kembali ke Legal

Perjanjian Pemrosesan Data

Terakhir diperbarui:
2024-11-21

Perjanjian Pemrosesan Data Botpress (DPA)

DPA ini merupakan tambahan dan bagian yang tidak terpisahkan dari perjanjian antara entitas grup Botpress yang tercantum dalam Ketentuan Layanan dan Pelanggan. DPA ini berlaku setelah diikutsertakan ke dalam perjanjian tersebut melalui referensi.

1. Definisi

1.a Istilah yang diawali huruf kapital yang tidak didefinisikan di sini memiliki arti sebagaimana dijelaskan dalam Perjanjian.

1.b Dalam DPA ini:

(a) “Perjanjian” memiliki arti sebagaimana dijelaskan dalam Ketentuan Layanan.

(b) “Grup Botpress” berarti Botpress dan afiliasinya.

(c) “Informasi Pribadi California” berarti Data Pribadi yang tunduk pada perlindungan CCPA.

(d) “Undang-Undang Perlindungan Data Kanada” berarti Personal Information Protection and Electronic Documents Act, SC 2000, c 5 dan Act respecting the protection of personal information in the private sector, CQLR c P-39.1 sebagaimana dapat diubah, digantikan, atau diperbarui.

(e) “CCPA” berarti California Civil Code Sec. 1798.100 et seq. (juga dikenal sebagai California Consumer Privacy Act of 2018).

(f) “Konsumen”, “Bisnis”, “Menjual” dan “Penyedia Layanan” memiliki arti sebagaimana dijelaskan dalam CCPA.

(g) “Pengendali” berarti setiap Orang yang, sendiri atau bersama pihak lain, menentukan tujuan dan cara Pemrosesan Data Pribadi.

(h) “Undang-Undang Perlindungan Data” berarti semua peraturan perundang-undangan terkait perlindungan data dan privasi yang berlaku secara global dan berlaku bagi pihak dalam DPA ini, termasuk namun tidak terbatas pada Undang-Undang Perlindungan Data Eropa, Undang-Undang Perlindungan Data Kanada, dan CCPA, sebagaimana diubah, dicabut, digabungkan, atau diganti dari waktu ke waktu.

(i) “Subjek Data” berarti individu yang menjadi subjek Data Pribadi.

(j) “Eropa” berarti Uni Eropa, Wilayah Ekonomi Eropa dan/atau negara anggotanya, Swiss, dan Britania Raya.

(k) “Undang-Undang Perlindungan Data Eropa” berarti undang-undang perlindungan data yang berlaku di Eropa, sebagaimana dapat diubah, digantikan, atau diperbarui.

(l) “Data Eropa” berarti Data Pribadi yang tunduk pada perlindungan Undang-Undang Perlindungan Data Eropa.

(m) “Afiliasi yang Diizinkan” berarti setiap Afiliasi Pelanggan yang (i) diizinkan menggunakan Layanan Perangkat Lunak sesuai dengan Perjanjian, (ii) memenuhi syarat sebagai Pengendali Data Pribadi yang diproses oleh Botpress, dan (iii) tunduk pada Undang-Undang Perlindungan Data Eropa.

(n) “Orang” diartikan secara luas dan mencakup individu, korporasi, perseroan terbatas, perusahaan komanditer, perusahaan, asosiasi, kemitraan, perwalian atau warisan, usaha patungan, entitas pemerintah atau subdivisinya, atau entitas lainnya.

(o) “Data Pribadi” berarti setiap informasi yang berkaitan dengan individu yang teridentifikasi atau dapat diidentifikasi.

(p) “Pemrosesan” atau “Memproses” berarti setiap operasi atau rangkaian operasi yang dilakukan oleh Prosesor terhadap Data Pribadi, baik dengan cara otomatis maupun tidak;

(q) “Prosesor” berarti Orang yang Memproses Data Pribadi atas nama Pengendali.

(r) “Regulator” berarti, jika berlaku, setiap Orang atau lembaga penegak hukum atau lembaga lain yang memiliki kewenangan regulasi, pengawasan, atau pemerintahan (baik berdasarkan skema perundang-undangan atau lainnya) atas seluruh atau sebagian Pemrosesan Data Pribadi sehubungan dengan penyediaan atau penerimaan Layanan, termasuk, tanpa batasan, otoritas pengawas perlindungan data Eropa;

(s) “Pelanggaran Keamanan” berarti pelanggaran keamanan yang menyebabkan kehancuran, kehilangan, perubahan, pengungkapan tanpa izin, atau akses tidak sah terhadap Data Pribadi yang dikirimkan, disimpan, atau diproses oleh Botpress dan/atau Sub-Prosesor sehubungan dengan penyediaan Layanan, tidak termasuk kejadian yang tidak mengkompromikan keamanan Data Pribadi, termasuk upaya masuk yang gagal, ping, pemindaian port, serangan penolakan layanan, dan serangan jaringan lainnya pada firewall atau sistem jaringan.

(t) “Layanan” berarti Layanan Perangkat Lunak atau Layanan Profesional yang disediakan oleh entitas mana pun dari Grup Botpress kepada Pelanggan atau Afiliasinya.

(u) “Klausul Kontrak Standar” berarti klausul kontrak standar yang dilampirkan pada Keputusan Komisi Eropa (EU) 2021/914 tanggal 4 Juni 2021; sebagaimana dapat diubah, digantikan, atau diperbarui.

(v) “Sub-Prosesor” berarti setiap Prosesor yang dilibatkan oleh Botpress atau Afiliasi Botpress untuk membantu memenuhi kewajiban Botpress terkait penyediaan Layanan berdasarkan Perjanjian. Sub-Prosesor dapat mencakup pihak ketiga atau Afiliasi Botpress tetapi tidak termasuk individu yang dipekerjakan atau dilibatkan oleh Botpress.

(w) “Negara Ketiga” berarti yurisdiksi atau penerima: (i) yang tidak diakui oleh Komisi Eropa sebagai menyediakan tingkat perlindungan data pribadi yang memadai; dan (ii) yang tidak tercakup dalam kerangka kerja yang diakui oleh otoritas atau pengadilan terkait sebagai menyediakan tingkat perlindungan data pribadi yang memadai;

(x) “Data Penggunaan” berarti data terkait penggunaan Perangkat Lunak oleh Pengguna yang Diotorisasi, yang dapat berisi Data Pribadi jika identifikasi pengguna individu diperlukan namun tidak termasuk Data Percakapan. Data Penggunaan dapat mencakup Data Pribadi tentang karyawan dan kontraktor Pelanggan namun tidak tentang pengguna akhir yang berinteraksi dengan Bot Pelanggan.

2. Peran para pihak

2.a Dalam Memproses Data Percakapan melalui Layanan, para pihak mengakui dan menyetujui bahwa Pelanggan bertindak sebagai Pengendali dan Botpress bertindak sebagai Prosesor.

2.b Jika Pelanggan bertindak sebagai Prosesor atas nama Pengendali, maka Botpress dianggap sebagai sub-prosesor Pelanggan.

2.c Botpress akan bertindak sebagai Pengendali terkait Data Penggunaan.

3. Kepatuhan terhadap Undang-Undang Perlindungan Data

3.a Setiap pihak harus melakukan pemrosesan Data Pribadi sesuai dengan semua Undang-Undang Perlindungan Data yang berlaku.

3.b Botpress tidak bertanggung jawab atas kepatuhan terhadap Undang-Undang Perlindungan Data yang berlaku bagi Pelanggan atau industri Pelanggan yang tidak berlaku secara umum bagi Botpress.

3.c Jika Botpress mengetahui bahwa Botpress tidak dapat Memproses Data Pribadi sesuai instruksi Pelanggan karena persyaratan hukum berdasarkan undang-undang yang berlaku, Botpress akan (i) segera memberi tahu Pelanggan tentang persyaratan hukum tersebut sejauh diizinkan oleh hukum yang berlaku; dan (ii) jika diperlukan, menghentikan seluruh Pemrosesan (selain hanya menyimpan dan menjaga keamanan Data Pribadi yang terdampak) sampai Pelanggan memberikan instruksi baru yang sesuai dengan hukum yang berlaku. Jika ketentuan ini diterapkan, Botpress tidak bertanggung jawab kepada Pelanggan berdasarkan Perjanjian atas kegagalan dalam memberikan Layanan Perangkat Lunak atau Layanan Profesional yang berlaku sampai Botpress secara wajar menentukan bahwa instruksi Pelanggan sah.

4. Kewajiban Botpress

4.a Botpress hanya akan Memproses Data Pribadi untuk tujuan yang dijelaskan dalam DPA ini atau sebagaimana disepakati dalam ruang lingkup instruksi sah yang diterima dari Pelanggan, kecuali jika dan sejauh diwajibkan oleh hukum yang berlaku.

4.b Botpress akan menerapkan dan memelihara langkah-langkah teknis dan organisasi yang sesuai untuk melindungi Data Pribadi dari Insiden Keamanan, termasuk sebagaimana dijelaskan dalam Lampiran 2 pada DPA ini (“Langkah-Langkah Keamanan”). Botpress dapat mengubah atau memperbarui Langkah-Langkah Keamanan atas kebijakannya sendiri selama perubahan tersebut tidak menyebabkan penurunan perlindungan secara material.

4.c Botpress akan memperlakukan Data Pribadi sebagai informasi rahasia milik Pelanggan dan memastikan bahwa setiap karyawan atau kontraktor yang diberi wewenang untuk mengakses atau Memproses Data Pribadi tunduk pada kewajiban kerahasiaan yang sesuai (baik secara kontraktual maupun berdasarkan undang-undang) terhadap Data Pribadi tersebut.

4.d Botpress akan menghapus atau mengembalikan semua Data Pribadi yang Diproses sesuai dengan DPA ini, pada saat penghentian atau berakhirnya Perjanjian. Botpress dapat menyimpan salinan Data Pribadi jika diwajibkan oleh hukum yang berlaku, atau jika Data Pribadi telah diarsipkan dalam sistem cadangan, di mana data tersebut akan diisolasi secara aman dan dilindungi dari Pemrosesan lebih lanjut serta dihapus sesuai dengan praktik penghapusan yang berlaku.

5. Kewajiban Pelanggan

5.a Pelanggan bertanggung jawab untuk memastikan bahwa penggunaan Layanan Perangkat Lunak atau Perangkat Lunak sesuai dengan semua Hukum Perlindungan Data yang berlaku, termasuk dengan memastikan bahwa (i) Pelanggan berwenang menunjuk Botpress untuk Memproses Data Pribadi atas namanya sesuai dengan DPA ini, (ii) Pelanggan memiliki hak untuk mentransfer, atau memberikan akses ke, Data Pribadi kepada Botpress untuk diproses sesuai dengan ketentuan Perjanjian (termasuk DPA ini), (iii) memastikan bahwa instruksi Pelanggan terkait Pemrosesan Data Pribadi mematuhi hukum yang berlaku, termasuk Hukum Perlindungan Data;

5.b Pelanggan harus segera memberi tahu Botpress secara tertulis jika memiliki alasan untuk percaya atau telah diberitahu bahwa Pemrosesan Data Pribadi yang dilakukan Pelanggan melalui Layanan melanggar atau mungkin melanggar hukum yang berlaku, termasuk Hukum Perlindungan Data.

5.c Pelanggan bertanggung jawab untuk menentukan apakah langkah-langkah keamanan yang diterapkan oleh Botpress sudah cukup memenuhi kewajiban Pelanggan berdasarkan Hukum Perlindungan Data yang berlaku. Pelanggan juga bertanggung jawab untuk memastikan bahwa akses ke Layanan Perangkat Lunak diamankan dan hanya diberikan kepada personel yang berwenang.

6. Pelanggaran Keamanan

6.a Botpress akan segera memberi tahu Pelanggan jika mengetahui adanya Pelanggaran Keamanan dan akan memberikan informasi terkait Pelanggaran Keamanan tersebut secara tepat waktu saat informasi tersebut diketahui atau secara wajar diminta oleh Pelanggan.

6.b Atas permintaan, Botpress akan segera memberikan bantuan yang wajar kepada Pelanggan sebagaimana diperlukan agar Pelanggan dapat memberi tahu Pelanggaran Keamanan kepada Regulator dan/atau Subjek Data yang terdampak, jika pemberitahuan tersebut diwajibkan oleh Hukum Perlindungan Data.

7. Sub-Prosesor

7.a Botpress dapat melibatkan Sub-Prosesor untuk Memproses Data Pribadi. Daftar Sub-Prosesor saat ini tercantum pada Lampiran 3, setiap perubahan pada Sub-Prosesor akan diberitahukan kepada Pelanggan.

7.b Botpress memilih Sub-Prosesor yang memberikan komitmen perlindungan data yang setidaknya setara dengan tingkat perlindungan Data Pribadi sebagaimana diatur dalam DPA ini (termasuk, jika berlaku, Klausul Kontrak Standar), sejauh berlaku untuk jenis layanan yang diberikan oleh Sub-Prosesor tersebut. Botpress tetap bertanggung jawab atas kepatuhan setiap Sub-Prosesor terhadap kewajiban dalam DPA ini dan atas setiap tindakan atau kelalaian Sub-Prosesor yang menyebabkan pelanggaran terhadap kewajiban Botpress dalam DPA ini.

7.c Jika Botpress Memproses Data Eropa atas nama Pelanggan, Pelanggan dapat menolak Sub-Prosesor baru, dengan alasan yang wajar terkait perlindungan data. Jika diberitahu tentang penolakan tersebut, Botpress setuju untuk mendiskusikan masalah tersebut dengan itikad baik guna mencapai solusi yang wajar secara komersial. Jika tidak tercapai solusi, Botpress dapat memilih untuk tidak menunjuk Sub-Prosesor baru tersebut, atau mengizinkan Pelanggan untuk mengakhiri langganan pada bagian Layanan Perangkat Lunak yang bergantung pada Sub-Prosesor baru tersebut tanpa tanggung jawab bagi kedua belah pihak (namun tanpa mengurangi biaya yang telah timbul sebelum pengakhiran).

7.d Jika diwajibkan oleh hukum atau berdasarkan Klausul Kontrak Standar, Botpress akan berupaya secara wajar untuk menyediakan kepada Pelanggan informasi yang diperlukan tentang perjanjian Botpress dengan Sub-Prosesor. Pelanggan setuju bahwa beberapa informasi dapat disunting dari perjanjian tersebut atau diberikan secara rahasia.

8. Transfer Data Pribadi

8.a Pemrosesan Data Pribadi selain Data Eropa oleh entitas Botpress Group akan dilakukan di yurisdiksi mana pun di mana pemrosesan tersebut diizinkan oleh hukum yang berlaku di Yurisdiksi Privasi.

8.b Pemrosesan Data Eropa hanya akan dilakukan:

a) Di dalam Eropa;

b) Di yurisdiksi yang memberikan tingkat perlindungan yang memadai berdasarkan keputusan Komisi Eropa sesuai Hukum Perlindungan Data yang berlaku;

c) Di yurisdiksi mana pun, oleh organisasi atau entitas yang menawarkan perlindungan yang sesuai, termasuk melalui Klausul Kontrak Standar;

d) Di yurisdiksi mana pun, dengan persetujuan tertulis dari Pelanggan atau Subjek Data yang bersangkutan.

8.c Ketika Pemrosesan Data Eropa dilakukan di Negara Ketiga, para pihak dianggap telah menyetujui Klausul Kontrak Standar hanya untuk Data Pribadi dan Pemrosesan yang relevan. Para pihak setuju bahwa untuk tujuan Klausul Kontrak Standar:

a) Jika Pelanggan adalah Pengendali dan Botpress adalah Prosesor, Modul 2 (Pengendali ke Prosesor) akan berlaku.

b) Jika Pelanggan adalah Prosesor dan Botpress adalah sub-prosesor, Modul 3 (Prosesor ke Prosesor) akan berlaku.

c) Terkait Data Penggunaan, Modul 1 (Pengendali ke Pengendali) akan berlaku.

d) Pada Klausul 7 dari Klausul Kontrak Standar, klausul docking opsional tidak berlaku;

e) Pada Klausul 9 dari Klausul Kontrak Standar, Opsi 2 akan berlaku dan jangka waktu pemberitahuan tertulis sebelumnya untuk perubahan sub-prosesor adalah 10 hari;

f) Pada Klausul 11 dari Klausul Kontrak Standar, bahasa opsional tidak berlaku;

g) Pada Klausul 17 (Opsi 1), Klausul Kontrak Standar akan diatur oleh hukum Irlandia;

h) Pada Klausul 18(b) dari Klausul Kontrak Standar, sengketa akan diselesaikan di pengadilan Irlandia;

i) Botpress akan menjadi "importir data" dan Pelanggan akan menjadi "eksportir data" (atas nama sendiri dan Afiliasi yang Diizinkan);

j) Informasi relevan yang tercantum dalam Lampiran 1 dan Lampiran 2 DPA ini dianggap termasuk dalam Lampiran Klausul Kontrak Standar;

k) Jika dan sejauh Klausul Kontrak Standar bertentangan dengan ketentuan DPA ini, Klausul Kontrak Standar akan berlaku sejauh terjadi pertentangan tersebut.

8.d Transfer Swiss dan Inggris. Sejauh transfer Data Pribadi antara Pelanggan dan Botpress dan/atau Sub-Prosesor tunduk pada Hukum Perlindungan Data Swiss atau Inggris, Klausul Kontrak Standar dianggap telah diubah untuk mencerminkan persyaratan Hukum Perlindungan Data Swiss dan Inggris yang berlaku, termasuk referensi pada undang-undang, hukum yang berlaku, serta otoritas dan pengadilan yang berwenang.

9. Pemrosesan CCPA

9.a Saat memproses Informasi Pribadi California sesuai instruksi Pelanggan, para pihak mengakui dan setuju bahwa Pelanggan adalah Bisnis dan Botpress adalah Penyedia Layanan untuk tujuan CCPA. Para pihak setuju bahwa Botpress akan Memproses Informasi Pribadi California sebagai Penyedia Layanan semata-mata untuk tujuan menjalankan Layanan Perangkat Lunak dan Layanan Profesional berdasarkan Perjanjian ("Tujuan Bisnis") atau sebagaimana diizinkan oleh CCPA.

10. Permintaan Pihak Ketiga

10.a Pelanggan bertanggung jawab untuk menangani setiap permintaan dari Subjek Data atau Regulator terkait Data Pribadi mereka dan Pelanggan harus menggunakan fitur Layanan Perangkat Lunak yang tersedia untuk mengambil informasi relevan tentang pemrosesan Data Pribadi.

10.b Jika Pelanggan tidak dapat menangani sendiri permintaan dari Subjek Data atau Regulator ("Permintaan"), Botpress akan memberikan bantuan yang wajar kepada Pelanggan, untuk menanggapi permintaan tersebut terkait Pemrosesan Data Pribadi berdasarkan Perjanjian. Kecuali jika dan sejauh permintaan didasarkan pada kegagalan Botpress memenuhi kewajibannya berdasarkan DPA ini, Pelanggan harus mengganti biaya wajar Botpress atas bantuan yang diberikan kepada Pelanggan.

10.c Jika Permintaan atau komunikasi lain terkait Pemrosesan Data Pribadi berdasarkan Perjanjian diajukan langsung ke Botpress, Botpress akan segera memberi tahu Pelanggan dan akan menyarankan Subjek Data atau Regulator untuk mengajukan Permintaan mereka langsung ke Pelanggan. Pelanggan sepenuhnya bertanggung jawab untuk memberikan tanggapan substantif atas setiap Permintaan atau komunikasi terkait Data Pribadi.

11. Audit terkait data pribadi

11.a Atas permintaan dan dengan pemberitahuan yang wajar kepada Botpress, Pelanggan berhak, atas biaya sendiri, melakukan verifikasi yang diperlukan untuk memastikan bahwa Data Pribadi yang diproses oleh Botpress atas nama Pelanggan diproses sesuai dengan instruksi Pelanggan. Atas permintaan Pelanggan, Botpress akan mengizinkan audit dan inspeksi atas pemrosesan yang dilakukan oleh Botpress. Audit tersebut dapat dilakukan oleh Pelanggan dan/atau pihak ketiga (yang dipilih oleh Pelanggan dan secara wajar diterima oleh Botpress) yang bertindak atas nama Pelanggan. Pelanggan harus mengambil semua tindakan yang diperlukan untuk menghindari kerusakan atau gangguan pada lokasi, peralatan, personel, dan bisnis entitas Grup Botpress.

11.b Pelanggan dan Botpress harus menyepakati terlebih dahulu sifat, cakupan, dan durasi audit apa pun oleh Pelanggan, dan Pelanggan harus mengganti semua biaya wajar yang terkait dengan audit tersebut kepada Botpress, yang dapat diperkirakan atas permintaan Pelanggan sebelum audit dimulai. Sepanjang memungkinkan, setiap kebutuhan audit Pelanggan harus dipenuhi melalui laporan audit pihak ketiga yang disediakan oleh Botpress, jika tersedia.

11.c Jika Botpress Memproses Data Eropa atas nama Pelanggan, Botpress akan memberikan kepada Pelanggan, atas permintaan yang wajar (secara rahasia) (i) salinan ringkasan laporan pengujian keamanannya dan (ii) tanggapan tertulis atas semua permintaan informasi wajar yang diajukan oleh Pelanggan yang diperlukan untuk memastikan kepatuhan Botpress terhadap DPA ini, dengan ketentuan bahwa Pelanggan tidak dapat menggunakan hak ini lebih dari satu kali per tahun kalender kecuali Pelanggan dapat menunjukkan alasan yang wajar untuk mencurigai ketidakpatuhan Botpress terhadap DPA.

12. Batasan Tanggung Jawab

12.a Tanggung jawab Botpress dan Afiliasinya, secara agregat, yang timbul dari atau terkait dengan DPA ini (dan DPA lain antara para pihak) serta Klausul Kontrak Standar (jika berlaku), baik berdasarkan kontrak, perbuatan melawan hukum, atau teori tanggung jawab lainnya, akan dibatasi pada jumlah total Biaya yang dibayarkan oleh Pelanggan kepada Botpress sebagai imbalan atas Layanan selama 12 bulan sebelum kejadian yang menimbulkan tanggung jawab tersebut.

13. Yurisdiksi

Kecuali diwajibkan lain oleh Hukum Perlindungan Data yang berlaku, DPA ini akan diatur dan ditafsirkan sesuai dengan hukum yang berlaku pada Perjanjian dan setiap sengketa terkait Perjanjian ini akan diselesaikan oleh pengadilan yang berwenang di yurisdiksi yang tercantum dalam Proposal.

Sepanjang Hukum Perlindungan Data mewajibkan DPA ini diatur oleh hukum negara anggota Uni Eropa, DPA ini akan diatur oleh hukum Irlandia dan sengketa terkait Perjanjian ini akan diselesaikan oleh pengadilan Irlandia.

14. Umum

14.a Prioritas. Jika terdapat ketidaksesuaian antara ketentuan DPA ini dan ketentuan lain dalam Perjanjian, ketentuan DPA akan selalu diutamakan, kecuali dan sejauh secara tegas dinyatakan bahwa ketentuan lain dalam Perjanjian akan diutamakan atau bahwa ketentuan dalam DPA ini akan dikesampingkan atau diubah.

14.b Perubahan. Botpress dapat mengubah DPA ini untuk mencerminkan perubahan dalam praktik pemrosesan datanya. Setiap perubahan selain klarifikasi bahasa (yang akan dikomunikasikan secara rutin kepada Pelanggan) akan diajukan kepada Pelanggan dan tidak berlaku kecuali disetujui oleh Pelanggan. Jika perubahan DPA ini diwajibkan oleh hukum yang berlaku, Pelanggan akan memiliki opsi untuk menerima perubahan tersebut atau menghentikan langganan Layanan Perangkat Lunak.

14.c  Keterpisahan. Jika ada ketentuan dalam DPA ini yang dianggap tidak sah atau tidak dapat diberlakukan, keabsahan dan keberlakuan ketentuan lainnya dalam DPA ini tidak akan terpengaruh.


Lampiran 1 – Rincian Pemrosesan

Identifikasi Pengendali

Pelanggan

Orang yang dapat dihubungi: orang yang tercantum dalam Proposal yang diterima oleh Pelanggan.

Identifikasi Pemroses

Jika Pelanggan berlokasi di Kanada: Technologies Botpress Inc. Jika Pelanggan berlokasi di tempat lain: Botpress, Inc.

Kontak:

Jean-Bernard Perron [email protected]

Kategori Subjek Data

Pelanggan dapat mengirimkan Data Pribadi selama menggunakan Layanan Perangkat Lunak, sejauh mana ditentukan dan dikendalikan sepenuhnya oleh Pelanggan, tunduk pada syarat layanan yang berlaku, dan dapat mencakup, namun tidak terbatas pada Data Pribadi yang berkaitan dengan kategori Subjek Data berikut:

  • Individu yang menggunakan Perangkat Lunak atas nama Pelanggan
  • Pengguna Akhir Bot Pelanggan

Kategori Data Pribadi

Pelanggan dapat mengirimkan Data Pribadi ke Layanan Perangkat Lunak dan dapat mengizinkan Pengguna Akhir untuk mengirimkan Data Pribadi ke Layanan Perangkat Lunak, sejauh mana ditentukan dan dikendalikan sepenuhnya oleh Pelanggan, tunduk pada syarat layanan yang berlaku.

Layanan Perangkat Lunak tidak dirancang untuk tujuan Memproses data sensitif, sehingga Pelanggan bertanggung jawab untuk menentukan kesesuaian Layanan Perangkat Lunak dalam Memproses data sensitif.

Botpress akan memproses informasi kontak tentang Pengguna yang Berwenang (nama, email, telepon) serta data penggunaan dan perilaku terkait penggunaan produk untuk dukungan teknis dan tujuan statistik.

Sifat Pemrosesan

  • Penyimpanan dan Pemrosesan lain yang diperlukan untuk menyediakan, memelihara, dan meningkatkan Layanan yang diberikan kepada Pelanggan;
  • Pengungkapan sesuai dengan Perjanjian (termasuk DPA ini) dan/atau sebagaimana diwajibkan oleh hukum yang berlaku;
  • Botpress akan Memproses Data Pribadi sebagaimana diperlukan untuk menyediakan Layanan sesuai dengan Perjanjian, dan sesuai instruksi lebih lanjut dari Pelanggan dalam penggunaan Layanan.
  • Botpress Memproses Data Penggunaan untuk memberikan dukungan teknis dan untuk tujuan statistik (untuk pengembangan dan peningkatan produk).

Jangka Waktu Penyimpanan Data Pribadi

Tunduk pada kewajiban Botpress untuk menghapus atau mengembalikan data kepada Pelanggan, berdasarkan Perjanjian, Botpress akan Memproses Data Pribadi selama masa berlaku Perjanjian, kecuali disepakati lain secara tertulis

Lampiran 2 – Langkah-langkah Keamanan

1. Tata Kelola

Botpress menerapkan kebijakan dan prosedur yang sesuai terkait Data Pribadi, termasuk:

  • Prosedur Keamanan Informasi;
  • Kebijakan penggunaan Data Pribadi;
  • Prosedur Pelaporan Insiden Keamanan dan Privasi;
  • Mekanisme Penilaian Risiko;
  • Prosedur Audit Internal;
  • Langkah-langkah Kontraktual;

2. Akses Pengguna

  • Fungsi dan tanggung jawab pengguna Botpress serta profil pengguna yang memiliki akses ke Data Pribadi dan sistem informasi didefinisikan dengan jelas.
  • Botpress mengambil langkah-langkah untuk memberitahukan kepada penggunanya tentang aturan keamanan yang memengaruhi pelaksanaan tugas mereka dan konsekuensi jika melanggar aturan tersebut.
  • Protokol teks biasa tidak digunakan untuk mengakses atau mentransfer Data Pribadi. Hanya protokol SSL yang diterima untuk operasi ini.
  • Botpress memastikan keamanan proses dan prosedur untuk penanganan atau pembuangan media fisik atau peralatan yang dapat berisi Data Pribadi.
  • Data Pribadi dipisahkan secara fisik, atau secara logis jika berada di basis data atau lingkungan virtual, dari data Botpress lainnya. Jika Data Pribadi tidak dipisahkan secara fisik dari data, sistem, atau aplikasi lain yang tidak terkait dengan Pelanggan, Botpress menerapkan kontrol keamanan yang sesuai, termasuk kontrol akses.

3. Kontrol Akses

Botpress menjaga server, basis data terkait, dan komponen perangkat keras dan/atau perangkat lunak lain yang menyimpan Data Pribadi di pusat data yang aman dengan akses yang dikontrol dan dipantau untuk hanya mengizinkan personel yang berwenang.

Botpress menerapkan langkah-langkah kontrol akses logis yang efektif pada semua sistem yang digunakan untuk membuat, mentransmisikan, atau memproses Data Pribadi, termasuk namun tidak terbatas pada:

  • Otentikasi pengguna, yang harus menggunakan pengenal unik ("user ID") dan nama.
  • Strategi kata sandi yang cukup kompleks dan kuat.
  • Hak/privilege akses pengguna ke sumber daya informasi yang berisi Data Pribadi harus diberikan berdasarkan kebutuhan sesuai tugas dan tanggung jawab pengguna.
  • Akses pengguna ke sistem komputer yang memungkinkan akses ke Data Pribadi harus segera dihapus setelah pengguna keluar atau jika pengguna pindah pekerjaan dan pekerjaan barunya tidak memerlukan akses tersebut.
  • Kata sandi dan pengaturan keamanan default harus diubah pada produk/aplikasi pihak ketiga yang digunakan untuk mendukung Data Pribadi.
  • Penyedia layanan pihak ketiga harus tunduk pada persyaratan dan kewajiban keamanan yang setara dengan pengguna resmi Botpress saat memproses Data Pribadi.
  • Validasi ulang tahunan atas alasan keberadaan akun pengguna dan otorisasi terkait yang memiliki akses ke informasi pribadi.

4. Arsitektur keamanan jaringan

Botpress menerapkan langkah-langkah pengendalian akses jaringan yang efektif pada semua sistem yang digunakan untuk membuat, mengirim, atau memproses Data Pribadi, termasuk namun tidak terbatas pada:

  • Firewall selalu aktif dan dipasang di perbatasan jaringan antara jaringan internal (pribadi) Botpress dan jaringan publik (Internet).
  • Sistem deteksi dan pencegahan intrusi yang dikonfigurasi dengan benar dan dipantau digunakan di jaringan Botpress.
  • Hanya layanan/proses dan port yang diperlukan untuk menjalankan program rutin yang diaktifkan pada basis data dan sistem informasi lain yang digunakan untuk memproses Data Pribadi. Semua layanan/proses lain pada host dinonaktifkan.
  • Semua sistem informasi, repositori, dan sistem lain yang digunakan untuk memproses Data Pribadi harus secara fisik berada di lingkungan pusat data yang terkontrol dan digunakan untuk tujuan melindungi sistem informasi.
  • Saluran aman (misalnya, TLS, SFTP, SSH, IPSEC, dll.) harus selalu digunakan untuk komunikasi ke pusat data Botpress.

5. Pengendalian Manajemen Kerentanan

Botpress menerapkan pengendalian manajemen kerentanan yang efektif pada semua sistem yang digunakan untuk membuat, mengirim, atau memproses Data Pribadi, termasuk namun tidak terbatas pada:

  • Penerapan perangkat pencegahan dan deteksi jaringan untuk membantu memfilter email phishing dan malware sebelum mencapai workstation yang dikelola oleh Botpress dan memiliki akses langsung atau tidak langsung ke Data Pribadi.
  • Penerapan perangkat lunak pencegahan dan deteksi anti-virus serta anti-malware pada semua workstation yang dikelola oleh Botpress dan memproses Data Pribadi.
  • Memelihara proses dan praktik manajemen patch standar untuk memastikan perlindungan semua perangkat yang digunakan untuk mengakses, memproses, atau menyimpan Data Pribadi.
  • Perangkat dan dokumen yang berisi Data Pribadi harus memungkinkan identifikasi informasi yang diakses, diinventarisasi, dan hanya dapat diakses oleh pengguna yang berwenang sesuai dengan dokumen keamanan.
  • Langkah-langkah untuk mencegah pencurian, kehilangan, atau akses tidak sah ke Data Pribadi selama proses transmisi dan transfer.

6. Cadangan data, pemulihan, dan ketersediaan

Botpress menerapkan rencana pemulihan bencana dan kelangsungan bisnis berikut untuk meminimalkan waktu henti maksimum dan kehilangan data.

  • Botpress menerapkan fungsi pemulihan bencana yang dirancang untuk memulihkan fungsi sistem yang berisi Data Pribadi dalam jangka waktu yang disepakati para pihak atau, jika tidak ada, dalam waktu yang wajar sesuai dengan sifat Data Pribadi.
  • Botpress secara sistematis memastikan bahwa Data Pribadi tidak dapat diakses selain oleh personel Botpress yang berwenang (misalnya, cadangan eksternal harus selalu dienkripsi).
  • Untuk mengurangi risiko dari ancaman lingkungan, bahaya, dan peluang akses tidak sah, peralatan harus ditempatkan jauh dari lokasi yang berisiko lingkungan tinggi dan didukung oleh peralatan cadangan yang terletak pada jarak yang wajar.
  • Mekanisme keamanan dan redundansi harus diterapkan untuk melindungi peralatan dari gangguan layanan utilitas (misalnya, pemadaman listrik, gangguan jaringan, dll.).
  • Kebijakan dan prosedur untuk retensi dan penyimpanan data harus ditetapkan dan mekanisme cadangan atau redundansi diterapkan untuk memastikan kepatuhan terhadap persyaratan regulasi, hukum, kontrak, atau bisnis. Pengujian pemulihan cadangan disk atau pita harus dilakukan pada interval yang direncanakan.

7. Audit keamanan

Botpress menerapkan pengendalian pada semua sistem yang digunakan untuk membuat, mengirim, atau memproses Data Pribadi, termasuk namun tidak terbatas pada:

  • Pemindaian kerentanan atau audit oleh pihak ketiga terhadap perangkat infrastruktur yang menghadap ke luar (publik) yang berisi Data Pribadi.
  • Pengujian penetrasi oleh pihak ketiga terhadap sistem Botpress yang menyimpan dan memproses Data Pribadi.
  • Evaluasi berkala oleh pihak ketiga di mana aplikasi atau proses mendukung informasi keuangan.
  • Botpress berkomitmen untuk menangani semua kerentanan yang diidentifikasi dari hasil pengujian penetrasi dan memberi tahu Pelanggan tentang tindakan perbaikan.

8. Pelatihan dan kesadaran

Botpress menerapkan program kesadaran keamanan untuk karyawan dan penyedia layanan yang berinteraksi dengan sistem yang menangani Data Pribadi, termasuk:

  • Botpress memastikan bahwa stafnya memahami ancaman dan perhatian terkait manajemen risiko informasi pada Layanan Botpress serta kebijakan manajemen risiko informasi yang relevan.
  • Staf Botpress harus menerima pelatihan dan pembaruan rutin mengenai kebijakan dan prosedur manajemen risiko informasi yang relevan sesuai dengan skema klasifikasi manajemen risiko standar dan prosedur yang sesuai.
  • Staf sub-kontraktor harus diberi informasi tentang skema klasifikasi manajemen risiko informasi Botpress dan prosedur yang sesuai.
  • Kebijakan dan prosedur harus ditetapkan untuk membersihkan dokumen yang terlihat yang berisi data sensitif ketika ruang kerja ditinggalkan tanpa pengawasan serta untuk menegakkan logout sesi workstation setelah periode tidak aktif.

Lampiran 3 – Sub-Prosesor

Botpress memelihara daftar Sub-Prosesor yang selalu diperbarui di Trust Center. Kecuali dinyatakan lain, semua data diproses di Amerika Serikat.

Laksanakan Perjanjian Pemrosesan Data
Semua Sistem Beroperasi
SOC 2
Tersertifikasi
GDPR
Patuh
© 2025
Hub
Integrasi
Saluran
LLMs
Sumber Daya
Hubungi Penjualan
Dokumentasi
Sewa Ahli
Video
Kisah Pelanggan
Referensi API
Blog
Status
Sumber Daya v12
Komunitas
Mitra & Afiliasi
Discord
Perusahaan
Tentang
Karier
Legal
Privasi