Hak untuk mengetahui. Anda dapat meminta kami untuk mengungkapkan kategori dan bagian spesifik dari informasi pribadi yang telah kami kumpulkan tentang Anda, sumber informasi tersebut, tujuan pengumpulan atau pengungkapannya, dan kategori pihak ketiga yang menerima informasi tersebut. Kategori yang kami kumpulkan dirinci dalam Bagian 1 (Data yang Kami Kumpulkan).

Hak untuk menghapus. Anda dapat meminta kami untuk menghapus informasi pribadi yang telah kami kumpulkan tentang Anda, dengan tunduk pada pengecualian hukum tertentu (misalnya, untuk menyelesaikan transaksi, mendeteksi insiden keamanan, atau memenuhi kewajiban hukum).

Hak untuk memperbaiki. Anda dapat meminta kami untuk memperbaiki informasi pribadi tidak akurat yang kami simpan tentang Anda.

Hak untuk menolak penjualan atau pembagian. Kami tidak menjual informasi pribadi Anda kepada pihak ketiga, dan kami tidak membagikannya untuk iklan berperilaku lintas konteks. Tidak ada yang perlu Anda tolak, tetapi kami menyatakan hal ini secara eksplisit agar Anda tahu.

Hak untuk membatasi penggunaan informasi pribadi sensitif. Kami tidak menggunakan informasi pribadi sensitif (sebagaimana didefinisikan oleh CPRA) untuk tujuan di luar yang diperlukan untuk memberikan Layanan.

Hak atas non-diskriminasi. Kami tidak akan mendiskriminasi Anda karena menggunakan hak-hak ini. Pengalaman Layanan Anda tidak akan berubah, dan tidak ada biaya, ketentuan, atau kualitas layanan yang akan terpengaruh.

Cara menggunakan hak. Untuk menggunakan hak CCPA apa pun, hubungi kami di [email protected]. Kami akan memverifikasi identitas Anda sebelum merespons dan akan membalas dalam waktu 45 hari (dapat diperpanjang hingga 45 hari tambahan jika diperlukan secara wajar).

SMSCode tidak menggunakan layanan analitik web pihak ketiga, alat pelacakan perilaku, atau teknologi periklanan. Secara spesifik:

• Kami tidak menggunakan Google Analytics, Mixpanel, Amplitude, Hotjar, Segment, atau layanan analitik serupa;
• Kami tidak menyematkan tracking pixel, tag pemasaran, atau skrip retargeting di halaman mana pun;
• Kami tidak berpartisipasi dalam jaringan iklan atau ekosistem periklanan lintas situs;
• Kami tidak membangun profil perilaku pengguna individu untuk tujuan pemasaran atau rekomendasi.

Satu-satunya data yang kami kumpulkan tentang penggunaan Layanan oleh Anda adalah data operasional yang diperlukan untuk menyediakan dan mengamankannya: log permintaan server, penghitung batas laju, riwayat pesanan, dan cookie sesi. Semua ini dijelaskan secara rinci dalam Bagian 1 (Data yang Kami Kumpulkan), Bagian 7 (Cookie & Sesi), dan Bagian 8 (Langkah-langkah Keamanan). Log server disimpan hingga 90 hari untuk keperluan keamanan dan debugging, kemudian dihapus.

Jika kami pernah memperkenalkan analitik di masa depan, Kebijakan Privasi ini akan diperbarui sebelum perubahan berlaku, dan Anda akan diberitahu sesuai Bagian 14 (Perubahan Kebijakan Ini).

SMSCode tidak ditujukan untuk digunakan oleh siapa pun yang berusia di bawah 18 tahun. Kami tidak secara sengaja mengumpulkan data pribadi dari anak-anak. Jika Anda yakin seorang anak di bawah 18 tahun telah memberikan data pribadi kepada kami, silakan hubungi kami dan kami akan segera menghapusnya.

Void Zero Ltd berbasis di Britania Raya, dan data pribadi yang Anda berikan diproses terutama di UK dan Wilayah Ekonomi Eropa (EEA). Untuk memberikan Layanan, kami menggunakan sub-prosesor dan infrastruktur pihak ketiga yang dapat memproses data Anda di yurisdiksi lain, termasuk Amerika Serikat dan negara-negara lain di luar UK/EEA.

Mekanisme transfer

Ketika kami mentransfer data pribadi dari UK atau EEA ke negara yang belum menerima keputusan kecukupan dari UK Information Commissioner's Office (ICO) atau Komisi Eropa, kami mengandalkan satu atau lebih perlindungan berikut:

• UK International Data Transfer Addendum (UK IDTA) yang dimasukkan ke dalam kontrak kami dengan sub-prosesor;
• Standard Contractual Clauses (SCCs) yang disetujui oleh Komisi Eropa (Keputusan 2021/914) untuk data EU;
• keputusan kecukupan sehubungan dengan yurisdiksi yang diakui memberikan tingkat perlindungan yang pada dasarnya setara (termasuk UK Data Bridge untuk penerima AS yang memenuhi syarat di bawah Data Privacy Framework);
• perlindungan lain yang diakui berdasarkan UK GDPR Pasal 46 atau EU GDPR Pasal 46.

Kontrol transfer lanjutan

Semua sub-prosesor yang menerima data pribadi Anda terikat oleh kontrak tertulis yang mewajibkan mereka untuk: (a) memproses data hanya atas instruksi terdokumentasi dari Void Zero Ltd; (b) menerapkan tindakan keamanan teknis dan organisasional yang sesuai; (c) memastikan kerahasiaan personel yang memiliki akses ke data; (d) membantu kami memenuhi permintaan hak subjek data; dan (e) menghapus atau mengembalikan data saat kontrak berakhir. Kewajiban ini mengikuti persyaratan UK GDPR Pasal 28 dan EU GDPR Pasal 28.

Kategori sub-prosesor saat ini

Sub-prosesor yang dapat memproses data Anda di luar UK/EEA mencakup, tetapi tidak terbatas pada:

• Cloudflare, Inc. (Amerika Serikat) — pengiriman konten, perlindungan DDoS, dan jaringan egress;
• Resend, Inc. (Amerika Serikat) — pengiriman email transaksional;
• Mitra penyedia SMS yang beroperasi secara internasional — sewa nomor virtual dan perutean SMS masuk (lihat Bagian 3);
• Gerbang pembayaran — pemrosesan pembayaran transaksional untuk setoran (lihat Bagian 4).

Hak Anda

Anda dapat meminta salinan perlindungan transfer yang berlaku untuk data Anda dengan menghubungi kami di [email protected]. Kami akan merespons dalam 30 hari sebagaimana dijelaskan dalam Bagian 9 (Hak Anda) dan Pasal 12 GDPR.

Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu. Perubahan material akan dikomunikasikan melalui email atau pemberitahuan di platform. Tanggal "Terakhir diperbarui" di bagian atas mencerminkan revisi terbaru.

Untuk pertanyaan atau permintaan terkait privasi, hubungi kami di [email protected].

Untuk dukungan umum, hubungi kami di [email protected].