auth.my.id ("kami", "kita") dioperasikan oleh perorangan Arif Puji Nugroho dan menyediakan layanan Single Sign-On (SSO) berbasis protokol OAuth 2.0, OpenID Connect, serta dukungan passwordless via WebAuthn. Kebijakan Privasi ini menjelaskan secara rinci bagaimana kami mengumpulkan, menggunakan, menyimpan, membagikan, dan melindungi informasi pribadi Anda saat Anda:
Dengan mengakses atau menggunakan Layanan, Anda menyetujui praktik yang dijelaskan dalam kebijakan ini. Jika Anda tidak setuju, mohon jangan gunakan Layanan.
Kebijakan ini dirancang untuk mematuhi:
| Istilah | Arti |
|---|---|
| Data Pribadi | Informasi apa pun yang berkaitan dengan individu teridentifikasi atau dapat diidentifikasi, termasuk email, nama, foto, alamat IP, dan pengidentifikasi unik lainnya. |
| Pemrosesan | Operasi apa pun yang dilakukan pada Data Pribadi (pengumpulan, perekaman, penyimpanan, penggunaan, pengungkapan, penghapusan). |
| Pengendali Data | Entitas yang menentukan tujuan dan cara pemrosesan Data Pribadi. auth.my.id adalah Pengendali Data untuk data akun Anda. |
| Pemroses Data | Pihak ketiga yang memproses Data Pribadi atas nama Pengendali Data (mis. penyedia hosting, OAuth provider). |
| Subjek Data | Anda โ individu yang Data Pribadinya diproses. |
| IdP (Identity Provider) | Layanan yang mengautentikasi pengguna dan mengeluarkan token untuk aplikasi pihak ketiga. auth.my.id berperan sebagai IdP. |
| Relying Party (RP) | Aplikasi pihak ketiga yang menerima token dari auth.my.id untuk memverifikasi identitas Anda. |
| WebAuthn | Standar W3C untuk autentikasi passwordless (sidik jari, Face ID, kunci keamanan). Kunci privat tetap berada di perangkat Anda โ server hanya menyimpan kunci publik. |
| Jenis Data | Contoh | Wajib? | Tujuan |
|---|---|---|---|
| Nama Lengkap | Andi Saputra | โ Ya | Identitas di profil, ditampilkan ke aplikasi yang Anda masuki |
| Alamat Email | [email protected] | โ Ya | Login, verifikasi, notifikasi, pemulihan akun |
| Username | andi.saputra | โช Opsional | Pengenal alternatif selain email |
| Kata Sandi | (di-hash bcrypt/argon2, tidak pernah disimpan plain-text) | โ Ya | Otentikasi |
| Foto Profil | avatar.jpg / .png / .svg | โช Opsional | Identitas visual di profil & aplikasi |
| Data Biometrik (WebAuthn) | Sidik jari / Face ID โ disimpan hanya di perangkat Anda | โช Opsional | Login tanpa kata sandi |
Kami TIDAK meminta: nomor telepon, KTP, kartu kredit, rekening bank, alamat rumah, tanggal lahir, atau informasi sensitif lainnya.
Saat Anda masuk menggunakan provider eksternal, kami menerima data berikut sesuai cakupan yang Anda setujui di layar consent provider:
| Provider | Data yang kami terima |
|---|---|
| Google, Yahoo, Microsoft, Yandex, Zoho, Infomaniak | Email, nama, foto profil (sesuai scope openid email profile) |
| GitHub, GitLab | Email (jika dipublikasikan), username, nama, foto |
| Discord, Reddit, Line, Telegram, Foursquare, Strava, Coursera, Notion, Netlify | Email (jika tersedia), username, nama, foto |
Kami tidak mem-posting, mengirim pesan, atau melakukan aksi atas nama Anda di provider tersebut. Kami hanya menerima token akses & profil dasar untuk memverifikasi identitas Anda.
| Jenis Data | Sumber | Disimpan? |
|---|---|---|
| Alamat IP | Setiap permintaan HTTP | โ 30 hari (log), atau sampai akun dihapus (log akun) |
| User-Agent | Header HTTP browser/klien | โ 30 hari |
| URL Referrer | Header HTTP | โ 30 hari |
| Timestamp aktivitas | Server | โ Sesuai retensi (lihat ยง11) |
| Device fingerprint (WebAuthn) | Cookie IdentificationDevice | โ 30 hari |
Sistem kami secara otomatis mencatat log untuk operasional, keamanan, dan audit:
Jika Anda menghubungi kami via email ([email protected]) atau Telegram bot dukungan, kami menyimpan isi komunikasi tersebut selama maksimal 2 tahun setelah tiket ditutup untuk keperluan dukungan & audit.
Saat Anda mendaftar, login, mengunggah foto profil, mendaftarkan WebAuthn, mengubah pengaturan, atau menghubungi dukungan.
Log server, log OAuth, dan log aktivitas dikumpulkan otomatis oleh infrastruktur kami selama operasi normal.
Saat Anda memilih login via Google/GitHub/dll, kami menerima data profil sesuai scope yang Anda setujui. Tanggung jawab privasi data di provider tersebut berada pada masing-masing provider โ bukan pada kami.
| Dasar Hukum (UU PDP/GDPR) | Jenis Data | Tujuan |
|---|---|---|
| Kontrak / Persetujuan Eksplisit | Email, nama, password hash, kredensial WebAuthn publik | Menyediakan layanan autentikasi |
| Kepentingan Sah | Log server, log OAuth, log aktivitas | Keamanan, deteksi penyalahgunaan, audit |
| Persetujuan | Cookies analitik (Google Analytics), foto profil | Statistik penggunaan, personalisasi |
| Kewajiban Hukum | Data yang relevan dengan permintaan aparat | Mematuhi hukum yang berlaku |
Kami menggunakan Data Pribadi Anda eksklusif untuk:
auth.my.id bertindak sebagai Authorization Server (Laravel Passport). Saat aplikasi pihak ketiga meminta Anda login:
Token OAuth disimpan terenkripsi (Laravel Passport) dan otomatis kedaluwarsa sesuai konfigurasi. Anda dapat mencabut token aplikasi kapan saja dari dashboard akun Anda.
Saat ini auth.my.id mendukung login via:
Google, Yahoo, Microsoft, Yandex, GitHub, GitLab, Discord, Reddit, Line, Telegram, Notion, Netlify, Zoho, Infomaniak, Coursera, Strava, Foursquare.
Setiap provider memiliki kebijakan privasi sendiri. Anda disarankan untuk meninjaunya sebelum menggunakan provider tersebut.
Fitur QR Login menggunakan token sekali pakai (one-time token) yang kedaluwarsa dalam 5 menit. Fitur PIN menggunakan PIN 6-digit lokal yang di-hash (bcrypt/argon2) โ hanya Anda yang mengetahui PIN asli.
| Cookie / Storage | Tipe | Durasi | Tujuan |
|---|---|---|---|
XSRF-TOKEN | Esensial | Sesi | Proteksi CSRF (Laravel default) |
auth_session | Esensial | Sesi / 2 jam | Menjaga Anda tetap login |
IdentificationDevice | Esensial | 30 hari | WebAuthn device binding |
remember_web_* | Preferensi | 5 tahun | Fitur "Ingat saya" |
_ga, _ga_* | Analitik | 2 tahun | Google Analytics โ lihat ยง8.3 |
cf_clearance | Esensial | 30 hari | Cloudflare Turnstile / Bot Management |
Kami menggunakan Google Analytics 4 (ID: G-YBLSZC8EJR) untuk mengukur trafik anonim: halaman yang dikunjungi, durasi sesi, perkiraan geolokasi (tingkat negara/kota), jenis perangkat. Data ini digunakan untuk memperbaiki layanan.
Anda dapat opt-out dengan:
Pada lingkungan produksi, halaman login & registrasi dapat menggunakan Google reCAPTCHA v3 untuk mitigasi bot. reCAPTCHA mengumpulkan data perilaku (mouse movement, interaksi) dan mengirimkannya ke Google. Kami tidak menerima isi data tersebut, hanya skor risiko (0.0โ1.0).
Berikut adalah daftar pihak ketiga yang menangani Data Pribadi atas nama kami:
| Penyedia | Fungsi | Data yang Dibagikan | Lokasi Server |
|---|---|---|---|
| Laravel Passport (self-hosted) | OAuth2 / OIDC server | Token, client_id, scope | Server kami sendiri (lihat ยง10) |
| MySQL / MariaDB (self-hosted) | Database | Akun, log, OAuth metadata | Server kami sendiri |
| Cloudflare | DNS, CDN, DDoS protection, Turnstile | Alamat IP, User-Agent | Global edge |
| Google Analytics | Analitik trafik anonim | Perilaku anonim di situs | Global |
| Google reCAPTCHA (opsional) | Anti-bot | Skor risiko | Global |
| Google, Yahoo, Microsoft, Yandex, GitHub, GitLab, Discord, Reddit, Line, Telegram, Notion, Netlify, Zoho, Infomaniak, Coursera, Strava, Foursquare | Social login (IdP upstream) | Profil publik (email, nama, foto sesuai scope) | Per provider |
| Pusher | Realtime websocket notifikasi | Event notifikasi (tanpa isi pesan) | Global (region configurable) |
| Telegram Bot API | Bot interaksi (opsional) | Telegram user ID, chat ID, pesan yang Anda kirim ke bot | Global (Telegram) |
Kami akan memberitahu Anda melalui email minimal 14 hari sebelum menambahkan atau mengganti sub-prosesor material.
Server aplikasi dan database auth.my.id berlokasi di wilayah Asia-Pasifik (sesuai informasi di arif.id). Untuk transfer data lintas-region, lihat ยง16.
bcrypt (cost 12) atau argon2id โ password tidak pernah disimpan plain-text.| Jenis Data | Periode Retensi | Kebijakan Penghapusan |
|---|---|---|
| Data Akun (email, nama, password hash) | Selama akun aktif | Dihapus permanen dalam 30 hari setelah akun dihapus |
| Foto Profil | Selama akun aktif | Dihapus bersamaan dengan akun |
| Kredensial WebAuthn publik | Selama akun aktif | Dihapus ketika Anda unregister device |
| OAuth Access Token & Refresh Token | Sesuai TTL (default 1 tahun, refresh sliding) | Dihapus otomatis saat kedaluwarsa / revoke |
| Log OAuth (log_oauths) | 90 hari | Rolling window otomatis |
| Log Akun (log_accounts) | 1 tahun | Rolling window otomatis |
| Log Aktivitas (log_activities) | 90 hari | Rolling window otomatis |
| Log Data (log_data) | 180 hari | Rolling window otomatis |
| Log Server (IP, User-Agent) | 30 hari | Rotasi log otomatis |
| Email dukungan | 2 tahun | Dihapus 2 tahun setelah tiket ditutup |
| Data Analytics (Google Analytics) | 14 bulan (default GA4) | Otomatis oleh Google |
Kami menerapkan langkah-langkah keamanan teknis dan organisasional untuk melindungi Data Pribadi Anda:
Meskipun kami menerapkan langkah-langkah di atas, tidak ada metode transmisi atau penyimpanan elektronik yang 100% aman. Kami tidak dapat menjamin keamanan absolut.
Dalam hal terjadi pelanggaran data yang melibatkan Data Pribadi Anda, kami akan:
Sesuai UU No. 27 Tahun 2022, Anda memiliki hak untuk:
| Hak | Pasal | Deskripsi |
|---|---|---|
| Akses | Art. 15 | Meminta salinan Data Pribadi yang kami miliki |
| Perbaikan | Art. 16 | Memperbaiki data yang tidak akurat |
| Penghapusan | Art. 17 | "Hak untuk Dilupakan" |
| Pembatasan | Art. 18 | Membatasi pemrosesan dalam kondisi tertentu |
| Portabilitas | Art. 20 | Menerima data dalam format terstruktur (JSON / CSV) |
| Keberatan | Art. 21 | Keberatan atas pemrosesan berbasis kepentingan sah |
| Penarikan Persetujuan | Art. 7 | Kapan saja, tanpa memengaruhi keabsahan pemrosesan sebelumnya |
Kirim permintaan ke [email protected] dengan subjek "Data Request" atau "Permintaan Data". Sertakan:
Kami akan merespons dalam 30 hari kalender (sesuai GDPR). Permintaan kompleks dapat diperpanjang hingga 60 hari dengan pemberitahuan. Verifikasi identitas mungkin diperlukan.
Server utama kami berlokasi di Asia-Pasifik. Namun, karena sifat global internet, Data Pribadi Anda dapat ditransfer ke:
Untuk transfer ke AS, kami mengandalkan keputusan adequacy EU-US Data Privacy Framework (atau Standard Contractual Clauses jika tidak tercakup). Dengan menggunakan Layanan, Anda menyetujui transfer lintas batas yang diperlukan untuk operasional.
auth.my.id tidak ditujukan untuk anak di bawah 13 tahun (atau 16 tahun di yurisdiksi UE sesuai GDPR). Kami tidak secara sadar mengumpulkan Data Pribadi dari anak-anak.
Jika Anda orang tua/wali dan yakin anak Anda telah memberikan Data Pribadi kepada kami, hubungi [email protected]. Kami akan menghapus data dalam 48 jam setelah verifikasi.
Tanggal "Terakhir diperbarui" di bagian atas menunjukkan versi terbaru. Versi sebelumnya tersedia berdasarkan permintaan.
| Item | Detail |
|---|---|
| Pengendali Data | Arif Puji Nugroho (perorangan) |
| Merek Layanan | auth.my.id โ Autentikasi Satu Pintu |
| Email Kontak | [email protected] |
| Website | arif.id |
| Waktu Respons | 7 hari kerja (umum); 30 hari untuk permintaan data |
| Bahasa Komunikasi | Bahasa Indonesia, English |
Untuk pertanyaan privasi, gunakan subjek email "[PRIVACY]" agar lebih cepat diproses.
Jika Anda yakin pemrosesan Data Pribadi Anda melanggar hukum, Anda berhak mengajukan keluhan ke otoritas pengawas:
Kami mendorong Anda untuk menghubungi kami terlebih dahulu agar kami dapat menyelesaikan masalah secara langsung.
© 2026 Arif Puji Nugroho · auth.my.id
Syarat & Ketentuan ·
Beranda