Mystinvitation
Mulai gratis

Kebijakan Privasi

Last updated · 2026-06-01

1. Pendahuluan

Mystinvitation ("kami", "Layanan") menghormati privasi Anda. Kebijakan ini menjelaskan data pribadi yang kami kumpulkan, bagaimana kami menggunakannya, kepada siapa kami membagikannya, dan hak-hak Anda berdasarkan UU 27/2022 tentang Pelindungan Data Pribadi (UU PDP).

Dengan menggunakan Layanan, Anda menyatakan telah membaca dan menyetujui kebijakan ini.

2. Data yang kami kumpulkan

Saat Anda membuat akun: nama, email, kata sandi (terenkripsi), preferensi bahasa.

Saat Anda membuat undangan: nama mempelai/tuan rumah, tanggal/lokasi acara, cerita pribadi, foto, audio, hashtag, daftar tamu (nama, email, telepon, grup) yang Anda upload.

Saat tamu membuka undangan: alamat IP (di-hash), user agent, referrer, waktu kunjungan, jawaban RSVP, ucapan/wishes.

Saat Anda bertransaksi: jumlah pembayaran, metode (kartu/bank/e-wallet), referensi transaksi. Detail kartu kredit TIDAK pernah disimpan di server kami — diproses langsung oleh Midtrans.

Saat Anda menggunakan AI: prompt yang Anda kirim ke fitur AI (Story Writer, Theme Generator, Chatbot, Translate).

3. Dasar hukum & tujuan penggunaan

Berdasarkan UU PDP, kami memproses data Anda atas dasar:

  • Pelaksanaan kontrak — untuk menyediakan layanan undangan, mengelola akun, dan memproses pembayaran
  • Kepentingan sah — untuk meningkatkan produk, mendeteksi penyalahgunaan, dan komunikasi transaksional
  • Persetujuan — untuk komunikasi pemasaran, cookies non-esensial, dan analitik

Kami TIDAK menggunakan data Anda untuk profiling otomatis, pengambilan keputusan otomatis yang berdampak hukum, atau menjualnya kepada pihak ketiga.

4. Pihak ketiga yang memproses data

Layanan kami menggunakan vendor berikut sebagai pemroses data ("processor"):

  • Supabase (database + autentikasi + storage) — server di Singapura
  • Vercel (hosting + CDN) — server global
  • Anthropic & OpenAI (AI fitur) — server di Amerika Serikat. Data Anda dikirim hanya saat Anda secara eksplisit memicu fitur AI
  • Resend (email) — server di Amerika Serikat
  • Midtrans (pembayaran) — server di Indonesia
  • Sentry (monitoring error) — server di Amerika Serikat. Cookies + header autentikasi disensor sebelum dikirim
  • Meta (WhatsApp Business API, opsional) — server global

Transfer data lintas negara dilakukan dengan kontrol kontraktual standar yang sesuai dengan UU PDP Pasal 56.

5. Cookies dan teknologi serupa

Kami menggunakan tiga kategori cookies:

  • Esensial — login, keamanan, pembayaran. Tidak dapat dimatikan
  • Analitik — penggunaan agregat untuk meningkatkan produk
  • Pemasaran — personalisasi penawaran

Anda dapat memilih saat banner persetujuan muncul atau mengubah pilihan kapan saja melalui pengaturan akun.

6. Retensi data

  • Data akun: selama akun aktif + 30 hari setelah penghapusan
  • Undangan & data tamu: sesuai masa berlaku tier Anda (Free 3 bulan, Basic 12 bulan, Pro selamanya), kemudian dihapus 90 hari setelah masa berlaku
  • Log pembayaran: 5 tahun (sesuai ketentuan perpajakan)
  • Log error & audit: 90 hari
  • Backup database: hingga 30 hari

7. Hak Anda sebagai Subjek Data

Berdasarkan UU PDP Pasal 5-12, Anda berhak:

  • Mengakses data pribadi Anda (Settings → Export Data)
  • Memperbaiki data yang tidak akurat (langsung di dashboard)
  • Menghapus data Anda (Settings → Delete Account — efektif 30 hari)
  • Membatasi/menarik persetujuan (matikan kategori cookie atau pengaturan email)
  • Memperoleh data dalam format yang dapat dipindahkan (export JSON)
  • Mengajukan keberatan atas pemrosesan
  • Mengajukan keluhan ke Lembaga Pelindungan Data Pribadi

Untuk menggunakan hak ini, login ke akun Anda atau email privacy@mystinvitation.com — kami akan merespons dalam 14 hari kerja.

8. Keamanan

Kami menerapkan:

  • Enkripsi TLS 1.3 untuk semua koneksi
  • Enkripsi-at-rest untuk database (AES-256)
  • Kata sandi di-hash dengan bcrypt
  • HMAC SHA-256 untuk tanda tangan QR
  • Pemisahan akses berbasis peran
  • Audit log untuk akses data sensitif
  • Pemindaian kerentanan otomatis

Tidak ada sistem yang 100% aman; jika terjadi pelanggaran data, kami akan memberitahu Anda + Lembaga Pelindungan Data Pribadi dalam 3 × 24 jam.

9. Data anak-anak

Layanan tidak ditujukan untuk anak di bawah 17 tahun. Kami tidak secara sengaja mengumpulkan data anak. Jika Anda mengetahui anak telah memberikan data, hubungi kami untuk penghapusan segera.

10. Perubahan kebijakan

Kami dapat memperbarui kebijakan ini sesuai perkembangan layanan atau regulasi. Perubahan material akan diumumkan melalui email dan banner di aplikasi minimal 14 hari sebelum berlaku. Tanggal "last updated" di atas selalu mencerminkan versi terkini.

11. Kontak

Pengendali data (Data Controller): Mystinvitation Jakarta, Indonesia privacy@mystinvitation.com

Untuk pertanyaan privasi atau pelaksanaan hak: privacy@mystinvitation.com Untuk dukungan umum: hello@mystinvitation.com