Kebijakan Privasi.

Catatu adalah app pencatat keuangan pribadi. Kami sadar data uangmu sensitif — di sini kami jelasin apa yang kami simpan, kenapa, dan apa hakmu sebagai user, sesuai UU No. 27/2022 tentang Pelindungan Data Pribadi (UU PDP).

1. Data yang kami simpan

• Identitas akun — email & nama dari Google OAuth (untuk login & kontak admin saat perlu).
• Catatan transaksi — tanggal, jumlah Rupiah, kategori, catatan singkat yang kamu input sendiri.
• Anggaran (amplop) — angka budget per kategori per bulan.
• Kategori custom — yang kamu bikin/edit sendiri.
• Status langganan Pro — kalo kamu upgrade, kami simpan tier (free/pro), tanggal mulai, tanggal expired, & ID transaksi pembayaran (purchase token dari Google Play Billing).
• Preferensi tampilan — tema (terang/gelap), warna aksen, custom theme Pro.
• Langganan notifikasi — kalo kamu aktifin pengingat amplop (opt-in), kami simpan data langganan Web Push: alamat endpoint push dari browser kamu + info browser/device. Cuma buat ngirim notifikasi; bisa dimatiin kapan aja di Pengaturan.

Yang TIDAK kami simpan: nomor rekening, password bank, detail kartu kredit, info transfer. Pembayaran diproses penuh sama Google Play — kami cuma terima purchase token + verifikasi status "active" / "expired".

2. Tujuan pengumpulan

Hanya buat ngasih layanan Catatu jalan: nyimpen catatanmu, tampilin statistik, kasih insight pola pengeluaran, sinkronisasi antar device kamu sendiri.

3. Siapa yang bisa akses datamu

• Kamu sendiri — datamu cuma ke-fetch pakai token akun kamu (Row Level Security di database).
• Admin Catatu — bisa akses via service-role untuk: bantu troubleshoot kalo kamu lapor bug, proses upgrade Pro manual, audit pembayaran. Kami gak baca catatan kamu kecuali ada keluhan/permintaan.
• Tidak dijual ke pihak ketiga. Catatan & data keuangan kamu tidak dijual atau dibagi ke advertiser, bank, atau siapa pun. (Soal data kunjungan halaman promosi via Meta Pixel, lihat bagian 7.)

4. Tempat penyimpanan & keamanan

• Database PostgreSQL di-host oleh Supabase, ter-encrypt at rest.
• Komunikasi browser ↔ server via HTTPS (TLS 1.3) dengan HSTS preload.
• Token autentikasi disimpan di browser kamu (localStorage) — gak ke kirim ke server kami selain untuk validasi.
• Pembayaran Pro diproses oleh Google Play Billing; kami gak nyimpen detail kartu/rekening kamu.

5. Berapa lama kami simpan

Selama akun kamu aktif. Kalo kamu hapus akun (Settings → Hapus akun), semua datamu dihapus dari database dalam 7 hari. Backup harian otomatis dipotong rotasi setelah 30 hari.

6. Hakmu sebagai user

Sesuai UU PDP, kamu berhak:

• Akses — lihat semua datamu (Settings → Export ke Excel).
• Koreksi — edit/hapus catatan kapan aja.
• Hapus — Settings → Hapus akun, atau kontak admin.
• Penarikan persetujuan — logout & hapus akun.
• Pengaduan — kalo merasa hakmu dilanggar, hubungi admin via email atau lapor ke Kementerian Komdigi.

7. Cookies & tracking

Di dalam aplikasi (setelah login) kami gak pakai tracker iklan, Google Analytics, Hotjar, atau profiling apa pun. Pengecualian: halaman promosi kami di catatu.app pakai Meta (Facebook) Pixel buat ngukur efektivitas iklan kami di Facebook/Instagram. Yang dibagi ke Meta cuma data kunjungan halaman promosi (event PageView, alamat IP, cookie Meta _fbp/_fbc, user-agent) — BUKAN catatan keuangan kamu. Data transaksi, anggaran, dan catatan di dalam aplikasi tidak pernah dikirim ke Meta atau platform iklan manapun. Kamu bisa nonaktifin lewat preferensi iklan Facebook atau setelan cookie browser kamu.

8. Layanan pihak ketiga (umum)

• Supabase (database + auth, server US) — privacy policy
• Vercel (hosting + CDN, server global) — privacy policy
• Google (OAuth login) — kami cuma terima email + nama dari Google; privacy policy
• Google Play Billing (pembayaran Pro, server Google global) — privacy policy
• Meta (Facebook) Pixel (pengukuran iklan, cuma di halaman promosi catatu.app, bukan di dalam aplikasi) — privacy policy

9. Layanan AI (opt-in, hanya kalo kamu aktifin)

Beberapa fitur Catatu pakai layanan AI eksternal. Layanan ini opt-in — gak aktif default; kamu harus aktivin manual via toggle di Pengaturan, dan setiap penggunaan butuh izin kamu (consent modal pertama kali). Berdasarkan UU PDP §56 tentang transfer lintas negara, kami buka detail provider, lokasi server, dan tujuan pengiriman:

• Google Gemini 2.5 Flash via OpenRouter (server: Amerika Serikat) — dipakai untuk:
  • Scan struk (Pro): foto struk → ekstraksi tanggal/nominal/merchant/kategori. Data dikirim: gambar struk JPEG/PNG, kategori user (untuk smart-mapping). Retention: gambar di-discard di edge fn setelah parsing (tidak disimpan permanen di Catatu); hasil ekstraksi disimpan di akunmu (RLS-protected). Per Google ToS, request bisa di-log AI provider hingga 30 hari untuk debugging.
  • Scan e-statement bank (Pro): PDF/screenshot mutasi → ekstraksi list transaksi. PDF password-protected di-decrypt di browser kamu, password tidak pernah ke server. Retention sama seperti scan struk.
  • AI Insight bulanan/mingguan (Pro): aggregate statistik pengeluaran → narasi insight. Data dikirim: pre-aggregated stats (total, kategori, hari paling royal, top 5 transaksi — tidak dikirim raw transaksi line-by-line, tidak dikirim catatan note user). Retention: prompt + response di-log AI provider hingga 30 hari per ToS.
• DeepSeek via OpenRouter (server: Amerika Serikat / Tiongkok routing OpenRouter) — dipakai untuk:
  • Smart Import (Pro): Excel/CSV mentah → normalisasi tanggal, nominal, kategori. Data dikirim: header + sample row data dari file kamu, kategori user. Retention: prompt + response di-log AI provider hingga 30 hari per ToS.
• OpenRouter sebagai routing layer di atas Gemini & DeepSeek — privacy policy

Tidak dipakai untuk training AI. Provider ToS (Google, DeepSeek) menyatakan API request paid tier tidak dipakai untuk training model. Catatu juga tidak share data ini ke iklan/profiling.

Opsi opt-out: matikan toggle "Mode AI" di Pengaturan → Mode AI. Tanpa AI, kamu bisa pakai Standard Excel Import (di-parse di browser kamu, zero data ke pihak ketiga) dan input manual.

Pengguna anak di bawah 13 tahun (UU PDP §16): fitur AI ini tidak boleh digunakan. Catatu tidak menargetkan anak di bawah umur dan akan menolak permintaan akses dari akun yang teridentifikasi sebagai milik anak (parental consent path bisa dimohon via email admin).

10. Integrasi TikTok (untuk konten brand Catatu)

Catatu menggunakan TikTok Login Kit + Content Posting API untuk mengelola akun TikTok resmi Catatu (@catatu.app) — yaitu agen AI internal kami yang memposting konten edukasi keuangan ke akun TikTok milik Catatu sendiri, bukan akun pribadimu. Per UU PDP §56 tentang transfer lintas negara, kami buka detail:

• Provider: TikTok / ByteDance Pte. Ltd. (server: Singapura — region Asia-Pasifik untuk akun Indonesia).
• Data yang Catatu kirim ke TikTok: video edukasi keuangan yang Catatu produksi sendiri (misalnya tips menabung, review fitur), beserta caption dan hashtag. Tidak ada data pribadi user Catatu (transaksi, kategori, catatan, identitas) yang dikirim ke TikTok.
• Data yang Catatu terima dari TikTok: identifier akun TikTok Catatu (open_id), display name brand, dan statistik publik (jumlah view, like, comment) untuk monitoring performa konten marketing.
• Scope OAuth: user.info.basic (baca info akun brand Catatu sendiri) dan video.upload (upload draft video ke inbox akun brand Catatu — finalisasi posting tetap manual via TikTok app oleh tim Catatu).
• Token storage: access_token & refresh_token disimpan terenkripsi di database Supabase Catatu, akses dibatasi ke service-role server (gak ada akses dari client/browser).

Untuk user Catatu: integrasi ini tidak meminta akses ke akun TikTok pribadimu. Kamu tidak perlu connect TikTok untuk menggunakan Catatu. Kalo nanti kami buka fitur untuk user share konten finansial sendiri ke TikTok, kebijakan ini akan diperbarui dulu dengan consent flow yang jelas.

Privacy policy TikTok: tiktok.com/legal/privacy-policy.

11. Anak di bawah umur

Catatu tidak ditujukan untuk anak di bawah 13 tahun. Kami tidak sengaja mengumpulkan data dari anak. Kalo orang tua / wali menemukan anak di bawah 13 tahun mendaftar, hubungi admin untuk hapus akun.

12. Perubahan kebijakan

Kalo kebijakan berubah, kami kasih tau via email & banner di app minimal 14 hari sebelum berlaku.