XKalaa Desk

Privacy Policy

Effective date: 1 May 2026

1. Siapa kami

XKalaa Desk dioperasikan oleh PT [pending registration]. Kontak DPO: privacy@xkalaa.net.

2. Data yang kami proses

Sebagai data processor, kami memproses data pesan customer atas nama UMKM client kami. Data ini termasuk:

  • Nomor WhatsApp customer (sebagai identifier)
  • Nama customer (jika di-share oleh WhatsApp)
  • Isi percakapan (untuk AI processing)
  • Metadata: timestamp, channel, status pesan

3. Tujuan pemrosesan

  • Auto-reply customer service via AI
  • Escalation ke owner bisnis
  • Analytics agregat untuk owner
  • Audit log untuk compliance

4. Sub-processor

Untuk operasional, data customer bisa diproses oleh sub-processor berikut:

  • Supabase (Singapore) — primary database
  • OpenRouter / Google Gemini / OpenAI — LLM inference (US/EU)
  • Cloudflare — CDN, tunnel, R2 backup (Global edge)
  • Fonnte (Indonesia) — WhatsApp gateway
  • AWS (Jakarta) — backend hosting

5. Cross-border transfer

Sebagian data bisa mengalir ke server di luar Indonesia (Singapore, US, EU). Transfer ini dilindungi oleh kontrak DPA dengan masing-masing sub-processor sesuai standar UU PDP Pasal 56.

6. Retention

  • Pesan aktif: selama akun client aktif
  • Backup: 30 hari di Cloudflare R2
  • Audit log: 12 bulan
  • Setelah cancel: data dihapus dalam 30 hari (kecuali compliance retention)

7. Hak data subject

Customer (data subject) berhak: akses, perbaikan, penghapusan, portabilitas data. Permintaan via UMKM client (data controller) atau langsung ke privacy@xkalaa.net.

8. Security

  • Encryption in transit: TLS 1.3
  • Encryption at rest: AES-256 (Fernet)
  • Multi-tenant isolation: Row-Level Security (Postgres)
  • Access control: per-client JWT, audit logged

9. Complaint

Komplain bisa kirim ke privacy@xkalaa.net. Eskalasi ke Komdigi (cq. Direktorat Perlindungan Data Pribadi) jika tidak terselesaikan dalam 30 hari.

10. Update kebijakan

Kebijakan bisa di-update. Update major (perubahan sub-processor, retention, scope data) akan di-notify ke client minimal 14 hari sebelumnya via email + pengumuman di dashboard.