01Pendahuluan
WACCA adalah aplikasi laundry online yang menghubungkan konsumen dengan penyedia jasa laundry (merchant) di Indonesia. Layanan ini dikembangkan dan dioperasikan oleh PT. IKAVIA DIGITAL NUSANTARA (selanjutnya "WACCA", "kami").
Kebijakan Privasi ini berlaku untuk seluruh Pengguna WACCA — meliputi Konsumen aplikasi, Merchant terdaftar, dan pengunjung situs web wacca.ikavia.com. Dengan menggunakan layanan WACCA, Anda memahami dan menyetujui pemrosesan Data Pribadi sebagaimana diuraikan dalam dokumen ini.
Kebijakan ini disusun sesuai Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi ("UU PDP") beserta peraturan pelaksanaannya, serta standar internasional keamanan informasi.
02Pengendali Data Pribadi
Pengendali Data Pribadi (Data Controller) atas seluruh Data Pribadi yang dikumpulkan melalui layanan WACCA adalah:
PT. IKAVIA DIGITAL NUSANTARA
Alamat terdaftar: Gg. Randhim No. 165, RT 07/RW 05, Tirtonirmolo, Kec. Kasihan, Kabupaten Bantul, Daerah Istimewa Yogyakarta, Indonesia
Email umum: info@ikavia.com
Email privasi: privacy@ikavia.com
Situs web: wacca.ikavia.com
PT. IKAVIA DIGITAL NUSANTARA menentukan tujuan dan sarana pemrosesan Data Pribadi Pengguna, serta bertanggung jawab atas kepatuhan terhadap UU PDP.
03Definisi
| Istilah | Definisi |
|---|---|
| Data Pribadi | Setiap data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi, baik langsung maupun tidak langsung. |
| Pengguna | Setiap pihak yang menggunakan layanan WACCA, meliputi Konsumen dan Merchant. |
| Pengendali | Pihak yang menentukan tujuan & sarana pemrosesan Data Pribadi — dalam hal ini PT. IKAVIA DIGITAL NUSANTARA. |
| Prosesor | Pihak ketiga yang memproses Data Pribadi atas nama Pengendali (mis. payment gateway, penyedia analitik). |
| Pemrosesan | Setiap kegiatan terkait Data Pribadi (pengumpulan, penyimpanan, penggunaan, pengungkapan, penghapusan). |
| Persetujuan | Pernyataan Pengguna atas kesediaan untuk pemrosesan Data Pribadi untuk tujuan yang telah ditetapkan. |
| DPO | Data Protection Officer — petugas pelindung Data Pribadi sesuai UU PDP §53. |
04Data yang Dikumpulkan
Jenis Data Pribadi yang dikumpulkan berbeda antara Konsumen (pengguna aplikasi WACCA) dan Merchant (pengguna aplikasi WACCA Laundry Owner).
4.1. Data Konsumen — Registrasi & Profil
- Saat registrasi: alamat email, kata sandi (disimpan dalam bentuk hash, bukan plaintext), nama tampilan (display name), dan identifier platform (Android/iOS).
- Verifikasi email: tautan verifikasi dikirim ke
account.ikavia.com/verify-email. - Alternatif login: Google Sign-In (opsional) — apabila digunakan, informasi profil dasar Google (email, nama, foto profil) diterima melalui protokol OAuth resmi.
- Profil pengguna: nomor telepon, foto profil (opsional).
- Alamat pengantaran: nama penerima, alamat lengkap (provinsi, kota, kecamatan), koordinat latitude/longitude, nomor telepon penerima, catatan tambahan.
4.2. Data Merchant — Registrasi, KYC & Operasional
- Saat registrasi: alamat email, kata sandi, nama tampilan (sama seperti Konsumen).
- Verifikasi Merchant (KYC):
- Nama bisnis (
business_name) - Nama pemilik (
owner_name) - Nomor Induk Kependudukan (
nationality_number/NIK) — dasar verifikasi identitas legal - Nomor telepon bisnis
- Foto profil bisnis (opsional)
- Deskripsi usaha (opsional)
- Nama bisnis (
- Data outlet: nama outlet, alamat, koordinat lokasi, status operasional, ketersediaan kurir/driver.
- Data driver (kurir): nama, nomor telepon, nomor plat kendaraan.
- Rekening bank: nomor rekening tidak disimpan di aplikasi mobile. Aplikasi hanya menampilkan flag status ketersediaan rekening (
bank_account_is_active). Pendaftaran rekening dilakukan melalui kanal terpisah yang dikelola langsung oleh mitra payment gateway berlisensi Bank Indonesia.
4.3. Data Lokasi
- Aplikasi Konsumen: koordinat GPS hanya diakses saat Pengguna aktif membuka peta untuk mencari laundry terdekat atau menentukan alamat pengantaran.
- Aplikasi Merchant: koordinat GPS hanya diakses saat Merchant menetapkan titik lokasi outlet.
- Akses lokasi bersifat foreground-only — sesuai izin
NSLocationWhenInUseUsageDescription(iOS) danACCESS_FINE_LOCATION/ACCESS_COARSE_LOCATION(Android). Tidak ada pelacakan lokasi di background. - Peta ditampilkan menggunakan Google Maps SDK; data koordinat dan pola penggunaan peta dapat diproses oleh Google LLC sesuai kebijakan Google Maps.
4.4. Data Transaksi & Pesanan
- Riwayat pesanan: jenis layanan, jadwal, alamat, catatan tambahan.
- Nilai transaksi, waktu transaksi, dan status pesanan pada setiap tahap.
- Metode pembayaran resmi WACCA adalah QRIS.
- Rating dan ulasan yang diberikan Pengguna terhadap Merchant, dan sebaliknya.
- Data pembayaran diproses sepenuhnya oleh mitra payment gateway berlisensi Bank Indonesia. Aplikasi WACCA tidak pernah menerima, memproses, atau menyimpan data sensitif kartu (nomor kartu lengkap, CVV, atau PIN).
4.5. Data Foto & Media
- Foto kondisi pakaian yang diambil Konsumen saat membuat pesanan (opsional).
- Foto profil pengguna (opsional).
- Foto profil / dokumentasi outlet untuk Merchant (opsional).
- Lampiran foto pada keluhan/komplain (opsional).
- Media diunggah ke layanan penyimpanan media internal WACCA dan tidak disimpan permanen di perangkat.
4.6. Data Perangkat & Teknis
- Jenis dan model perangkat, sistem operasi, dan versi aplikasi.
- Alamat IP dan informasi jaringan.
- Token Firebase Cloud Messaging (FCM) untuk pengiriman notifikasi push, disimpan pada penyimpanan aman lokal (
flutter_secure_storage). - Firebase Installation ID sebagai identifier instalasi aplikasi.
- Log kesalahan (crash log) yang dikirim otomatis ke Firebase Crashlytics hanya pada versi produksi, tanpa memuat isi form atau data sensitif Pengguna.
4.7. Data Situs Web (wacca.ikavia.com)
- Data agregat penggunaan situs melalui Google Analytics 4: halaman yang dikunjungi, durasi, dan klik tombol.
- Cookie identifier (
_ga,_ga_*) dengan masa berlaku hingga 24 bulan. - Cookie ini hanya diaktifkan setelah Pengguna memberikan persetujuan eksplisit melalui banner cookie (Google Consent Mode v2 — default
denied).
WACCA TIDAK mengumpulkan: data biometrik, data lokasi historis di luar penggunaan aplikasi, nomor kartu kredit/debit lengkap, CVV/PIN, atau kategori Data Pribadi Spesifik sensitif lain di luar yang disebutkan di atas.
05Sumber Data
Data Pribadi diperoleh dari:
- Langsung dari Pengguna — saat registrasi, verifikasi email, mengisi profil, mendaftarkan outlet (Merchant), membuat pesanan (Konsumen), atau mengunggah foto/lampiran.
- Otomatis dari perangkat — saat aplikasi digunakan (jenis perangkat, versi OS, IP, token FCM, koordinat GPS saat peta aktif).
- Dari Google (opsional) — jika Pengguna memilih Google Sign-In, WACCA menerima email, nama, dan foto profil dari akun Google Pengguna melalui protokol OAuth.
- Dari Merchant / Konsumen lain — status pesanan, rating & ulasan, catatan operasional.
- Dari mitra payment gateway — konfirmasi status pembayaran QRIS (tanpa detail sensitif kartu/rekening).
06Tujuan Pemrosesan & Dasar Hukum
| Tujuan | Dasar Hukum (UU PDP §20) |
|---|---|
| Menjalankan layanan inti (pencocokan pesanan, pembayaran, pengantaran) | Pelaksanaan kontrak |
| Verifikasi identitas Merchant | Pelaksanaan kontrak & kepentingan hukum |
| Pencegahan fraud & keamanan platform | Kepentingan sah (legitimate interest) |
| Kepatuhan terhadap kewajiban hukum (pajak, akuntansi) | Kepatuhan hukum |
| Analitik penggunaan & pengembangan produk | Persetujuan (dapat ditarik) |
| Notifikasi promosi & marketing | Persetujuan (opt-in, dapat ditarik) |
| Dukungan pelanggan & penyelesaian sengketa | Pelaksanaan kontrak |
07Retensi Data
Data Pribadi disimpan hanya selama diperlukan untuk tujuan pemrosesan atau selama diwajibkan oleh peraturan yang berlaku:
| Kategori Data | Masa Retensi |
|---|---|
| Data akun aktif | Selama akun aktif |
| Data akun setelah penghapusan | 12 bulan (audit & anti-fraud), kemudian dihapus permanen |
| Data transaksi | 5 tahun (kepatuhan UU Perpajakan & akuntansi) |
| Data lokasi real-time | Tidak disimpan permanen — dihapus setelah pesanan selesai |
| Data analitik (Google Analytics) | 14 bulan (default GA4 maksimum) |
| Log keamanan & audit | 12 bulan |
| Data komplain & sengketa | 2 tahun sejak penyelesaian |
Setelah masa retensi berakhir, Data Pribadi akan dihapus atau dianonimisasi secara permanen sehingga tidak dapat diidentifikasi kembali.
08Berbagi Data dengan Pihak Ketiga
WACCA tidak menjual Data Pribadi Pengguna kepada pihak manapun. Data hanya dibagikan dalam batas yang diperlukan kepada:
8.1. Merchant & Konsumen (antar Pengguna)
Data pesanan Konsumen (nama, kontak, alamat pengantaran, detail layanan, foto kondisi pakaian) dibagikan kepada Merchant yang dipilih untuk memenuhi pesanan. Sebaliknya, data outlet Merchant (nama, alamat, jam operasional, rating) ditampilkan kepada Konsumen. Merchant terikat perjanjian kemitraan digital dan tidak diperkenankan menggunakan data untuk tujuan di luar pemenuhan pesanan.
8.2. Payment Gateway (Berlisensi Bank Indonesia)
Data transaksi diproses oleh mitra payment gateway berlisensi Bank Indonesia yang menangani penerimaan pembayaran QRIS serta pencairan saldo Merchant. WACCA tidak menerima maupun menyimpan data sensitif kartu (nomor kartu lengkap, CVV, PIN) atau nomor rekening bank Merchant di aplikasi. Mitra gateway tunduk pada standar keamanan PCI-DSS dan regulasi Bank Indonesia.
8.3. Firebase (Google LLC)
Aplikasi mobile WACCA menggunakan layanan Firebase dari Google LLC untuk fungsi berikut:
- Firebase Authentication — jika Pengguna memilih login dengan Google Sign-In, otentikasi diproses melalui Firebase Auth.
- Firebase Cloud Messaging (FCM) — pengiriman notifikasi push. Token FCM disimpan di perangkat dan diregistrasikan ke server WACCA agar backend dapat mengirim notifikasi.
- Firebase Crashlytics — laporan kesalahan otomatis (crash log) pada versi produksi, untuk pemantauan stabilitas aplikasi. Data yang dikirim berupa stack trace, tipe perangkat, dan versi aplikasi — tidak memuat isi form atau data pribadi identitas.
Data yang diterima Firebase tunduk pada Kebijakan Privasi Google.
8.4. Google Maps API (Google LLC)
Peta ditampilkan menggunakan Google Maps SDK. Koordinat lokasi dan pola interaksi peta dapat diproses oleh Google LLC. Pengiriman data terjadi hanya saat fitur peta aktif digunakan Pengguna.
8.5. Google Analytics 4 (Situs Web)
Data analitik agregat pada situs wacca.ikavia.com diproses oleh Google Analytics 4 (Google LLC). Data dianonimisasi dan tidak berisi identitas langsung Pengguna. Pemrosesan hanya berjalan setelah persetujuan cookie eksplisit.
8.6. Layanan Media (Internal)
Foto dan lampiran diunggah ke layanan penyimpanan media internal yang dikelola PT. IKAVIA DIGITAL NUSANTARA. Akses terhadap media dibatasi berdasarkan konteks pesanan/pengguna terkait.
8.7. Otoritas Hukum
Data Pribadi dapat diungkapkan kepada aparat penegak hukum atau otoritas yang berwenang berdasarkan perintah pengadilan atau kewajiban hukum yang sah, sesuai UU PDP §15.
8.8. Penyedia Infrastruktur
Data dapat diproses oleh penyedia hosting, CDN, dan penyedia infrastruktur cloud yang seluruhnya terikat perjanjian pemrosesan data (Data Processing Agreement) dengan WACCA.
09Transfer Data Lintas Negara
Sebagian mitra layanan WACCA berkedudukan di luar wilayah Indonesia. Data yang mungkin diproses lintas negara mencakup:
- Firebase (Google LLC) — layanan Firebase Auth, Firebase Cloud Messaging, dan Firebase Crashlytics diproses di infrastruktur global Google (termasuk Amerika Serikat, Eropa, dan Asia).
- Google Maps API (Google LLC) — data interaksi peta dan koordinat lokasi dapat diproses di server global Google.
- Google Analytics 4 (Google LLC) — data analitik agregat situs web dapat diproses di server global Google.
- Google Sign-In (Google LLC) — apabila Pengguna login menggunakan akun Google, otentikasi diproses di server Google.
- Penyedia cloud infrastruktur — sebagian region dapat berlokasi di luar Indonesia.
Setiap transfer Data Pribadi lintas negara dilakukan dengan menerapkan pengamanan yang setara dengan tingkat perlindungan UU PDP, sesuai UU PDP §56 — termasuk melalui klausul kontraktual standar, sertifikasi standar internasional, atau mekanisme perlindungan lain yang diakui hukum yang berlaku.
11Keamanan Data
WACCA menerapkan langkah pengamanan teknis dan organisasi yang wajar untuk melindungi Data Pribadi dari akses, perubahan, pengungkapan, atau penghapusan yang tidak sah:
- Enkripsi in-transit — seluruh komunikasi melalui HTTPS/TLS 1.2 atau lebih tinggi
- Enkripsi at-rest — Data Pribadi sensitif dienkripsi pada database
- Kontrol akses — prinsip least-privilege, otentikasi multi-faktor untuk sistem internal
- Audit log — pencatatan seluruh akses terhadap Data Pribadi
- Pemisahan environment — data produksi terisolasi dari lingkungan development/staging
- Backup terenkripsi — dilakukan berkala dengan retensi terkontrol
- Uji keamanan berkala — vulnerability scanning dan penetration test
Meskipun demikian, tidak ada sistem yang 100% kebal terhadap ancaman. Pengguna dianjurkan menjaga kerahasiaan kredensial akun dan segera melapor apabila mencurigai adanya akses tidak sah.
12Hak Pengguna sesuai UU PDP
Sebagai Subjek Data Pribadi, Pengguna memiliki hak berikut sesuai UU PDP §5–15:
- Hak akses — meminta salinan Data Pribadi yang WACCA miliki
- Hak koreksi — memperbaiki data yang tidak akurat atau tidak lengkap
- Hak penghapusan — meminta penghapusan Data Pribadi (right to be forgotten)
- Hak pembatasan pemrosesan — meminta pembatasan penggunaan data
- Hak portabilitas — menerima Data Pribadi dalam format terstruktur untuk dipindahkan
- Hak menarik persetujuan — kapan saja untuk pemrosesan berbasis persetujuan
- Hak menolak pemrosesan otomatis — termasuk profiling
- Hak mengajukan keberatan & keluhan — kepada WACCA maupun otoritas pengawas
Untuk menggunakan hak tersebut, hubungi privacy@ikavia.com. Permintaan akan diverifikasi dan direspons paling lambat 14 hari kerja.
13Perlindungan Anak di Bawah Umur
Layanan WACCA ditujukan untuk pengguna berusia minimum 17 tahun (usia minimum kepemilikan KTP). Pengguna berusia di bawah 17 tahun hanya dapat menggunakan layanan dengan bimbingan dan persetujuan tertulis orang tua atau wali sah.
Apabila kami mengetahui adanya Data Pribadi anak di bawah umur yang terkumpul tanpa persetujuan wali yang sah, kami akan menghapusnya segera. Orang tua/wali dapat menghubungi privacy@ikavia.com untuk menyampaikan keberatan.
14Perubahan Kebijakan
Kebijakan ini dapat diperbarui sewaktu-waktu untuk mencerminkan perubahan layanan, regulasi, atau best practice keamanan. Setiap perubahan material akan diberitahukan melalui:
- Notifikasi in-app dan/atau email kepada Pengguna terdaftar
- Pengumuman di halaman ini dengan pembaruan tanggal "Terakhir diperbarui"
- Untuk perubahan yang mengubah tujuan pemrosesan secara mendasar — meminta persetujuan ulang
Riwayat versi kebijakan tersedia pada Bagian 17.
15Notifikasi Insiden Keamanan Data
Sesuai UU PDP §46, apabila terjadi insiden yang menyebabkan kegagalan perlindungan Data Pribadi (mis. kebocoran, akses tidak sah), WACCA akan:
- Memberitahukan Subjek Data terdampak paling lambat 72 jam sejak insiden diketahui, melalui email dan/atau in-app notification
- Melaporkan kepada Lembaga Perlindungan Data Pribadi (LPDP) sebagaimana diamanatkan UU PDP
- Menjelaskan sifat insiden, kategori data yang terdampak, potensi konsekuensi, dan langkah mitigasi yang telah/akan diambil
- Menyediakan kanal khusus (privacy@ikavia.com) untuk pertanyaan lebih lanjut
16Kontak Data Protection Officer (DPO)
Sesuai UU PDP §53, WACCA menetapkan pejabat pelindung Data Pribadi (DPO) yang bertanggung jawab atas kepatuhan pemrosesan Data Pribadi.
Data Protection Officer — PT. IKAVIA DIGITAL NUSANTARA
Email: privacy@ikavia.com
Alamat surat: DPO WACCA, PT. IKAVIA DIGITAL NUSANTARA, Gg. Randhim No. 165, RT 07/RW 05, Tirtonirmolo, Kec. Kasihan, Kabupaten Bantul, Daerah Istimewa Yogyakarta, Indonesia
Waktu respons: paling lambat 14 hari kerja untuk permintaan hak subjek data; 72 jam untuk laporan insiden keamanan.
Apabila Pengguna merasa hak Data Pribadinya belum ditangani dengan memuaskan, Pengguna berhak mengajukan pengaduan kepada Lembaga Perlindungan Data Pribadi (LPDP) Republik Indonesia.
17Riwayat Versi
| Versi | Tanggal Berlaku | Perubahan |
|---|---|---|
| 1.0 | 5 Juli 2026 | Versi awal — publikasi Kebijakan Privasi. |
| 1.1 | 6 Juli 2026 | Pembaruan alamat terdaftar Pengendali Data; penegasan QRIS sebagai satu-satunya metode pembayaran. |