Perjanjian Pemrosesan Data

"Pengendali" berarti orang perseorangan yang membuat dan memiliki data di dalam brankas Clavitor Anda. Anda selalu menjadi Pengendali kredensial dan data pribadi Anda sendiri.

"Pemroses" berarti Clavitor.ai, entitas yang menyediakan infrastruktur hosting, orkestrasi enkripsi, dan layanan penyimpanan data atas nama Pengendali.

"Subjek Data" berarti orang perseorangan yang data pribadinya diproses — ini bisa Anda (Pengendali) atau orang lain yang datanya Anda simpan di brankas Anda (anggota keluarga, karyawan, klien).

"Data Pribadi" berarti informasi apa pun yang berkaitan dengan orang perseorangan yang teridentifikasi atau dapat diidentifikasi yang disimpan di brankas Anda, termasuk namun tidak terbatas pada: kredensial, kata sandi, kunci API, data kartu pembayaran, dokumen identitas, dan informasi kontak.

"Pemrosesan" berarti operasi apa pun yang dilakukan pada Data Pribadi, termasuk pengumpulan, penyimpanan, enkripsi, transmisi, pencadangan, dan penghapusan.

3.1 Proses hanya berdasarkan instruksi terdokumentasi. Clavitor memproses Data Pribadi hanya untuk menyediakan layanan brankas seperti yang dijelaskan dalam Syarat Layanan kami. Kami tidak menggunakan data untuk tujuan kami sendiri, melatih model AI, mendapatkan wawasan, atau memonetisasi di luar biaya langganan.

3.2 Menjamin kerahasiaan. Semua personel Clavitor yang berpotensi mengakses infrastruktur terikat oleh perjanjian kerahasiaan. Akses diberikan berdasarkan prinsip hak istimewa minimum dan dicatat.

3.3 Terapkan langkah-langkah keamanan. Kami menerapkan:

• Enkripsi ujung ke ujung: Data dienkripsi dalam keadaan diam dan dalam transit
• Enkripsi bertingkat (L2/L3): Bidang identitas dienkripsi dengan kunci yang berasal dari perangkat Anda (WebAuthn PRF) — tidak dapat didekripsi oleh kami
• Arsitektur tanpa pengetahuan: Kami tidak dapat mendekripsi isi brankas; hanya metadata (ID entri, jenis, stempel waktu) yang dapat dibaca
• Otentikasi berbasis perangkat (WebAuthn): Tidak ada kata sandi yang disimpan di sisi server
• Distribusi geografis: 21 Titik Kehadiran (POP) dengan replikasi terenkripsi
• Respons insiden: Pemantauan 24/7, peringatan otomatis, prosedur pelanggaran data yang terdokumentasi

3.4 Transparansi subprosesor. Kami hanya menggunakan subprosesor yang tercantum dalam Daftar Subprosesor kami. Kami memberi tahu pelanggan 30 hari sebelum menambahkan subprosesor baru.

3.5 Membantu hak Subjek Data. Atas permintaan Anda, kami akan membantu Anda dalam menanggapi permintaan dari Subjek Data yang menjalankan hak berdasarkan GDPR/FADP (akses, perbaikan, penghapusan, portabilitas, pembatasan, keberatan). Catatan: Karena arsitektur enkripsi, kami tidak dapat mengakses atau memodifikasi konten brankas terenkripsi; bantuan terbatas pada operasi tingkat akun.

3.6 Membantu kewajiban keamanan. Kami menyediakan dokumentasi keamanan, ringkasan uji penetrasi (NDA diperlukan untuk detail), dan log audit berdasarkan permintaan.

3.7 Hapus atau kembalikan data. Setelah penghentian langganan, brankas Anda menjadi hanya-baca selama 30 hari. Setelah 30 hari, data brankas dihapus secara permanen. Cadangan kepatuhan dihancurkan 30 hari setelah penghapusan. Untuk akun yang ditangguhkan karena gagal bayar, data dihapus 30 hari setelah penangguhan dan cadangan dirotasi 60 hari setelah itu. Penghapusan segera tersedia berdasarkan permintaan kapan saja. Data tidak dapat dikembalikan dalam bentuk terdekripsi (kami tidak memiliki kuncinya). Detail lengkap dalam Syarat Layanan kami.

3.8 Audit dan inspeksi. Dengan pemberitahuan tertulis 30 hari, Anda dapat mengaudit kepatuhan kami terhadap DPA ini. Audit dilakukan di kantor pusat kami di Zurich atau secara virtual. Kami menyediakan dokumentasi yang relevan; akses infrastruktur langsung memerlukan izin keamanan.

3.9 Beri tahu tentang pelanggaran data. Kami akan memberi tahu Anda dalam waktu 24 jam setelah menemukan pelanggaran data apa pun yang memengaruhi Data Pribadi Anda. Kami tidak akan pernah menunda pemberitahuan untuk penyelidikan atau tinjauan hukum.

3.10 Dokumentasikan aktivitas pemrosesan. Kami menyimpan catatan aktivitas pemrosesan dan menyediakan ringkasan berdasarkan permintaan.

Anda menjamin bahwa:

• Anda memiliki dasar hukum untuk memproses Data Pribadi di brankas Anda
• Anda telah memberikan pemberitahuan privasi yang sesuai kepada Subjek Data yang datanya Anda simpan
• Anda tidak akan menyimpan data yang melanggar hukum yang berlaku
• Anda akan segera memberi tahu kami tentang permintaan Subjek Data atau pertanyaan regulator apa pun

Data brankas Anda disimpan terenkripsi di Titik Kehadiran (POP) yang secara geografis paling dekat dengan pola akses Anda. POP utama dan cadangan berada di wilayah yang berbeda untuk ketahanan. Daftar lengkap 21 POP dengan kota, penyedia, dan sertifikasi kepatuhan dipelihara dalam basis data POP kami.

Penyedia infrastruktur yang digunakan untuk POP meliputi: Amazon Web Services (17 POP, penyedia utama untuk sebagian besar wilayah), ISHosting (Istanbul, Almaty, Bogotá), dan HostAfrica (Lagos). Operasi kantor pusat Zurich (penagihan, administratif) menggunakan Hostkey.

Semua POP adalah:

• Di yurisdiksi dengan keputusan kecukupan (UE, EEA, Swiss, Inggris, Kanada, dll.)
• Terikat oleh Klausul Kontrak Standar (SCC) di mana tidak ada keputusan kecukupan

Karena arsitektur enkripsi kami (tanpa pengetahuan), bahkan data yang disimpan di yurisdiksi non-adekuat secara teknis terlindungi. Kami tidak dapat mendekripsinya; begitu pula pihak berwenang setempat. Resolusi DNS ditangani oleh Cloudflare; tidak ada data brankas yang pernah melewati jaringan mereka.

Tidak ada data yang dapat didekripsi oleh kami dalam keadaan diam. File brankas dienkripsi dan kunci enkripsi tidak disimpan di server. Ketika agen atau pengguna terhubung, mereka membawa kunci L1 bersama mereka — kami secara teknis dapat mencegatnya dalam transit (meskipun kami tidak melakukannya, dan TLS mencegah pihak ketiga melakukannya). Bahkan dengan L1, hanya metadata yang terlihat. Bidang kredensial dan identitas tetap tersegel.

• L1 (Enkripsi brankas): Brankas dienkripsi dalam keadaan diam dengan AES-256-GCM. Kunci L1 8-byte dibawa oleh agen atau pengguna pada setiap permintaan — kunci tersebut tidak disimpan di server. Dengan L1, judul entri, jenis, dan stempel waktu terlihat. Ini adalah minimum operasional yang diperlukan untuk melayani permintaan.
• L2 (Bidang kredensial): Kata sandi, kunci API, seed TOTP, token OAuth — dienkripsi per-bidang dengan kunci 16-byte yang tidak pernah ada di server. L2 hanya dipegang oleh peramban pengguna dan agen terdaftarnya. Kami tidak dapat mendekripsi bidang kredensial, dan tidak ada proses sisi server yang pernah memiliki akses ke L2.
• L3 (Bidang identitas): Kartu kredit, CVV, nomor paspor, nomor jaminan sosial, kode pemulihan — dienkripsi dengan kunci 32-byte berentropi acak murni, yang dibuat saat pembuatan brankas. Pengguna tidak mengetahui kunci ini. Kami tidak memilikinya. L3 tidak pernah ada di server mana pun. Ini dilindungi dengan membungkusnya dengan output 32-byte dari PRF kunci perangkat keras Anda (sidik jari, wajah, atau kunci keamanan melalui WebAuthn PRF). Tanpa perangkat fisik, L3 tidak dapat dibuka. Kami secara matematis tidak dapat mendekripsi bidang identitas, dan kami tidak dapat dipaksa untuk memberikan kunci yang tidak kami miliki.

Untuk pertanyaan terkait DPA:

Petugas Perlindungan Data (DPO) Clavitor LLC c/o Johan Jongsma

DPA ini berlaku efektif sejak tanggal mulai langganan Anda dan tetap berlaku hingga penghentian. Perubahan diberitahukan 30 hari sebelumnya. Penggunaan berkelanjutan dianggap sebagai persetujuan.

Terakhir diperbarui: 25 Mei 2026 · Versi 1.1