Data Processing Agreement (DPA) ini adalah bagian dari syarat layanan kami dan berlaku otomatis begitu kamu, sebagai pelanggan B2B, mengambil layanan yang di dalamnya kami memproses data pribadi pengguna akhirmu atas namamu (GDPR pasal 28). Kamu tidak perlu menandatanganinya secara terpisah — menerima syarat = menerima DPA ini.
1. Pihak dan peran
Controller: kamu, pelanggan (selanjutnya "Pelanggan").
Processor: InternalHost (pengusaha perseorangan Xaviero Kajafas, KvK Belanda 90174720).
InternalHost memproses data pribadi hanya berdasarkan instruksi Pelanggan dan hanya sejauh diperlukan untuk memberikan layanan yang disepakati (hosting, storage, mail, jaringan).
2. Subjek dan durasi
- Subjek: pemrosesan data pribadi dalam konteks layanan infrastruktur IT yang kami berikan.
- Sifat pemrosesan: penyimpanan, transmisi (di dalam infrastruktur kami), backup — tanpa pemrosesan aktif konten pengguna akhir oleh kami.
- Tujuan: menyediakan layanan IT yang disepakati.
- Kategori subjek data: sebagaimana ditentukan Pelanggan. Kami tidak punya visibilitas (kami tidak mengintip database-mu).
- Jenis data pribadi: sebagaimana ditentukan Pelanggan. Kategori khusus (kesehatan, agama, dll.) diperbolehkan selama Pelanggan mengambil tindakan teknis dan organisasional yang sesuai.
- Durasi: selama perjanjian utama berjalan, plus masa pemulihan 14 hari setelah pengakhiran.
3. Tindakan keamanan
InternalHost mengambil minimal tindakan teknis dan organisasional berikut:
- Enkripsi in transit: TLS 1.2+ pada semua endpoint publik, WireGuard untuk mesh internal.
- Enkripsi at-rest: LUKS pada semua volume penyimpanan. Enkripsi level Pelanggan adalah tanggung jawab Pelanggan.
- Kontrol akses: SSH hanya via kunci ed25519, MFA wajib untuk akses admin, prinsip least privilege.
- Logging: akses infrastruktur dicatat (90 hari).
- Backup: snapshot terenkripsi harian dari volume pelanggan, retensi 7h/4m/12bln (di sisi kami — backup aplikasi adalah tanggung jawab Pelanggan).
- Keamanan fisik: Qupra DC memiliki akses berawak 24/7, bersertifikat ISO 27001 + 9001, akses biometrik + mantrap.
- Update software: patch keamanan dalam 7 hari setelah rilis, yang kritis dalam 24 jam.
- Monitoring: CrowdSec + fail2ban pada semua layanan yang terpapar.
Ringkasan tindakan teknis terkini tersedia atas permintaan di [email protected].
4. Sub-processor
Kami menggunakan sub-processor berikut. Semuanya di UE. Kami memberi tahu perubahan minimal 30 hari sebelumnya, agar Pelanggan dapat menolak.
| Sub-processor | Tujuan | Lokasi |
|---|---|---|
| Qupra Data Centers BV | Datacenter / kolokasi | Amsterdam, NL |
| Mollie B.V. | Pembayaran | Amsterdam, NL |
| Revolut Payments UAB | Pembayaran (alternatif) | Vilnius, LT |
| Cloudflare Germany GmbH | CDN / DDoS | DE, region data UE |
| Hoster B.V. (OpenProvider) | Registrasi domain (opsional) | The Hague, NL |
5. Transfer ke luar UE
Kami tidak mentransfer data pribadi ke negara di luar UE/EEA, kecuali dalam hal Cloudflare sebagai CDN secara terpaksa merutekan via PoP non-UE pada saat DDoS. Dalam hal itu, Standard Contractual Clauses berlaku antara kami dan Cloudflare.
6. Prosedur pelanggaran data
Untuk pelanggaran data pribadi yang berdampak pada Pelanggan, kami memberi tahu Pelanggan dalam 24 jam sejak penemuan (via email yang tersimpan) dengan:
- Sifat pelanggaran
- Kategori dan perkiraan jumlah individu yang terdampak
- Kemungkinan konsekuensi
- Tindakan yang diambil atau diusulkan
Pelanggan memutuskan apakah pemberitahuan ke Otoritas Perlindungan Data diperlukan. Kami mendukung sesuai kebutuhan.
7. Pengakhiran dan pengembalian data
Setelah pengakhiran perjanjian utama:
- Pelanggan punya 14 hari untuk mengunduh semua data (via SSH/SFTP, atau permintaan ekspor).
- Setelah itu, semua data pribadi dihapus permanen, kecuali ada retensi wajib menurut undang-undang (pajak Belanda: data faktur 7 tahun).
- Atas permintaan kami menyediakan sertifikat tertulis pemusnahan.
Untuk kontrak spesifik (B2B besar, kesehatan, sektor finansial) kami dapat menandatangani DPA khusus. Email [email protected].