Kebijakan Privasi

Versi 2.0 · Terakhir diperbarui: 16 Juni 2026 · Berlaku efektif: 16 Juni 2026
Menggantikan seluruh versi sebelumnya. Riwayat versi tersedia atas permintaan ke [email protected].
Ringkasan singkat: auth.my.id adalah layanan Single Sign-On (OAuth2) yang mengautentikasi Anda untuk berbagai aplikasi pihak ketiga. Kami hanya menyimpan data yang diperlukan untuk memberikan layanan ini (akun, kredensial ter-hash, token OAuth, log aktivitas). Kami tidak menjual data Anda. Anda dapat menghapus akun dan seluruh data terkait kapan saja.

๐Ÿ“‘ Daftar Isi

  1. Pendahuluan & Cakupan
  2. Definisi
  3. Data yang Kami Kumpulkan
  4. Cara Kami Mengumpulkan Data
  5. Dasar Hukum Pemrosesan
  6. Tujuan Penggunaan Data
  7. Otentikasi OAuth & WebAuthn
  8. Cookies & Teknologi Pelacakan
  9. Layanan Pihak Ketiga
  10. Penyimpanan & Enkripsi
  11. Periode Retensi Data
  12. Keamanan Data
  13. Notifikasi Pelanggaran Data
  14. Hak-Hak Anda (UU PDP, GDPR, CCPA)
  15. Cara Menggunakan Hak Anda
  16. Transfer Data Internasional
  17. Privasi Anak
  18. Perubahan Kebijakan
  19. Identitas Pengendali Data & Kontak
  20. Otoritas Pengawas

1. Pendahuluan & Cakupan

auth.my.id ("kami", "kita") dioperasikan oleh perorangan Arif Puji Nugroho dan menyediakan layanan Single Sign-On (SSO) berbasis protokol OAuth 2.0, OpenID Connect, serta dukungan passwordless via WebAuthn. Kebijakan Privasi ini menjelaskan secara rinci bagaimana kami mengumpulkan, menggunakan, menyimpan, membagikan, dan melindungi informasi pribadi Anda saat Anda:

Dengan mengakses atau menggunakan Layanan, Anda menyetujui praktik yang dijelaskan dalam kebijakan ini. Jika Anda tidak setuju, mohon jangan gunakan Layanan.

Kebijakan ini dirancang untuk mematuhi:

2. Definisi

IstilahArti
Data PribadiInformasi apa pun yang berkaitan dengan individu teridentifikasi atau dapat diidentifikasi, termasuk email, nama, foto, alamat IP, dan pengidentifikasi unik lainnya.
PemrosesanOperasi apa pun yang dilakukan pada Data Pribadi (pengumpulan, perekaman, penyimpanan, penggunaan, pengungkapan, penghapusan).
Pengendali DataEntitas yang menentukan tujuan dan cara pemrosesan Data Pribadi. auth.my.id adalah Pengendali Data untuk data akun Anda.
Pemroses DataPihak ketiga yang memproses Data Pribadi atas nama Pengendali Data (mis. penyedia hosting, OAuth provider).
Subjek DataAnda โ€” individu yang Data Pribadinya diproses.
IdP (Identity Provider)Layanan yang mengautentikasi pengguna dan mengeluarkan token untuk aplikasi pihak ketiga. auth.my.id berperan sebagai IdP.
Relying Party (RP)Aplikasi pihak ketiga yang menerima token dari auth.my.id untuk memverifikasi identitas Anda.
WebAuthnStandar W3C untuk autentikasi passwordless (sidik jari, Face ID, kunci keamanan). Kunci privat tetap berada di perangkat Anda โ€” server hanya menyimpan kunci publik.

3. Data yang Kami Kumpulkan

3.1 Data Akun (diberikan langsung oleh Anda)

Jenis DataContohWajib?Tujuan
Nama LengkapAndi Saputraโœ… YaIdentitas di profil, ditampilkan ke aplikasi yang Anda masuki
Alamat Email[email protected]โœ… YaLogin, verifikasi, notifikasi, pemulihan akun
Usernameandi.saputraโšช OpsionalPengenal alternatif selain email
Kata Sandi(di-hash bcrypt/argon2, tidak pernah disimpan plain-text)โœ… YaOtentikasi
Foto Profilavatar.jpg / .png / .svgโšช OpsionalIdentitas visual di profil & aplikasi
Data Biometrik (WebAuthn)Sidik jari / Face ID โ€” disimpan hanya di perangkat Andaโšช OpsionalLogin tanpa kata sandi

Kami TIDAK meminta: nomor telepon, KTP, kartu kredit, rekening bank, alamat rumah, tanggal lahir, atau informasi sensitif lainnya.

3.2 Data OAuth (ketika Anda login via pihak ketiga)

Saat Anda masuk menggunakan provider eksternal, kami menerima data berikut sesuai cakupan yang Anda setujui di layar consent provider:

ProviderData yang kami terima
Google, Yahoo, Microsoft, Yandex, Zoho, InfomaniakEmail, nama, foto profil (sesuai scope openid email profile)
GitHub, GitLabEmail (jika dipublikasikan), username, nama, foto
Discord, Reddit, Line, Telegram, Foursquare, Strava, Coursera, Notion, NetlifyEmail (jika tersedia), username, nama, foto

Kami tidak mem-posting, mengirim pesan, atau melakukan aksi atas nama Anda di provider tersebut. Kami hanya menerima token akses & profil dasar untuk memverifikasi identitas Anda.

3.3 Data Teknis (dikumpulkan otomatis)

Jenis DataSumberDisimpan?
Alamat IPSetiap permintaan HTTPโœ… 30 hari (log), atau sampai akun dihapus (log akun)
User-AgentHeader HTTP browser/klienโœ… 30 hari
URL ReferrerHeader HTTPโœ… 30 hari
Timestamp aktivitasServerโœ… Sesuai retensi (lihat ยง11)
Device fingerprint (WebAuthn)Cookie IdentificationDeviceโœ… 30 hari

3.4 Data Log Aktivitas & Log Akun

Sistem kami secara otomatis mencatat log untuk operasional, keamanan, dan audit:

3.5 Data Komunikasi

Jika Anda menghubungi kami via email ([email protected]) atau Telegram bot dukungan, kami menyimpan isi komunikasi tersebut selama maksimal 2 tahun setelah tiket ditutup untuk keperluan dukungan & audit.

3.6 Data yang Secara Eksplisit TIDAK Kami Kumpulkan

4. Cara Kami Mengumpulkan Data

4.1 Langsung dari Anda

Saat Anda mendaftar, login, mengunggah foto profil, mendaftarkan WebAuthn, mengubah pengaturan, atau menghubungi dukungan.

4.2 Secara Otomatis

Log server, log OAuth, dan log aktivitas dikumpulkan otomatis oleh infrastruktur kami selama operasi normal.

4.3 Dari Pihak Ketiga (OAuth Providers)

Saat Anda memilih login via Google/GitHub/dll, kami menerima data profil sesuai scope yang Anda setujui. Tanggung jawab privasi data di provider tersebut berada pada masing-masing provider โ€” bukan pada kami.

5. Dasar Hukum Pemrosesan

Dasar Hukum (UU PDP/GDPR)Jenis DataTujuan
Kontrak / Persetujuan EksplisitEmail, nama, password hash, kredensial WebAuthn publikMenyediakan layanan autentikasi
Kepentingan SahLog server, log OAuth, log aktivitasKeamanan, deteksi penyalahgunaan, audit
PersetujuanCookies analitik (Google Analytics), foto profilStatistik penggunaan, personalisasi
Kewajiban HukumData yang relevan dengan permintaan aparatMematuhi hukum yang berlaku

6. Tujuan Penggunaan Data

Kami menggunakan Data Pribadi Anda eksklusif untuk:

Komitmen: Kami TIDAK PERNAH menjual Data Pribadi Anda. Tidak kepada pengiklan, broker data, atau pihak ketiga mana pun. Model bisnis kami tidak bergantung pada penjualan data.

7. Otentikasi OAuth & WebAuthn

7.1 OAuth 2.0 & OpenID Connect

auth.my.id bertindak sebagai Authorization Server (Laravel Passport). Saat aplikasi pihak ketiga meminta Anda login:

  1. Anda diarahkan ke auth.my.id dan memilih metode login;
  2. Anda memasukkan kredensial dan menyetujui scope yang diminta aplikasi;
  3. Setelah berhasil, auth.my.id mengembalikan authorization code ke aplikasi;
  4. Aplikasi menukar code dengan access token & refresh token.

Token OAuth disimpan terenkripsi (Laravel Passport) dan otomatis kedaluwarsa sesuai konfigurasi. Anda dapat mencabut token aplikasi kapan saja dari dashboard akun Anda.

7.2 Social Login โ€” Daftar Provider

Saat ini auth.my.id mendukung login via:

Google, Yahoo, Microsoft, Yandex, GitHub, GitLab, Discord, Reddit, Line, Telegram, Notion, Netlify, Zoho, Infomaniak, Coursera, Strava, Foursquare.

Setiap provider memiliki kebijakan privasi sendiri. Anda disarankan untuk meninjaunya sebelum menggunakan provider tersebut.

7.3 WebAuthn (Login Biometrik / Passwordless)

โš ๏ธ Penting tentang data biometrik: Data biometrik Anda (sidik jari, Face ID, pattern device) TIDAK PERNAH dikirim ke server kami atau pihak mana pun. Standar WebAuthn menjamin kunci privat tetap berada di authenticator perangkat Anda (TPM / Secure Enclave). Server kami hanya menyimpan public key credential yang tidak dapat dikonversi kembali menjadi data biometrik.

7.4 QR Login & PIN

Fitur QR Login menggunakan token sekali pakai (one-time token) yang kedaluwarsa dalam 5 menit. Fitur PIN menggunakan PIN 6-digit lokal yang di-hash (bcrypt/argon2) โ€” hanya Anda yang mengetahui PIN asli.

8. Cookies & Teknologi Pelacakan

8.1 Cookies yang Kami Gunakan

Cookie / StorageTipeDurasiTujuan
XSRF-TOKENEsensialSesiProteksi CSRF (Laravel default)
auth_sessionEsensialSesi / 2 jamMenjaga Anda tetap login
IdentificationDeviceEsensial30 hariWebAuthn device binding
remember_web_*Preferensi5 tahunFitur "Ingat saya"
_ga, _ga_*Analitik2 tahunGoogle Analytics โ€” lihat ยง8.3
cf_clearanceEsensial30 hariCloudflare Turnstile / Bot Management

8.2 Teknologi yang TIDAK Kami Gunakan

8.3 Google Analytics

Kami menggunakan Google Analytics 4 (ID: G-YBLSZC8EJR) untuk mengukur trafik anonim: halaman yang dikunjungi, durasi sesi, perkiraan geolokasi (tingkat negara/kota), jenis perangkat. Data ini digunakan untuk memperbaiki layanan.

Anda dapat opt-out dengan:

8.4 Google reCAPTCHA (Opsional)

Pada lingkungan produksi, halaman login & registrasi dapat menggunakan Google reCAPTCHA v3 untuk mitigasi bot. reCAPTCHA mengumpulkan data perilaku (mouse movement, interaksi) dan mengirimkannya ke Google. Kami tidak menerima isi data tersebut, hanya skor risiko (0.0โ€“1.0).

9. Layanan Pihak Ketiga (Sub-prosesor)

Berikut adalah daftar pihak ketiga yang menangani Data Pribadi atas nama kami:

PenyediaFungsiData yang DibagikanLokasi Server
Laravel Passport (self-hosted)OAuth2 / OIDC serverToken, client_id, scopeServer kami sendiri (lihat ยง10)
MySQL / MariaDB (self-hosted)DatabaseAkun, log, OAuth metadataServer kami sendiri
CloudflareDNS, CDN, DDoS protection, TurnstileAlamat IP, User-AgentGlobal edge
Google AnalyticsAnalitik trafik anonimPerilaku anonim di situsGlobal
Google reCAPTCHA (opsional)Anti-botSkor risikoGlobal
Google, Yahoo, Microsoft, Yandex, GitHub, GitLab, Discord, Reddit, Line, Telegram, Notion, Netlify, Zoho, Infomaniak, Coursera, Strava, FoursquareSocial login (IdP upstream)Profil publik (email, nama, foto sesuai scope)Per provider
PusherRealtime websocket notifikasiEvent notifikasi (tanpa isi pesan)Global (region configurable)
Telegram Bot APIBot interaksi (opsional)Telegram user ID, chat ID, pesan yang Anda kirim ke botGlobal (Telegram)

Kami akan memberitahu Anda melalui email minimal 14 hari sebelum menambahkan atau mengganti sub-prosesor material.

10. Penyimpanan & Enkripsi

10.1 Lokasi Server

Server aplikasi dan database auth.my.id berlokasi di wilayah Asia-Pasifik (sesuai informasi di arif.id). Untuk transfer data lintas-region, lihat ยง16.

10.2 Enkripsi

11. Periode Retensi Data

Jenis DataPeriode RetensiKebijakan Penghapusan
Data Akun (email, nama, password hash)Selama akun aktifDihapus permanen dalam 30 hari setelah akun dihapus
Foto ProfilSelama akun aktifDihapus bersamaan dengan akun
Kredensial WebAuthn publikSelama akun aktifDihapus ketika Anda unregister device
OAuth Access Token & Refresh TokenSesuai TTL (default 1 tahun, refresh sliding)Dihapus otomatis saat kedaluwarsa / revoke
Log OAuth (log_oauths)90 hariRolling window otomatis
Log Akun (log_accounts)1 tahunRolling window otomatis
Log Aktivitas (log_activities)90 hariRolling window otomatis
Log Data (log_data)180 hariRolling window otomatis
Log Server (IP, User-Agent)30 hariRotasi log otomatis
Email dukungan2 tahunDihapus 2 tahun setelah tiket ditutup
Data Analytics (Google Analytics)14 bulan (default GA4)Otomatis oleh Google

12. Keamanan Data

Kami menerapkan langkah-langkah keamanan teknis dan organisasional untuk melindungi Data Pribadi Anda:

Meskipun kami menerapkan langkah-langkah di atas, tidak ada metode transmisi atau penyimpanan elektronik yang 100% aman. Kami tidak dapat menjamin keamanan absolut.

13. Notifikasi Pelanggaran Data

Dalam hal terjadi pelanggaran data yang melibatkan Data Pribadi Anda, kami akan:

  1. Memberi tahu Anda melalui email terdaftar dalam maksimal 72 jam setelah kami mengetahui pelanggaran (sesuai GDPR / praktik terbaik industri);
  2. Menjelaskan sifat pelanggaran, data yang terdampak, dan langkah-langkah mitigasi;
  3. Memberikan rekomendasi langkah yang dapat Anda ambil untuk melindungi diri (mis. ganti kata sandi, cabut token OAuth);
  4. Melaporkan ke otoritas perlindungan data yang relevan jika diwajibkan oleh hukum.

14. Hak-Hak Anda

14.1 Hak Berdasarkan UU PDP Indonesia

Sesuai UU No. 27 Tahun 2022, Anda memiliki hak untuk:

  1. Memperoleh informasi tentang pemrosesan Data Pribadi Anda (ยง14.1 ini);
  2. Memperbaiki Data Pribadi yang tidak akurat / tidak lengkap;
  3. Mengakhiri pemrosesan, menghapus, atau memusnahkan Data Pribadi;
  4. Menarik kembali persetujuan yang sebelumnya Anda berikan;
  5. Mengajukan keberatan atas pemrosesan yang didasarkan pada kepentingan sah;
  6. Mendapatkan ganti rugi atas pelanggaran pemrosesan Data Pribadi.

14.2 Hak Berdasarkan GDPR (Pengguna UE/EEA)

HakPasalDeskripsi
AksesArt. 15Meminta salinan Data Pribadi yang kami miliki
PerbaikanArt. 16Memperbaiki data yang tidak akurat
PenghapusanArt. 17"Hak untuk Dilupakan"
PembatasanArt. 18Membatasi pemrosesan dalam kondisi tertentu
PortabilitasArt. 20Menerima data dalam format terstruktur (JSON / CSV)
KeberatanArt. 21Keberatan atas pemrosesan berbasis kepentingan sah
Penarikan PersetujuanArt. 7Kapan saja, tanpa memengaruhi keabsahan pemrosesan sebelumnya

14.3 Hak Berdasarkan CCPA (Pengguna California)

15. Cara Menggunakan Hak Anda

15.1 Swalayan (Direkomendasikan)

15.2 Melalui Email

Kirim permintaan ke [email protected] dengan subjek "Data Request" atau "Permintaan Data". Sertakan:

Kami akan merespons dalam 30 hari kalender (sesuai GDPR). Permintaan kompleks dapat diperpanjang hingga 60 hari dengan pemberitahuan. Verifikasi identitas mungkin diperlukan.

16. Transfer Data Internasional

Server utama kami berlokasi di Asia-Pasifik. Namun, karena sifat global internet, Data Pribadi Anda dapat ditransfer ke:

Untuk transfer ke AS, kami mengandalkan keputusan adequacy EU-US Data Privacy Framework (atau Standard Contractual Clauses jika tidak tercakup). Dengan menggunakan Layanan, Anda menyetujui transfer lintas batas yang diperlukan untuk operasional.

17. Privasi Anak

auth.my.id tidak ditujukan untuk anak di bawah 13 tahun (atau 16 tahun di yurisdiksi UE sesuai GDPR). Kami tidak secara sadar mengumpulkan Data Pribadi dari anak-anak.

Jika Anda orang tua/wali dan yakin anak Anda telah memberikan Data Pribadi kepada kami, hubungi [email protected]. Kami akan menghapus data dalam 48 jam setelah verifikasi.

18. Perubahan Kebijakan

Tanggal "Terakhir diperbarui" di bagian atas menunjukkan versi terbaru. Versi sebelumnya tersedia berdasarkan permintaan.

19. Identitas Pengendali Data & Kontak

ItemDetail
Pengendali DataArif Puji Nugroho (perorangan)
Merek Layananauth.my.id โ€” Autentikasi Satu Pintu
Email Kontak[email protected]
Websitearif.id
Waktu Respons7 hari kerja (umum); 30 hari untuk permintaan data
Bahasa KomunikasiBahasa Indonesia, English

Untuk pertanyaan privasi, gunakan subjek email "[PRIVACY]" agar lebih cepat diproses.

20. Otoritas Pengawas

Jika Anda yakin pemrosesan Data Pribadi Anda melanggar hukum, Anda berhak mengajukan keluhan ke otoritas pengawas:

Kami mendorong Anda untuk menghubungi kami terlebih dahulu agar kami dapat menyelesaikan masalah secara langsung.


© 2026 Arif Puji Nugroho · auth.my.id
Syarat & Ketentuan · Beranda