Kebijakan Privasi

Djambar AI FZCO Dubai Silicon Oasis, Dubai, United Arab Emirates Email: privacy@myumrah.ai Untuk data jamaah, agen perjalanan klien adalah pengendali data dan Djambar AI FZCO bertindak sebagai pemroses data.

Data agensi: nama, alamat, pendaftaran usaha, email, telepon, rincian perbankan, nomor PPN intra-Komunitas. Data jamaah (dikumpulkan oleh agensi melalui platform): • Identitas: nama, tanggal lahir, kewarganegaraan • Dokumen: nomor paspor, visa (terenkripsi AES-256) • Kesehatan: informasi medis yang diperlukan untuk perjalanan (terenkripsi AES-256) • Kontak: email, telepon, kontak darurat • Perjalanan: tanggal, paket, preferensi Data pembayaran: jenis kartu bank (Visa, Mastercard, Amex), empat digit terakhir kartu, pengidentifikasi transaksi Stripe. Nomor kartu lengkap, kode keamanan (CVV/CVC) dan tanggal kedaluwarsa tidak pernah dikumpulkan, diproses atau disimpan oleh MyUmrah.ai. Data ini diproses secara eksklusif oleh Stripe, penyedia bersertifikat PCI DSS Level 1. Data penelusuran: halaman yang dikunjungi, durasi sesi (melalui Umami Analytics, tanpa cookie, tanpa data pribadi).

• Pengelolaan hubungan komersial dengan agensi • Penyediaan layanan platform (manajemen paket, CRM, pesan) • Kepatuhan regulasi (GDPR, PDPL) melalui modul vDPO • Peningkatan platform (analitik anonim) • Keamanan platform (deteksi penipuan, jejak audit)

• Pelaksanaan kontrak (Ps. 6.1.b GDPR): penyediaan layanan yang dilanggan • Kepentingan sah (Ps. 6.1.f GDPR): keamanan, peningkatan layanan • Kewajiban hukum (Ps. 6.1.c GDPR): kepatuhan pajak dan regulasi • Persetujuan eksplisit (Ps. 9 GDPR): data kesehatan dan keyakinan agama

Data hanya dapat diakses oleh: • Agen perjalanan terkait (melalui isolasi RLS) • Tim teknis Djambar AI FZCO (dukungan, pemeliharaan) • Sub-pemroses teknis kami: Supabase (hosting), Vercel (CDN), Stripe (pembayaran), Anthropic (AI) Setiap sub-pemroses terikat oleh DPA yang sesuai dengan Pasal 28 GDPR.

Data dapat diproses di negara-negara berikut: • Uni Eropa (Supabase EU) • Amerika Serikat (Vercel, Stripe, Anthropic) - Klausul Kontrak Standar (SCC) telah diterapkan • Uni Emirat Arab (kantor pusat Djambar AI) Semua transfer dilindungi oleh perlindungan yang sesuai berdasarkan Bab V GDPR dan persyaratan PDPL.

• Data kritis (paspor, kesehatan): penghapusan otomatis 6 bulan setelah perjalanan • Data sensitif (keuangan, kontak darurat): maksimal 3 tahun • Data standar (identitas, preferensi): durasi kontrak + 1 tahun • Data penagihan: 10 tahun (kewajiban hukum) • Analitik: dianonimkan secara berkelanjutan, tidak ada data pribadi yang disimpan

Berdasarkan GDPR (Pasal 15 hingga 22) dan PDPL, Anda memiliki hak-hak berikut: • Hak akses • Hak perbaikan • Hak penghapusan ("hak untuk dilupakan") • Hak pembatasan pemrosesan • Hak portabilitas data • Hak keberatan Untuk menggunakan hak-hak ini: privacy@myumrah.ai Waktu respons: maksimal 30 hari. Anda juga dapat mengajukan pengaduan kepada CNIL (Prancis), SDAIA (Arab Saudi), atau otoritas perlindungan data yang berwenang.

MyUmrah.ai menggunakan Umami Analytics, solusi analitik yang menghormati privasi yang tidak menyetel cookie dan tidak mengumpulkan data pribadi apa pun. Stripe, penyedia pembayaran kami, dapat menggunakan cookie yang sangat diperlukan untuk pencegahan penipuan dan keamanan transaksi selama proses pembayaran. Cookie ini dikecualikan dari persyaratan persetujuan sesuai Pasal 5(3) Direktif 2002/58/EC (Direktif ePrivacy). Selain cookie fungsional ini, tidak diperlukan banner persetujuan.

Kami menerapkan langkah-langkah berikut: • Enkripsi AES-256 untuk data sensitif yang tersimpan • TLS 1.3 untuk semua komunikasi • Row Level Security (RLS) untuk isolasi data per agensi • Autentikasi MFA tersedia • Jejak audit untuk semua akses ke data sensitif • Pengujian keamanan berkala • Kepatuhan terhadap NIST Cybersecurity Framework dan CIS Benchmarks Level 1

Sesuai dengan Undang-Undang Perlindungan Data Pribadi (PDPL): • Pendaftaran SDAIA: dokumentasi yang telah diisi sebelumnya tersedia • Persetujuan ganda untuk data sensitif (kesehatan, agama) • Persetujuan orang tua diperlukan untuk data anak di bawah umur • Pemberitahuan pelanggaran dalam 72 jam ke SDAIA • Periode penyimpanan terbatas sesuai Pasal 18 PDPL

Kami berhak mengubah kebijakan ini. Setiap perubahan substansial akan diberitahukan melalui email kepada Klien setidaknya 30 hari sebelum berlaku.

Untuk pertanyaan mengenai kebijakan ini: Djambar AI FZCO Email: privacy@myumrah.ai Alamat: Dubai Silicon Oasis, Dubai, UAE