Kebijakan Privasi

Saat kamu pakai Mimoo, kami mengumpulkan: Saat daftar: - Nama (untuk display di profile & recovery page) - Email (untuk login & notifikasi) - Password (di-hash, kami sendiri tidak bisa lihat) - Pilihan avatar character Saat pakai Mimoo: - Item yang kamu buat (nama, kategori, pesan, recovery code) - Status item (aktif/lost) - Kontak darurat WhatsApp (jika Lost Mode aktif) — di-enkripsi - Reward description (opsional) Saat ada yang scan QR kamu: - Pesan penemu - Lokasi (text + GPS opsional) - Info penemu (kalau mereka isi: nama, kontak) - IP address penemu (di-hash, bukan raw) - User agent browser Kami tidak mengumpulkan: - Lokasi kamu saat tidak pakai Mimoo - Riwayat browser kamu - Data kontak di HP kamu - Photos atau media tanpa explicit upload

Data kamu digunakan untuk: - Operasional Mimoo: menampilkan item kamu di dashboard, render recovery page, kirim notifikasi email - Keamanan: audit log untuk anti-abuse (siapa akses kontak darurat, kapan) - Komunikasi: email transaksional (laporan penemu, reset password) — tidak ada marketing spam - Improvement: anonymous aggregate metrics (jumlah scan, success rate reunion) untuk improve produk Kami tidak akan: - Jual atau sewa data kamu - Bagi data ke advertiser - Pakai data kamu untuk train AI/ML model - Akses akun kamu tanpa permission (kecuali emergency support, dengan consent)

Lapisan keamanan Mimoo: - At-rest encryption: Database Supabase pakai AES-256 - Application-level encryption: Kontak darurat (WhatsApp) di-enkripsi di app layer pakai crypto-js sebelum disimpan ke DB. Kalau database leaked, kontak tetap aman. - In-transit: Semua koneksi pakai HTTPS/TLS 1.3 - Password: Di-hash dengan bcrypt (industry standard) - Row Level Security (RLS): User hanya bisa akses data milik sendiri - IP hashing: IP address di-hash dengan SHA-256 sebelum log Lapisan tambahan saat Lost Mode aktif: - Nomor WhatsApp tidak pernah muncul di HTML source - Penemu klik tombol → state berubah → kemudian klik lagi untuk buka wa.me link - Setiap akses dicatat di `contact_reveals` table dengan IP hash + user agent

Mimoo pakai layanan pihak ketiga berikut: - Supabase (database & auth) — data center Singapore (terdekat untuk Indonesia) - Resend (email notifications) — untuk notifikasi finder report - Google OAuth (kalau kamu pilih login dengan Google) — untuk auth - Vercel (hosting) — untuk serve aplikasi web Semua provider ini punya privacy policy mereka sendiri yang juga melindungi data kamu. Mimoo memilih provider yang punya track record privacy yang kuat.

Kamu berhak: - Akses: Lihat semua data Mimoo punya tentang kamu (lewat dashboard) - Edit: Update profile, avatar, item kapan saja - Hapus: Request hapus akun & semua data (email hello@mimoo.id) - Export: Request copy semua data kamu dalam format JSON (email kami) - Withdraw: Berhenti pakai Mimoo kapan saja tanpa konsekuensi - Object: Tolak processing data tertentu (hubungi kami) Kami akan respon dalam 7 hari kerja.

Mimoo pakai cookies hanya untuk: - Authentication: cookie session untuk keep kamu logged in (essential) - Locale preference: cookie untuk remember bahasa pilihan kamu (essential) Kami tidak pakai: - Tracking cookies untuk advertising - Third-party analytics yang invasive (Google Analytics, Facebook Pixel) - Behavior tracking di multi-website

Mimoo terbuka untuk semua umur, tapi pengguna di bawah 13 tahun harus dengan supervisi orang tua/wali. Kami tidak secara sadar mengumpulkan data dari anak di bawah 13 tahun tanpa parental consent. Kalau kamu orang tua dan menemukan anak kamu daftar tanpa consent, hubungi kami untuk hapus akun.

Kalau kami update kebijakan privasi, kami akan: - Update tanggal di header dokumen - Kirim email notifikasi untuk perubahan signifikan - Tampilkan banner di app untuk 30 hari Kamu bisa selalu re-review dokumen ini di /legal/privacy.

Pertanyaan tentang privacy? Email kami di: hello@mimoo.id Kami balas dalam 24 jam (hari kerja). Untuk request urgent (data breach, dll), tambahkan subject [URGENT-PRIVACY].