Dasar Privasi

Dikemas kini terakhir 28 Mei 2026

Dasar ini menerangkan bagaimana PocketLab ("kami") mengendalikan data peribadi dalam PocketPOS, selaras dengan Akta Perlindungan Data Peribadi 2010 (PDPA) Malaysia, termasuk pindaan 2024. Dengan menggunakan Perkhidmatan, anda bersetuju dengan pengendalian ini.

Pengawal data: PocketLab [nama entiti berdaftar & no. SSM — perlu disahkan], [alamat berdaftar]. Hubungan privasi: hello@pocketlab.my.

1. Apa yang kami kumpul

Data akaun penyewa — nama, e-mel, telefon, nama perniagaan, peranan, dan kelayakan log masuk (kata laluan disimpan dalam bentuk bcrypt hash).
Profil pemilik / perniagaan — nama perniagaan berdaftar, jenis perniagaan, industri, nombor SSM (pilihan), alamat, dan butiran yang anda isi dalam Owner Details.
Data kedai yang anda masukkan — produk, kategori, pesanan, perbelanjaan, pembekal, tetapan, dan katalog yang anda terbitkan di URL kedai anda.
Penjenamaan kedai (pilihan) — logo, slogan, "Tentang kami", banner, dan URL media sosial yang anda terbitkan ke kedai pelanggan.
Konfigurasi pembayaran — kelayakan get pembayaran anda (cth. ToyyibPay), disulitkan semasa disimpan dan digunakan hanya untuk memproses jualan anda sendiri.
Data pelanggan anda (di mana anda memilih untuk merekodnya) — nama, nombor telefon, alamat e-mel, nota, baki akaun (store credit), mata kesetiaan, diskaun tetap, dan sejarah pesanan. Lihat §3.
Akaun keahlian pelanggan (langgan Prime) — apabila penyewa menjemput pelanggan untuk log masuk ke kedai, kami menyimpan tambahan kata laluan pelanggan yang di-bcrypt-hash dan token jemputan jangka pendek (sekali guna, tamat tempoh 14 hari).
Resit pembayaran yang dimuat naik pelanggan — apabila pelanggan membayar pesanan transfer/QR melalui aplikasi bank dan memuat naik tangkapan skrin atau PDF, fail itu disimpan terhadap pesanan supaya penyewa boleh mengesahkan pembayaran. Nombor akaun bank dan rujukan transaksi yang kelihatan dalam muat naik tersebut adalah data peribadi dan dianggap sulit.
Log operasi — peristiwa log masuk (berjaya dan gagal) termasuk e-mel dan IP, digunakan untuk mengesan aktiviti brute-force. Disimpan untuk tujuan respons-insiden sahaja.
Data teknikal — log permintaan asas dan maklumat peranti yang diperlukan untuk menjalankan dan melindungi Perkhidmatan.

2. Bagaimana kami menggunakannya

Untuk menyediakan dan mengendalikan Perkhidmatan, mengesahkan anda, memproses langganan anda, menyediakan sokongan, mengekalkan keselamatan Perkhidmatan, mengesan dan menangani penyalahgunaan, dan menambah baik produk. Kami tidak menjual data peribadi anda dan tidak menggunakannya untuk pengiklanan pihak ketiga.

3. Data pelanggan anda (PocketPOS sebagai pemproses anda)

Apabila anda merekod pelanggan, pesanan, resit pembayaran, mata kesetiaan, atau baki store-credit terhadap pelanggan anda dalam PocketPOS, anda adalah pengawal data untuk maklumat tersebut. Anda bertanggungjawab untuk mempunyai asas yang sah untuk mengumpulnya di bawah PDPA. Kami memprosesnya bagi pihak anda untuk menyediakan Perkhidmatan. Jika pelanggan anda menggunakan hak PDPA terhadap anda (akses, pembetulan, penarikan persetujuan), anda mesti memenuhi permintaan tersebut — hubungi kami jika anda perlukan bantuan mengeluarkan data.

4. Dengan siapa kami berkongsi (sub-pemproses)

Kami menggunakan set kecil penyedia yang dipercayai semata-mata untuk menjalankan Perkhidmatan. Setiap satu memproses data hanya sebagaimana yang diperlukan.

Supabase — pangkalan data Postgres dan infrastruktur pengesahan. Dihoskan di rantau ap-southeast-1 (Singapura).
Cloudinary — hosting imej dan PDF untuk imej produk, kod QR pemindahan, logo dan banner penjenamaan, serta resit pembayaran yang dimuat naik pelanggan. Aset menggunakan pengecam rawak yang tidak boleh diteka dan tidak diindeks secara awam.
ToyyibPay — get pembayaran. Digunakan per-penyewa untuk pembayaran kedai / QR menggunakan akaun ToyyibPay anda sendiri, dan di peringkat platform untuk pengebilan langganan PocketPOS anda.
Vercel — hosting aplikasi dan CDN. Melihat metadata permintaan (IP, user agent) tetapi tidak mengekalkan data aplikasi.
WhatsApp (melalui pautan wa.me) — kami menjana pautan "Hantar di WhatsApp" yang anda ketuk untuk membuka WhatsApp anda sendiri. Tiada data dihantar ke pelayan Meta dari Perkhidmatan; anda mengawal mesej sebenar sebelum menghantar.

Kami juga mungkin mendedahkan data di mana dikehendaki oleh undang-undang (cth. perintah mahkamah yang sah, permintaan perlindungan data berkanun).

5. Pemindahan rentas sempadan

Data anda disimpan dengan Supabase di rantau Singapura (ap-southeast-1). Cloudinary, ToyyibPay, dan Vercel mungkin memproses data di luar Malaysia dalam bidang kuasa dengan undang-undang perlindungan data setanding, dan kami bergantung pada komitmen keselamatan dan pengendalian data yang diterbitkan oleh setiap penyedia.

6. Penyimpanan & keselamatan

Data dihantar melalui TLS dan dilindungi oleh dasar keselamatan baris-tahap, kawalan akses berdasarkan peranan, dan hashing kata laluan per-akaun (bcrypt). Kelayakan get pembayaran disulitkan semasa disimpan. Cubaan log masuk di setiap permukaan log masuk dihadkan kadar dan cubaan yang gagal direkodkan untuk mengesan brute-force. Tiada sistem yang sepenuhnya selamat, tetapi kami mengambil langkah berpatutan untuk melindungi data anda.

7. Pengekalan

Kami menyimpan data anda selagi akaun anda aktif dan sebagaimana yang diperlukan untuk menyediakan Perkhidmatan atau memenuhi kewajipan undang-undang. Setakat dasar ini:

Akaun penyewa dan data kedai — disimpan untuk tempoh langganan anda. Atas permintaan kami akan memadamkan akaun anda; kami mengekalkan rekod minimum transaksi pengebilan di mana dikehendaki oleh undang-undang cukai.
Resit pembayaran yang dimuat naik pelanggan — disimpan terhadap pesanan selama pesanan itu wujud. Kami sedang bergerak ke arah tempoh pengekalan yang ditakrifkan selepas pesanan ditandakan dibayar; buat masa ini penyewa boleh memadamkan bukti secara manual pada halaman butiran pesanan.
Log audit log masuk yang gagal — disimpan untuk tujuan respons-insiden; kami sedang bergerak ke arah prune automatik 90 hari untuk permukaan ini.
Akaun keahlian pelanggan — disimpan sehingga pelanggan atau penyewa meminta pemadaman.

8. Hak anda di bawah PDPA

Anda boleh memohon akses kepada dan pembetulan data peribadi anda, dan anda boleh menarik balik persetujuan untuk pemprosesannya (yang mungkin bermakna kami tidak lagi dapat menyediakan Perkhidmatan kepada anda). Jika anda adalah pelanggan penyewa PocketPOS, hubungi penyewa secara langsung untuk permintaan tentang data membeli-belah anda — mereka adalah pengawal data untuk data tersebut. Untuk melaksanakan hak terhadap PocketLab sendiri, hubungi hello@pocketlab.my. Kami membalas dalam tempoh yang munasabah.

9. Kuki

Kami menggunakan kuki sesi, pengesahan, dan keutamaan bahasa yang penting yang diperlukan untuk membuat anda log masuk dan untuk mengendalikan Perkhidmatan (termasuk kuki pp_locale yang mengingati pilihan bahasa anda di laman pemasaran). Kami tidak menggunakan kuki untuk pengiklanan pihak ketiga atau pengesanan rentas tapak.

10. Kanak-kanak

Perkhidmatan adalah untuk kegunaan perniagaan oleh orang dewasa. Kami tidak memproses data peribadi kanak-kanak di bawah umur 18 tahun secara sedar.

11. Perubahan

Kami mungkin mengemas kini dasar ini; tarikh "dikemas kini terakhir" di bahagian atas akan berubah, dan perubahan material akan dikomunikasikan melalui Perkhidmatan atau e-mel.

12. Hubungi

Soalan atau permintaan privasi: hello@pocketlab.my.