FirstJournalFirstJournal
Berlaku sejak 18 April 2026
Legal

Kebijakan Privasi

Terakhir diperbarui: 18 April 2026

Kebijakan ini menjelaskan bagaimana PT First Principle Systems ("FirstJournal", "Kami") mengumpulkan, menggunakan, menyimpan, dan melindungi data pribadi Anda sebagai pengguna Layanan FirstJournal, sesuai dengan ketentuan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).

Daftar Isi

1. Pendahuluan2. Data yang Dikumpulkan3. Data Pembayaran4. Cookies & Pelacakan5. Penggunaan Data6. Pembagian Data & Sub-Prosesor7. Keamanan Data8. Hak Subjek Data (UU PDP)9. Retensi & Penghapusan Data10. Perubahan Kebijakan11. Kontak & DPO

1. Pendahuluan

FirstJournal adalah layanan perangkat lunak akuntansi berbasis cloud yang dioperasikan oleh PT First Principle Systems. Dalam menjalankan Layanan, Kami memproses sejumlah data pribadi Pengguna. Kami berkomitmen untuk menjalankan pemrosesan data tersebut secara transparan, bertanggung jawab, dan sesuai dengan hak-hak Pengguna sebagai subjek data.

Kebijakan Privasi ini berlaku bagi seluruh pengguna Layanan FirstJournal, termasuk pengguna yang mengakses melalui aplikasi web, API, atau media lain yang disediakan oleh FirstJournal.

Dengan mendaftar atau menggunakan Layanan, Anda menyatakan telah membaca dan memahami Kebijakan Privasi ini, serta memberikan persetujuan terhadap pemrosesan data pribadi Anda sebagaimana dijelaskan dalam dokumen ini.

2. Data yang Dikumpulkan

Kami mengumpulkan data yang Anda berikan secara langsung maupun yang dihasilkan dari penggunaan Layanan:

Data Identitas & Akun

Nama lengkap, alamat email, nomor telepon, kata sandi (disimpan dalam bentuk hash, tidak dalam bentuk teks biasa), nama organisasi/perusahaan, dan peran pengguna.

Data Bisnis & Akuntansi

Data transaksi keuangan, jurnal, faktur, laporan, daftar kontak pelanggan/pemasok, data produk/inventori, dan informasi aset yang Anda masukkan ke dalam Layanan.

Data Teknis & Penggunaan

Alamat IP, jenis browser, sistem operasi, halaman yang dikunjungi, durasi sesi, log aktivitas, dan data diagnostik untuk keperluan keamanan dan peningkatan layanan.

Data Pembayaran

Dijabarkan secara terperinci dalam Bagian 3 kebijakan ini.

3. Data Pembayaran

Bagian ini diungkapkan secara terpisah dan terperinci sesuai kewajiban transparansi berdasarkan UU PDP Pasal 20 (dasar pemrosesan) dan Pasal 16 (pengungkapan sub-prosesor).

3.1 Tujuan Pemrosesan Data Pembayaran

Sesuai dengan UU PDP Pasal 20, data pembayaran Anda diproses semata-mata untuk tujuan berikut:

  • Memfasilitasi transaksi pembayaran langganan Layanan FirstJournal.
  • Memproses perpanjangan otomatis (auto-renew) apabila Anda telah mengaktifkan fitur tersebut.
  • Memverifikasi status pembayaran dan memperbarui status langganan akun Anda.
  • Menyimpan riwayat transaksi untuk keperluan audit, rekonsiliasi, dan pemenuhan kewajiban perpajakan.

Data pembayaran tidak digunakan untuk tujuan pemasaran, profiling, atau pengambilan keputusan otomatis selain yang disebutkan di atas.

3.2 Midtrans sebagai Data Prosesor Pihak Ketiga

Sesuai dengan UU PDP Pasal 16, Kami mengungkapkan bahwa FirstJournal menggunakan layanan payment gateway dari pihak ketiga berikut sebagai sub-prosesor data pembayaran:

Sub-Prosesor Pembayaran

Nama entitas:PT Midtrans Midpoint (bagian dari PT Finnet Indonesia Group)
Merek layanan:Midtrans
Kantor:Jakarta, Indonesia
Sertifikasi:PCI-DSS Level 1
Privasi Midtrans:midtrans.com/privacy

Midtrans bertanggung jawab menangani seluruh data nomor kartu (PAN — Primary Account Number) dan autentikasi pembayaran langsung di infrastrukturnya yang bersertifikasi PCI-DSS Level 1. FirstJournal tidak pernah menerima, memproses, atau menyimpan nomor kartu lengkap Anda.

3.3 Data Pembayaran yang Disimpan oleh FirstJournal

FirstJournal hanya menyimpan data minimal yang diperlukan untuk memfasilitasi perpanjangan otomatis dan menampilkan informasi metode pembayaran kepada Anda. Data yang kami simpan adalah:

FieldDeskripsiContoh
saved_token_idToken referensi dari Midtrans untuk perpanjangan otomatis. Bukan nomor kartu.[enkripsi AES-256-GCM]
paymentMethodTypeJenis metode pembayaran yang digunakan.credit_card, gopay, va
paymentMethodDisplayNameNama tampilan untuk informasi Anda di Dashboard.Visa **** 4242
paymentMethodExpiresAtTanggal kedaluwarsa metode pembayaran (khusus kartu).12/2027

3.4 Keamanan Data Pembayaran — Enkripsi

Field saved_token_id di-enkripsi menggunakan algoritma AES-256-GCM sebelum disimpan ke dalam basis data FirstJournal. Kunci enkripsi dikelola secara terpisah dari data dan tidak pernah disimpan bersama data terenkripsi.

Seluruh transmisi data antara browser Anda, server FirstJournal, dan Midtrans dienkripsi menggunakan TLS 1.2 atau lebih tinggi.

3.5 Retensi Data Metode Pembayaran

Token metode pembayaran (saved_token_id) dan data terkait disimpan selama:

  • Seluruh periode aktif langganan Anda, dan
  • Ditambah 90 (sembilan puluh) hari setelah Perpanjangan Otomatis dibatalkan atau langganan berakhir.

Setelah periode tersebut, data metode pembayaran akan di-purge (dihapus secara permanen) dari sistem kami secara otomatis. Proses purge juga meminta penghapusan token yang terkait dari sistem Midtrans.

3.6 Hak Anda atas Data Pembayaran

Sesuai dengan UU PDP Pasal 5-7, Anda memiliki hak berikut atas data pembayaran Anda:

  • Akses: Anda dapat melihat metode pembayaran tersimpan kapan saja melalui Dashboard → Pengaturan → Metode Pembayaran.
  • Pencabutan consent auto-renew: Anda dapat membatalkan persetujuan Perpanjangan Otomatis kapan saja melalui satu klik di Dashboard → Pengaturan → Langganan. Pembatalan tidak menghentikan layanan secara mendadak — Layanan tetap berjalan normal hingga subscriptionEnd saat ini, kemudian masuk masa tenggang 7 hari, kemudian expired.
  • Penghapusan: Anda dapat mengajukan permintaan penghapusan seluruh data pribadi, termasuk data pembayaran, melalui email ke legal@firstprinciple.id. Permintaan akan diproses dalam 14 (empat belas) hari kerja.

3.7 Log Persetujuan (Consent Audit Log)

Sesuai dengan UU PDP Pasal 20 Ayat (1) yang mewajibkan pemrosesan data berdasarkan persetujuan yang sah, FirstJournal menyimpan catatan persetujuan berikut:

  • Pada saat Anda mengaktifkan Perpanjangan Otomatis (opt-in), sistem mencatat timestamp (tanggal dan waktu) beserta alamat IP Anda sebagai bukti persetujuan eksplisit.
  • Catatan persetujuan ini disimpan sebagai bukti audit dan tidak dapat diubah atau dihapus secara sepihak.
  • Apabila Anda mencabut consent, log pencabutan juga dicatat dengan timestamp dan IP yang sama.

3.8 Konsekuensi Pencabutan Persetujuan Auto-Renew

Pencabutan persetujuan Perpanjangan Otomatis tidak mengakibatkan penghentian layanan secara mendadak. Urutan peristiwa setelah pencabutan adalah:

  1. Layanan berjalan normal hingga tanggal subscriptionEnd yang sedang berjalan.
  2. Setelah subscriptionEnd, akun masuk masa tenggang (past_due) selama 7 hari — Layanan tetap dapat digunakan sepenuhnya.
  3. Apabila tidak ada pembayaran manual dalam masa tenggang, akun beralih ke status expired (mode baca-saja).
  4. Anda tetap dapat berlangganan kembali kapan saja dengan melakukan pembayaran baru.

4. Cookies & Pelacakan

FirstJournal menggunakan cookies dan teknologi pelacakan serupa untuk:

  • Cookies esensial: Diperlukan untuk fungsi autentikasi dan keamanan sesi. Tidak dapat dinonaktifkan.
  • Cookies preferensi: Menyimpan pengaturan tampilan dan bahasa. Dapat dinonaktifkan melalui pengaturan browser.
  • Cookies analitik: Digunakan untuk memahami pola penggunaan dan meningkatkan Layanan. Data dianonimkan sebelum diproses.

Anda dapat mengelola preferensi cookies melalui pengaturan browser Anda. Menonaktifkan cookies esensial dapat mengganggu fungsionalitas Layanan.

5. Penggunaan Data

FirstJournal menggunakan data yang dikumpulkan untuk tujuan berikut:

  • Menyediakan, mengoperasikan, dan memelihara Layanan.
  • Memproses transaksi pembayaran dan mengelola akun langganan.
  • Mengirimkan notifikasi terkait akun, termasuk pemberitahuan pembayaran, pembaruan layanan, dan peringatan keamanan.
  • Meningkatkan dan mengembangkan fitur Layanan berdasarkan pola penggunaan (menggunakan data yang dianonimkan).
  • Mendeteksi dan mencegah penipuan, pelanggaran keamanan, dan penggunaan yang melanggar ketentuan.
  • Memenuhi kewajiban hukum dan peraturan yang berlaku di Indonesia.
  • Melatih dan meningkatkan model AI yang mendukung fitur AI Partner, menggunakan data yang dianonimkan dan tidak dapat ditelusuri ke identitas individu.

FirstJournal tidak menggunakan Data Pengguna untuk iklan pihak ketiga atau menjual data Pengguna kepada pihak manapun.

6. Pembagian Data & Sub-Prosesor

FirstJournal dapat berbagi data dengan pihak ketiga terpercaya yang bertindak sebagai sub-prosesor dalam rangka menyediakan Layanan. Seluruh sub-prosesor terikat oleh perjanjian kerahasiaan dan pengolahan data yang memadai.

Supabase (PostgreSQL Cloud)

Penyimpanan basis data utama. Data akuntansi dan profil pengguna disimpan di infrastruktur Supabase yang beroperasi dengan standar keamanan SOC 2.

PT Midtrans Midpoint (Midtrans)

Gateway pembayaran. Menangani seluruh transaksi kartu dan e-wallet. Bersertifikasi PCI-DSS Level 1. Lihat detail di Bagian 3.2.

Vercel

Platform hosting dan deployment aplikasi web. Menangani pengiriman konten statis dan edge functions.

Anthropic

Penyedia model AI (Claude API) yang mendukung fitur AI Partner. Data yang dikirim ke API Anthropic dianonimkan dan tidak menyertakan informasi identitas pengguna atau data keuangan sensitif secara lengkap.

FirstJournal tidak akan mengungkapkan data Pengguna kepada pihak lain, kecuali: (a) atas permintaan Pengguna, (b) sebagaimana diwajibkan oleh hukum atau perintah pengadilan yang sah, atau (c) untuk melindungi hak, keamanan, atau properti FirstJournal dan penggunanya.

7. Keamanan Data

FirstJournal menerapkan langkah-langkah teknis dan organisasional yang memadai untuk melindungi data Pengguna dari akses tidak sah, pengungkapan, perubahan, atau penghancuran. Langkah-langkah tersebut mencakup:

  • Enkripsi data saat transit: Seluruh komunikasi menggunakan TLS 1.2 atau lebih tinggi.
  • Enkripsi data saat diam (at-rest): Data sensitif, termasuk token pembayaran, dienkripsi menggunakan AES-256-GCM.
  • Isolasi Tenant: Isolasi data antar tenant ditegakkan di tingkat aplikasi — setiap kueri difilter berdasarkan identitas organisasi yang tervalidasi dari sesi pengguna, sehingga satu organisasi tidak dapat mengakses data organisasi lain.
  • Autentikasi: Kata sandi disimpan dalam bentuk hash menggunakan algoritma bcrypt. Mendukung autentikasi dua faktor (2FA).
  • Monitoring keamanan: Sistem pemantauan aktif untuk mendeteksi aktivitas mencurigakan.
  • Log audit internal: Setiap tindakan mutasi data (buat, ubah, batalkan) oleh pengguna dicatat dalam audit log yang tidak dapat dihapus.

Akses Platform oleh Operator

PT First Principle Systems selaku operator platform dapat mengakses data transaksi keuangan dan operasional pengguna secara terbatas untuk keperluan: (a) dukungan teknis dan debugging atas permintaan pengguna, (b) pemeliharaan dan keamanan sistem, (c) pemenuhan kewajiban hukum dan regulasi, atau (d) investigasi insiden keamanan. Setiap akses semacam ini dibatasi pada kebutuhan minimum (need-to-know), dicatat dalam log audit internal, dan tidak digunakan untuk tujuan di luar pemeliharaan Layanan.

Meskipun demikian, tidak ada sistem keamanan yang sepenuhnya tidak dapat ditembus. Apabila Anda menemukan kerentanan keamanan, harap laporkan segera ke security@firstprinciple.id.

8. Hak Subjek Data (UU PDP)

Berdasarkan UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi, Pasal 5-7, Anda sebagai Subjek Data memiliki hak-hak berikut.

Hak Memperoleh Informasi

Pasal 5

Hak untuk mengetahui identitas, tujuan pemrosesan, dan dasar hukum pemrosesan data pribadi Anda. Kebijakan ini merupakan pemenuhan hak tersebut.

Hak Akses

Pasal 5

Hak untuk mengakses dan mendapatkan salinan data pribadi yang Kami proses. Ajukan permintaan ke legal@firstprinciple.id.

Hak Koreksi

Pasal 6

Hak untuk memperbaiki data yang tidak akurat atau tidak lengkap. Data profil dapat diperbarui langsung melalui Dashboard. Untuk koreksi lainnya, hubungi kami.

Hak Penghapusan (Right to Erasure)

Pasal 7

Hak untuk mengajukan penghapusan data pribadi Anda. Permintaan diproses dalam 14 hari kerja. Perhatikan bahwa penghapusan data akuntansi dapat berdampak pada kewajiban perpajakan Anda.

Hak Portabilitas Data

Pasal 6

Hak untuk menerima data Anda dalam format yang dapat dibaca mesin (CSV/JSON). Gunakan fitur ekspor di Dashboard atau ajukan permintaan ke legal@firstprinciple.id.

Hak Keberatan (Right to Object)

Pasal 7

Hak untuk mengajukan keberatan atas pemrosesan data untuk tujuan tertentu. Pengajuan keberatan tidak selalu mengakibatkan penghentian pemrosesan apabila terdapat dasar hukum yang sah.

Hak Mencabut Persetujuan

Pasal 9

Hak untuk mencabut persetujuan (consent) yang pernah diberikan kapan saja, termasuk persetujuan auto-renew. Pencabutan dilakukan melalui Dashboard atau email ke legal@firstprinciple.id.

Untuk mengajukan hak-hak di atas, kirimkan permintaan tertulis ke legal@firstprinciple.id dengan menyertakan identifikasi yang memadai. Kami akan merespons dalam waktu 14 (empat belas) hari kerja.

9. Retensi & Penghapusan Data

Kami menyimpan data Pengguna selama diperlukan untuk memenuhi tujuan yang dijelaskan dalam Kebijakan ini, atau sesuai kewajiban hukum yang berlaku:

Jenis DataPeriode Retensi
Data akun aktifSelama akun aktif
Data setelah akun expired90 hari sejak expired
Token pembayaran (saved_token_id)Selama aktif berlangganan + 90 hari setelah auto-renew dibatalkan
Data transaksi keuangan10 tahun (sesuai kewajiban perpajakan Indonesia)
Log consent auto-renew5 tahun sejak tanggal consent (untuk keperluan audit)
Log akses keamanan2 tahun

Setelah periode retensi berakhir, data akan dihapus secara permanen atau dianonimkan. FirstJournal akan memberikan pemberitahuan via email sebelum penghapusan permanen akun Pengguna.

10. Perubahan Kebijakan

FirstJournal dapat memperbarui Kebijakan Privasi ini sewaktu-waktu. Apabila terdapat perubahan yang bersifat material — terutama yang berdampak pada cara Kami memproses data Anda — Kami akan:

  • Mengirimkan pemberitahuan melalui email ke alamat terdaftar Anda.
  • Menampilkan notifikasi dalam aplikasi setidaknya 30 (tiga puluh) hari sebelum perubahan berlaku.
  • Memperbarui tanggal "Terakhir diperbarui" di bagian atas halaman ini.

Versi terbaru Kebijakan Privasi selalu tersedia di firstjournal.id/privacy. Dengan melanjutkan penggunaan Layanan setelah perubahan berlaku, Anda dianggap menyetujui versi Kebijakan yang baru.

11. Kontak & Data Protection Officer (DPO)

Apabila Anda memiliki pertanyaan, kekhawatiran, atau ingin mengajukan hak-hak Anda sebagai Subjek Data, silakan hubungi:

Data Protection Officer

PT First Principle Systems

Tim Privasi FirstJournal

Email Privasi: legal@firstprinciple.id

Alamat: Jakarta Selatan, Indonesia

Waktu respons: 14 hari kerja untuk permintaan data, 72 jam untuk laporan pelanggaran data.

Apabila Anda merasa hak-hak Anda sebagai Subjek Data tidak dipenuhi, Anda berhak mengajukan pengaduan kepada otoritas perlindungan data yang berwenang di Indonesia sesuai dengan mekanisme yang diatur dalam UU No. 27 Tahun 2022.

Kebijakan Privasi FirstJournal — Versi 1.0Berlaku sejak 18 April 2026 · Dasar hukum: UU No. 27 Tahun 2022 (UU PDP)