FinGuard LogoFinGuard
Compliance /UU PDP

Kepatuhan Regulasi

Terakhir diperbarui: 13 Juni 2026

Undang-Undang Pelindungan Data Pribadi

Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) merupakan kerangka hukum utama Indonesia untuk pemrosesan data pribadi. UU ini berlaku penuh sejak 17 Oktober 2024. UU PDP memberikan hak kepada subjek data, menetapkan kewajiban bagi Pengendali dan Pemroses Data, serta mengatur sanksi administratif dan pidana atas pelanggaran.

FinGuard beroperasi sebagai Pemroses Data. Seluruh tahapan pipeline analisis dokumen kami dirancang agar sejalan dengan prinsip pelindungan data pribadi yang ditetapkan UU PDP. Halaman ini menjelaskan bagaimana FinGuard memenuhi ketentuan UU PDP dan kerangka regulasi internasional yang relevan.

1. Dasar Hukum Pemrosesan Data

Persetujuan Subjek Data

FinGuard memproses data pribadi hanya berdasarkan instruksi tertulis dari organisasi Anda selaku Pengendali Data. Organisasi Anda wajib memperoleh persetujuan eksplisit dari subjek data sebelum mengunggah dokumen ke dalam workspace. Kami tidak memproses data untuk tujuan apa pun di luar instruksi Pengendali Data.

Prinsip Minimisasi Data

FinGuard hanya mengekstrak dan menyimpan data yang relevan untuk keperluan analisis anomali. Data identitas dipisahkan dari data numerik dan dipseudonimkan sebelum dikirim ke model AI eksternal. Hanya data minimum yang diperlukan yang diekspos ke sistem di luar server FinGuard.

Pembatasan Masa Retensi

Kebijakan retensi FinGuard mengikuti prinsip bahwa data tidak boleh disimpan lebih lama dari yang diperlukan. Dokumen asli dihapus permanen dalam 30 hari. Metadata ekstraksi disimpan aktif selama 90 hari, lalu dianonimkan sepenuhnya setelah 600 hari. Log audit dipertahankan selama 5 tahun dalam format immutable untuk keperluan pemeriksaan oleh otoritas.

Akurasi Data

FinGuard tidak mengubah atau mengintervensi isi dokumen asli. Hasil analisis dan metadata yang diekstrak ditampilkan sesuai data sumber. Apabila subjek data mengajukan permintaan koreksi melalui organisasi Anda, data hasil ekstraksi dapat diperbarui sesuai instruksi Pengendali Data.

2. Hak Subjek Data

UU PDP memberikan hak berikut kepada individu sebagai subjek data. FinGuard mendukung pelaksanaan hak ini melalui organisasi Anda selaku Pengendali Data:

Hak Mengakses

Subjek data dapat meminta salinan data pribadinya yang sedang diproses. FinGuard menyediakan kemampuan ekspor data kepada organisasi Anda berdasarkan instruksi.

Hak Koreksi

Subjek data dapat meminta koreksi data pribadi yang tidak akurat. Permintaan koreksi diproses oleh Pengendali Data dan diteruskan kepada FinGuard sebagai Pemroses.

Hak Penghapusan

Subjek data dapat meminta penghapusan data pribadinya. FinGuard mendukung penghapusan yang diprakarsai penyewa yang mencakup seluruh lapisan penyimpanan dalam 24 jam, dengan hanya menyisakan baris audit yang telah dianonimkan.

Hak Membatasi Pemrosesan

Subjek data dapat meminta pembatasan pemrosesan dalam keadaan tertentu. FinGuard mendukung penghentian pemrosesan data di tingkat penyewa atau berkas sesuai instruksi organisasi Anda.

Hak Portabilitas Data

Subjek data dapat meminta datanya dalam format terstruktur yang lazim digunakan. FinGuard menyediakan alat ekspor metadata dan laporan analisis melalui UI workspace dan REST API.

3. Residensi dan Kedaulatan Data

Seluruh infrastruktur FinGuard, mencakup server backend, database relasional, penyimpanan biner, dan log audit, di-hosting sepenuhnya di Biznet Cloud Jakarta, Indonesia. Tidak ada data produksi yang berpindah ke luar wilayah Indonesia tanpa persetujuan eksplisit dari Pengendali Data.

Pemrosesan lintas batas, seperti pengiriman data ke model AI internasional, hanya dilakukan melalui fitur opt-in eksplisit yang dikelola oleh administrator tenant Anda. Pengaturan default menempatkan seluruh data dalam yurisdiksi Indonesia.

4. Langkah Keamanan Teknis

Enkripsi AES-256 saat istirahat dengan KMS lokal
Enkripsi TLS 1.3 dalam transit dengan HSTS
Row-Level Security PostgreSQL per penyewa
Pseudonimisasi identitas sebelum pemrosesan AI
Log audit immutable hanya-tambah (append-only)
Penghapusan data instan yang diprakarsai penyewa dalam waktu kurang dari 24 jam
Hashing kata sandi Argon2id dengan revokasi sisi server
Token akses JWT, masa berlaku 15 menit, refresh token berputar

5. Peran Pengendali dan Pemroses Data

Organisasi Anda (Pengendali Data)

  • Memperoleh persetujuan eksplisit dari subjek data sebelum mengunggah dokumen
  • Menentukan tujuan dan metode pemrosesan data pribadi
  • Menanggapi permintaan hak subjek data secara langsung
  • Melaporkan insiden pelanggaran data kepada otoritas pengawas dalam waktu 3x24 jam
  • Melakukan Data Protection Impact Assessment (DPIA) jika diperlukan

FinGuard (Pemroses Data)

  • Memproses data hanya berdasarkan instruksi tertulis dari Pengendali Data
  • Menerapkan langkah keamanan teknis dan organisasional yang memadai
  • Mencatat seluruh aktivitas pemrosesan secara rinci dalam log audit immutable
  • Memberi tahu Pengendali Data dalam waktu maksimal 72 jam jika terjadi insiden keamanan yang terkonfirmasi
  • Memastikan setiap sub-pemroses terikat oleh DPA dengan tingkat perlindungan yang setara

Notifikasi Pelanggaran Data

Berdasarkan Pasal 46 UU PDP, FinGuard akan memberitahukan Pengendali Data dalam waktu maksimal 72 jam setelah insiden kebocoran data pribadi terkonfirmasi. Pemberitahuan mencakup kronologi insiden, data yang terdampak, serta langkah mitigasi yang telah diambil. Pengendali Data selanjutnya wajib melaporkan insiden tersebut kepada subjek data dan otoritas pengawas dalam waktu 3x24 jam.

6. GDPR (Uni Eropa)

General Data Protection Regulation (GDPR) Uni Eropa memiliki cakupan ekstrateritorial berdasarkan Pasal 3. GDPR berlaku terhadap Pemroses Data di mana pun lokasinya, sepanjang memproses data pribadi warga Uni Eropa. Apabila berkas yang Anda analisis melalui FinGuard hanya berisi data warga negara Indonesia, maka GDPR tidak berlaku. Penjelasan di bawah ini menggambarkan sejauh mana arsitektur FinGuard selaras dengan ketentuan GDPR, bukan merupakan pernyataan kepatuhan hukum. FinGuard belum memiliki sertifikasi GDPR.

FinGuard dibangun dengan pendekatan Privacy by Design yang menghasilkan tumpang tindih signifikan dengan prinsip inti GDPR. Tabel berikut merinci pemenuhan persyaratan Pasal 28 GDPR terhadap Pemroses Data:

Persyaratan (Pasal 28)Status
Perjanjian pemrosesan data tertulis dengan PengendaliTersedia
Pemrosesan hanya berdasarkan instruksi tertulisTersedia
Kewajiban kerahasiaan bagi personel yang memproses dataEnkripsi ganda, akses tim internal dibatasi secara ketat
Keamanan pemrosesan sesuai Pasal 32AES-256, TLS 1.3, pseudonimisasi, PostgreSQL RLS
Sub-pemroses terikat perjanjian setaraBiznet Cloud dan pemroses AI terikat DPA
Notifikasi pelanggaran data tanpa penundaanMaksimal 72 jam
Asistensi permintaan hak subjek dataEkspor dan hapus data melalui workspace dan API
Penghapusan atau pengembalian data setelah layanan berakhirPenghapusan instan dalam waktu kurang dari 24 jam
Kerja sama audit dan inspeksiLog audit immutable selama 5 tahun, dapat dikueri
Catatan aktivitas pemrosesan (Pasal 30)Data tersedia melalui log audit, format ROPA formal belum disediakan
Transfer data lintas batas (Pasal 44-49)Indonesia belum memiliki EU adequacy decision. Standard Contractual Clauses (SCC) dapat disediakan jika organisasi Anda memproses data warga EU melalui platform ini.
Penunjukan Data Protection Officer (Pasal 37)Belum ditunjuk secara formal. Akan disediakan jika pemrosesan data berskala besar melibatkan data kategori khusus sebagaimana dimaksud Pasal 9 GDPR.

Apabila organisasi Anda memproses data warga Uni Eropa melalui platform FinGuard, kami dapat menyediakan Standard Contractual Clauses (SCC) sebagai dasar hukum transfer data lintas batas. Silakan hubungi tim kami untuk mendiskusikan kebutuhan kepatuhan GDPR spesifik Anda.

7. CCPA/CPRA (California)

California Consumer Privacy Act (CCPA) sebagaimana diubah oleh California Privacy Rights Act (CPRA) berlaku terhadap badan usaha yang beroperasi di California, memenuhi ambang pendapatan atau volume data tertentu, dan memproses informasi pribadi warga California. Jika data yang Anda proses melalui FinGuard hanya mencakup warga negara Indonesia, CCPA/CPRA tidak berlaku. FinGuard beroperasi dalam kapasitas sebagai penyedia layanan (service provider) berdasarkan definisi dalam CPRA.

Arsitektur FinGuard selaras dengan kewajiban penyedia layanan di bawah CCPA/CPRA. Kami tidak menjual, membagikan untuk iklan lintas konteks, atau menggunakan data Anda untuk tujuan di luar layanan yang ditentukan dalam perjanjian. Tabel di bawah ini merinci keselarasan tersebut:

Kewajiban Penyedia LayananStatus
Kontrak tertulis yang membatasi tujuan pemrosesanTersedia melalui DPA dan Syarat Layanan
Tidak menjual atau membagikan data konsumenData tidak pernah dijual atau dibagikan kepada pihak mana pun
Tidak menyimpan atau menggunakan data di luar tujuan layananRetensi ketat: 30 hari, 90 hari, 5 tahun
Tidak menggabungkan data dari berbagai sumber bisnisIsolasi data per tenant melalui PostgreSQL RLS
Mematuhi permintaan penghapusan dari konsumenPenghapusan instan dalam 24 jam melalui admin tenant
Keamanan data yang wajar (reasonable security)AES-256, TLS 1.3, pseudonimisasi identitas
Asistensi audit keamanan siber (ketentuan baru CPRA)Log audit tersedia, kerangka audit siber formal belum tersedia

8. Kerangka Regulasi Lainnya

Singapore PDPA

Personal Data Protection Act Singapura menganut prinsip serupa dengan UU PDP: persetujuan, pembatasan tujuan, notifikasi, akses dan koreksi, keamanan, pembatasan retensi, serta pembatasan transfer. Arsitektur Privacy by Design FinGuard selaras dengan 9 kewajiban perlindungan data PDPA. Regulasi ini berlaku hanya apabila organisasi Anda memproses data pribadi warga Singapura melalui platform.

Tidak otomatis berlaku

ISO 27001

FinGuard menerapkan kontrol berbasis ISO 27001 dalam arsitektur keamanannya: enkripsi AES-256, kontrol akses berbasis peran, log audit immutable, dan pemisahan tenant ketat. Sertifikasi formal ISO 27001 masih dalam tahap perencanaan dan belum diperoleh. Kami akan memperbarui halaman ini setelah proses sertifikasi dimulai.

Dalam perencanaan

Referensi Hukum

Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi. Lembaran Negara Republik Indonesia Tahun 2022 Nomor 196. Tambahan Lembaran Negara Nomor 6820. Mulai berlaku penuh pada tanggal 17 Oktober 2024.