Kebijakan Privasi

Kebijakan Privasi ini menjelaskan bagaimana PT coretAIx ("coretAIx", "kami", "kita") mengumpulkan, menggunakan, menyimpan, dan melindungi informasi pribadi Anda saat Anda menggunakan layanan coretAIx yang tersedia di coretaix.com ("Layanan").

coretAIx adalah alat bantuan pengisian SPT Tahunan berbasis kecerdasan buatan (AI). coretAIx BUKAN produk resmi Direktorat Jenderal Pajak (DJP) dan TIDAK terafiliasi dengan DJP, Kementerian Keuangan, atau pemerintah Republik Indonesia.

Dengan mengakses atau menggunakan Layanan kami, Anda menyetujui pengumpulan dan penggunaan informasi sesuai dengan Kebijakan Privasi ini. Jika Anda tidak setuju dengan kebijakan ini, harap tidak menggunakan Layanan kami.

Kebijakan ini disusun sesuai dengan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) Republik Indonesia.

Kami mengumpulkan beberapa jenis informasi untuk menyediakan dan meningkatkan Layanan:

2.1 Data Akun

• Alamat email
• Nama lengkap
• Hash kata sandi (dikelola oleh Supabase Auth menggunakan bcrypt; kami tidak pernah menyimpan kata sandi dalam bentuk teks biasa)

2.2 Data Profil Pajak

Kami TIDAK mengumpulkan atau menyimpan NPWP (Nomor Pokok Wajib Pajak) atau NIK (Nomor Induk Kependudukan) Anda. Alat pengecekan NPWP/NIK memproses data secara lokal di perangkat Anda dan tidak menyimpan data apa pun ke server kami.

• Status perkawinan
• Jumlah tanggungan
• Data penghasilan (penghasilan bruto, potongan, tunjangan)
• Jenis pekerjaan/usaha

2.3 Dokumen yang Diunggah

• Bukti Potong (1721-A1, 1721-A2, dll.)
• Catatan keuangan dan dokumen pajak lainnya
• Dokumen disimpan di Supabase Storage dengan kontrol akses tingkat baris (Row Level Security)

2.4 Percakapan dengan AI

• Semua pesan chat antara Anda dan asisten AI coretAIx
• Konteks profil pajak yang dikirim ke AI untuk menghasilkan jawaban yang dipersonalisasi

2.5 Data Analitik Penggunaan

• Halaman yang dikunjungi
• Fitur yang digunakan
• Jenis perangkat dan browser
• Alamat IP (dianonimkan)
• Waktu dan durasi sesi

2.6 Data Pembayaran

• Untuk pembayaran kartu/e-wallet: diproses sepenuhnya oleh Lemon Squeezy selaku Merchant of Record. Kami TIDAK menyimpan nomor kartu kredit, nomor kartu debit, atau detail rekening bank Anda.
• Untuk pembayaran cryptocurrency: alamat wallet pengirim, hash transaksi (TX hash), jumlah pembayaran, dan jenis mata uang kripto (BTC/ETH/USDT)

Kami menggunakan informasi yang dikumpulkan untuk tujuan berikut:

3.1 Menyediakan Bantuan AI Pajak

• Memproses pertanyaan Anda dan memberikan informasi pajak yang dipersonalisasi
• Menganalisis dokumen pajak yang Anda unggah
• Menghitung kewajiban pajak berdasarkan profil Anda

3.2 Personalisasi Perhitungan dan Rekomendasi Pajak

• Menyesuaikan kalkulator PPh 21 dan PPh UMKM berdasarkan data Anda
• Memberikan panduan pengisian SPT yang relevan dengan situasi Anda
• Menganalisis status NIHIL berdasarkan bukti potong Anda

3.3 Memproses Pembayaran

• Memproses langganan melalui Lemon Squeezy
• Memverifikasi pembayaran cryptocurrency
• Mengelola status langganan Anda

3.4 Meningkatkan Layanan Kami

• Menganalisis pola penggunaan untuk meningkatkan fitur
• Mengidentifikasi dan memperbaiki bug
• Mengembangkan fitur baru berdasarkan kebutuhan pengguna

3.5 Mengirim Pengingat Tenggat Waktu (dengan Persetujuan)

• Notifikasi tenggat waktu pelaporan SPT
• Pengingat pembayaran pajak
• Anda dapat menonaktifkan notifikasi ini kapan saja melalui pengaturan akun

Kami menerapkan langkah-langkah keamanan teknis dan organisasional yang sesuai untuk melindungi data Anda:

4.1 Infrastruktur Penyimpanan

• Semua data disimpan di Supabase yang dihosting di wilayah Singapura (Asia Tenggara)
• Supabase menggunakan PostgreSQL sebagai database dengan sertifikasi keamanan SOC 2 Type II

4.2 Enkripsi Data

• Kami TIDAK menyimpan NPWP atau NIK di server kami, sehingga tidak ada data identitas pemerintah yang perlu dienkripsi
• Semua data terenkripsi selama transmisi menggunakan HTTPS/TLS 1.3 (encryption in transit)

4.3 Kontrol Akses

• Row Level Security (RLS) diterapkan pada semua tabel database — setiap pengguna hanya dapat mengakses datanya sendiri
• Autentikasi menggunakan Supabase Auth dengan hash kata sandi bcrypt
• Token akses menggunakan JWT dengan masa berlaku terbatas

4.4 Keamanan Kata Sandi

• Kata sandi di-hash menggunakan bcrypt melalui Supabase Auth
• Kami tidak pernah menyimpan atau memiliki akses ke kata sandi Anda dalam bentuk teks biasa

4.5 Notifikasi Pelanggaran Data

Dalam hal terjadi pelanggaran data yang berdampak pada data pribadi Anda, kami berkomitmen untuk memberitahu Anda dan otoritas terkait dalam waktu 72 (tujuh puluh dua) jam setelah pelanggaran teridentifikasi, sesuai dengan ketentuan UU PDP.

Kami membagikan data Anda dengan pihak ketiga berikut secara terbatas dan hanya untuk tujuan yang diperlukan:

5.1 OpenAI

• Pesan chat dan konteks profil pajak Anda dikirim ke API OpenAI (GPT-5.2) untuk pemrosesan AI
• Data diproses sesuai dengan kebijakan penggunaan data OpenAI
• Kami TIDAK mengikutsertakan (opt-in) data Anda untuk pelatihan model AI OpenAI
• Perlu diketahui bahwa data yang dikirim ke OpenAI diproses di server OpenAI di luar Indonesia

5.2 Lemon Squeezy

• Memproses pembayaran kartu kredit, kartu debit, dan e-wallet
• Bertindak sebagai Merchant of Record (MoR) untuk transaksi pembayaran
• Tunduk pada kebijakan privasi Lemon Squeezy

5.3 CoinGecko

• Digunakan untuk API konversi harga mata uang kripto
• TIDAK ada data pribadi yang dikirim ke CoinGecko — hanya permintaan harga pasar

5.4 Supabase

• Penyedia infrastruktur database, autentikasi, dan penyimpanan file
• Data diproses sesuai dengan perjanjian pemrosesan data (DPA) Supabase

Kami TIDAK menjual, menyewakan, atau memperdagangkan data pribadi Anda kepada pihak ketiga untuk tujuan pemasaran atau tujuan lainnya.

Kami menyimpan data Anda sesuai dengan periode berikut:

6.1 Data Akun

• Disimpan selama akun Anda aktif
• Setelah penghapusan akun: semua data dihapus dalam waktu 30 (tiga puluh) hari

6.2 Riwayat Chat

• Disimpan selama akun Anda aktif
• Dihapus bersamaan dengan penghapusan akun

6.3 Dokumen Pajak

• Disimpan untuk tahun pajak berjalan dan satu tahun pajak sebelumnya
• Dokumen yang lebih lama dari periode tersebut dihapus secara otomatis

6.4 Data Analitik

• Dianonimkan setelah 12 (dua belas) bulan
• Data yang telah dianonimkan tidak dapat dikaitkan kembali dengan identitas Anda

6.5 Data Pembayaran

• Catatan transaksi disimpan sesuai dengan kewajiban hukum yang berlaku
• Data kartu pembayaran tidak pernah disimpan oleh kami (dikelola oleh Lemon Squeezy)

Berdasarkan UU PDP (Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi), Anda memiliki hak-hak berikut:

7.1 Hak Akses

• Anda berhak mengetahui dan mengakses data pribadi Anda yang kami simpan
• Anda dapat mengunduh data Anda melalui fitur ekspor di pengaturan akun

7.2 Hak Perbaikan

• Anda berhak memperbaiki data pribadi Anda yang tidak akurat atau tidak lengkap
• Perubahan dapat dilakukan melalui halaman pengaturan profil

7.3 Hak Penghapusan

• Anda berhak menghapus akun dan seluruh data pribadi Anda
• Penghapusan dapat dilakukan melalui pengaturan akun
• Semua data akan dihapus dalam waktu 30 hari setelah permintaan penghapusan

7.4 Hak Ekspor (Portabilitas Data)

• Anda berhak memperoleh salinan data pribadi Anda dalam format yang dapat dibaca mesin
• Fitur ekspor tersedia di pengaturan akun

7.5 Hak Penarikan Persetujuan

• Anda berhak menarik persetujuan pemrosesan data Anda kapan saja
• Penarikan persetujuan tidak memengaruhi keabsahan pemrosesan yang dilakukan sebelum penarikan
• Penarikan persetujuan dapat mengakibatkan Anda tidak dapat menggunakan sebagian atau seluruh Layanan

7.6 Hak Mengajukan Keberatan

• Anda berhak mengajukan keberatan atas pemrosesan data pribadi Anda
• Hubungi kami melalui informasi kontak di bawah untuk mengajukan keberatan

Untuk menggunakan hak-hak Anda, hubungi kami melalui email di privacy@coretaix.com.

8.1 Cookie yang Kami Gunakan

• Kami hanya menggunakan cookie esensial yang diperlukan untuk fungsi dasar Layanan
• Cookie sesi autentikasi Supabase digunakan untuk menjaga sesi login Anda

8.2 Cookie yang TIDAK Kami Gunakan

• Kami TIDAK menggunakan cookie pelacakan pihak ketiga
• Kami TIDAK menggunakan cookie iklan/periklanan
• Kami TIDAK menggunakan cookie analitik pihak ketiga

Karena kami hanya menggunakan cookie esensial yang diperlukan untuk fungsi Layanan, persetujuan terpisah untuk cookie tidak diperlukan.

Layanan kami tidak ditujukan untuk pengguna di bawah usia 17 (tujuh belas) tahun. Kami tidak secara sengaja mengumpulkan data pribadi dari anak-anak di bawah 17 tahun.

Jika Anda adalah orang tua atau wali dan mengetahui bahwa anak Anda telah memberikan data pribadi kepada kami, silakan hubungi kami. Jika kami mengetahui bahwa kami telah mengumpulkan data pribadi dari anak di bawah 17 tahun tanpa persetujuan orang tua, kami akan mengambil langkah-langkah untuk menghapus informasi tersebut dari server kami.

Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu. Perubahan akan berlaku efektif segera setelah kami memposting kebijakan yang diperbarui di halaman ini.

Kami akan memberitahu Anda tentang perubahan material melalui:

• Email notifikasi ke alamat email yang terdaftar
• Pemberitahuan di dalam aplikasi saat Anda login

Kami mendorong Anda untuk meninjau Kebijakan Privasi ini secara berkala. Penggunaan Layanan yang berkelanjutan setelah perubahan dianggap sebagai penerimaan Anda terhadap kebijakan yang telah diperbarui.

Tanggal "Terakhir diperbarui" di bagian atas halaman ini menunjukkan kapan revisi terakhir dilakukan.

Jika Anda memiliki pertanyaan, kekhawatiran, atau permintaan terkait Kebijakan Privasi ini atau penanganan data pribadi Anda, silakan hubungi kami:

• Email: privacy@coretaix.com
• Situs Web: coretaix.com

Untuk permintaan terkait hak data pribadi Anda berdasarkan UU PDP, kami akan merespons dalam waktu 14 (empat belas) hari kerja setelah menerima permintaan Anda.