$ cat /etc/internalhost/privacy

Kebijakan privasi

Versi 1.0 · Terakhir diperbarui: 2026-05-19 · Berlaku segera

TL;DR

Kami mengumpulkan minimum yang diperlukan untuk mengirim server dan mengirimimu faktur. Tanpa pelacakan, tanpa jaringan iklan, tanpa penjualan ulang data. Kami di UE, GDPR berlaku, dan kami tidak pernah membagikan datamu ke pihak ketiga kecuali diwajibkan hukum.

1. Siapa kami

InternalHost adalah pengusaha perseorangan (KvK Belanda 90174720), milik Xaviero Kajafas, berbasis di Amsterdam. Kantor terdaftar: Bijlmerdreef 910, 1103 DV Amsterdam. Kantor (dengan janji temu): Nieuwe Hemweg 26, 1013 CX Amsterdam. Kami adalah "data controller" menurut GDPR atas data pribadi yang kamu titipkan pada kami sebagai pelanggan.

2. Apa yang kami kumpulkan

Tiga kategori, tidak lebih:

  • Data akun: nama, email, nama perusahaan (opsional), nomor PPN (opsional, untuk B2B). Disediakan olehmu saat registrasi.
  • Data penagihan: alamat penagihan, metode pembayaran (kami tidak menyimpan nomor kartu — itu ada di Mollie/Revolut), riwayat pembayaran. Diperlukan menurut UU pajak Belanda + GDPR pasal 6(1)(b) (kontrak).
  • Data teknis: IP sesi, user-agent browser, timestamp login. Diperlukan untuk keamanan (CrowdSec, fail2ban) dan pencegahan penipuan. Dasar hukum: pasal 6(1)(f) (kepentingan sah).

Kami tidak mengumpulkan: cookie pelacakan pihak ketiga, pixel media sosial, ID iklan, geolokasi di luar IP, analitik perilaku, pelacakan kursor, atau teknologi pengawasan lainnya.

3. Untuk apa kami pakai

  • Menyediakan layanan yang kamu bayar (provision server, mengirim email, support).
  • Membuat dan mengirim faktur.
  • Mendeteksi dan menghentikan penyalahgunaan di infrastruktur kami (lihat AUP).
  • Memenuhi kewajiban retensi legal (pajak Belanda: faktur 7 tahun).

Kami tidak menggunakannya untuk: profiling, iklan yang dipersonalisasi, penjualan ulang, training model AI, atau sampingan lainnya.

4. Berapa lama kami simpan

  • Data akun: selama kamu menjadi pelanggan + 30 hari setelah pembatalan untuk klaim.
  • Faktur: 7 tahun (UU pajak Belanda).
  • Log login: 90 hari (forensik keamanan).
  • Data server (isi VPS-mu): selama layananmu aktif. Setelah pembatalan 14 hari untuk pemulihan, lalu dihapus permanen.
  • Tiket dukungan: 2 tahun.

5. Siapa yang kami bagi

Daftar pendek. Semua di sini adalah processor di yurisdiksi UE:

  • Mollie (NL): pemroses pembayaran. Menerima namamu, jumlah faktur, email. Privasi Mollie.
  • Revolut Business (LT, UE): pemroses pembayaran alternatif. Cakupan sama dengan Mollie.
  • Cloudflare (US, region data UE): CDN/DDoS untuk website ini. Memproses IP-mu + fingerprint browser untuk anti-bot. SCC standar berlaku. Privasi Cloudflare.
  • Qupra DC (NL): datacenter. Akses fisik ke hardware kami, tanpa akses logis ke data.
  • OpenProvider (NL): registrar domain — hanya relevan kalau kamu mendaftarkan domain lewat kami. Menerima data kontak WHOIS.

Sudah itu saja. Tanpa pixel pelacakan, tanpa platform iklan, tanpa SaaS "analytics".

6. Hakmu (GDPR)

Kamu berhak untuk:

  • Mengakses semua datamu.
  • Mengoreksinya.
  • Meminta penghapusan (kecuali ada retensi legal).
  • Menerima salinan yang dapat dibaca mesin (portabilitas data).
  • Menolak pemrosesan berbasis kepentingan sah.
  • Mengajukan keluhan ke Otoritas Perlindungan Data Belanda.

Email [email protected]. Kami merespons dalam 30 hari, biasanya dalam 5.

7. Keamanan

  • TLS di mana-mana (HSTS preloaded).
  • Kata sandi disimpan dalam bcrypt, tidak pernah plaintext.
  • SSH produksi hanya via kunci ed25519, autentikasi password mati.
  • MFA wajib untuk akun admin.
  • CrowdSec + fail2ban pada semua endpoint publik.
  • Backup harian terenkripsi atas data pelanggan.
  • Akses terbatas: hanya Nick dan Jarreth yang punya shell produksi, hanya Xavi yang punya admin Filament.

Pelanggaran data? Kami memberi tahu DPA dan pelanggan yang terdampak dalam 72 jam, sesuai GDPR pasal 33-34.

8. Kontak + perubahan

Pertanyaan, permintaan, atau keluhan: [email protected] atau Signal (tautan di footer). Kami berhak mengubah kebijakan ini. Perubahan substansial dikirim via email ke pelanggan aktif minimal 30 hari sebelum berlaku.