Data Processing Addendum

DPA standar kami untuk pelanggan venue, brand, dan enterprise yang keterlibatannya melibatkan JazzNode memproses data pribadi atas nama mereka.

Tanggal berlaku: 14 April 2026·Versi 1.0

Cara mengeksekusi DPA ini

Halaman ini adalah teks DPA standar saat ini. Dengan menandatangani langganan berbayar dengan JazzNode, Anda menyetujui DPA ini dalam bentuk saat ini di mana berlaku pada keterlibatan Anda. Untuk salinan yang ditandatangani, versi redline, atau varian khusus enterprise, kirim email ke security@jazznode.com dengan subjek "DPA execution" dan sertakan nama entitas hukum Anda, yurisdiksi, dan modifikasi apa pun yang Anda minta.

Versi draft — tinjauan hukum disarankan sebelum penandatanganan balasan

1. Definisi

Istilah yang digunakan dalam DPA ini memiliki arti yang diberikan dalam GDPR, UK GDPR, atau undang-undang perlindungan data lokal yang setara. Untuk kejelasan:

Controller — Anda, pelanggan JazzNode, yang menentukan tujuan dan sarana pemrosesan data pribadi.
Processor — JazzNode Inc. (Delaware, AS) dan 娛興喂有限公司 (Taiwan), memproses data pribadi atas nama Anda.
Data pribadi — sebagaimana didefinisikan dalam GDPR Pasal 4(1); mencakup data yang berkaitan dengan orang alami yang teridentifikasi atau dapat diidentifikasi.
Pemrosesan — setiap operasi yang dilakukan pada data pribadi (pengumpulan, penyimpanan, penggunaan, transmisi, penghapusan, dll.).
Sub-processor — pihak ketiga yang ditunjuk oleh JazzNode untuk memproses data pribadi atas nama Controller, tercantum dalam §5.
Layanan — platform JazzNode, termasuk profil artis/venue/brand, penemuan acara, penjualan tiket, pesan, dan fitur terkait.

2. Subjek, durasi, sifat dan tujuan

Subjek: Pemrosesan data pribadi oleh JazzNode sehubungan dengan penyediaan Layanan kepada Controller.

Durasi: Selama masa langganan JazzNode Controller, ditambah periode retensi yang diperlukan oleh hukum (misalnya, catatan pajak untuk pendapatan tiket).

Sifat dan tujuan: Hosting, autentikasi, menampilkan, mengirimkan, dan mendukung penggunaan platform JazzNode oleh Controller. Termasuk penerbitan tiket, penyelesaian pembayaran melalui Stripe, email transaksi melalui Resend, dan analitik penggunaan platform.

3. Kategori subjek data & data pribadi

Kategori subjek data: Pengguna akhir Layanan, termasuk penggemar/pembeli tiket, musisi/pemilik profil artis, operator venue, operator brand, dan staf yang diundang mereka.

Kategori data pribadi:

Identifikasi: nama, nama tampilan, email, gambar profil.
Autentikasi: kata sandi yang di-hash (Supabase Auth), token OAuth (Google).
Perdagangan: catatan pembelian tiket, total pesanan, tujuan pembayaran (untuk venue/brand). JazzNode tidak menyimpan nomor kartu mentah — itu disimpan oleh Stripe sebagai controller terpisah di bawah PCI DSS.
Komunikasi: pesan yang dikirim melalui platform, shoutouts, ulasan.
Penggunaan: analitik anonim, sumber referrer, wilayah geografis umum.
Perangkat (hanya aplikasi seluler): token notifikasi push, nama perangkat, versi OS/aplikasi.

JazzNode tidak dengan sengaja memproses kategori khusus data pribadi (GDPR Pasal 9). Controller tidak boleh mengirimkan data tersebut melalui Layanan.

4. Kewajiban JazzNode sebagai Processor

JazzNode akan:

Memproses data pribadi hanya berdasarkan instruksi terdokumentasi dari Controller (perjanjian langganan, ketentuan ini, dan instruksi tertulis apa pun yang diberikan Controller).
Memastikan bahwa orang yang berwenang memproses data pribadi berada di bawah kewajiban kerahasiaan kontraktual.
Menerapkan tindakan keamanan teknis dan organisasi yang sesuai (lihat §7).
Membantu Controller dalam menanggapi permintaan subjek data dan memenuhi kewajibannya berdasarkan GDPR Pasal 32 hingga 36, dengan mempertimbangkan sifat pemrosesan.
Menyediakan semua informasi yang diperlukan kepada Controller untuk menunjukkan kepatuhan terhadap GDPR Pasal 28.
Atas pilihan Controller, menghapus atau mengembalikan semua data pribadi setelah akhir Layanan (lihat §11).

5. Sub-processor

Controller mengizinkan JazzNode untuk menggunakan sub-processor berikut, masing-masing telah menandatangani perjanjian tertulis yang memberlakukan ketentuan perlindungan data setidaknya sama protektifnya dengan DPA ini:

Supabase, Inc.: Database, autentikasi, object storage. SOC 2 Type 2, ISO 27001. Data terutama di-hosting di region AWS yang dipilih agar sesuai dengan region operasi JazzNode.
Vercel Inc.: Hosting aplikasi, edge network, pipeline build. SOC 2 Type 2, ISO 27001.
Stripe, Inc.: Pemrosesan pembayaran. Stripe bertindak sebagai controller independen untuk data kartu di bawah PCI DSS Level 1.
Resend, Inc.: Pengiriman email transaksi. SOC 2 Type 2. Region Tokyo untuk APAC.
Amazon Web Services, Inc.: Infrastruktur cloud dasar yang digunakan melalui Supabase dan untuk penyimpanan file terpilih. SOC 2, ISO 27001.
Google LLC: Penyedia identitas OAuth untuk sign-in dengan Google; Google Workspace sebagai penyedia identitas internal.

JazzNode akan memberi tahu Controller tentang setiap penambahan atau penggantian sub-processor yang dimaksudkan dengan pemberitahuan setidaknya 30 hari melalui /trust dan email. Controller dapat menolak dengan alasan perlindungan data yang wajar; jika keberatan tidak dapat diselesaikan, salah satu pihak dapat mengakhiri langganan.

6. Transfer data internasional

JazzNode beroperasi di beberapa yurisdiksi. Ketika data pribadi ditransfer dari EEA, Inggris, atau Swiss ke negara tanpa keputusan kecukupan, JazzNode mengandalkan Klausul Kontrak Standar UE (2021/914) dan IDTA/Addendum UK yang setara sebagaimana dimasukkan dengan referensi.

Sub-processor yang beroperasi di luar EEA melakukan sertifikasi mandiri untuk perlindungan setara SCC atau beroperasi di bawah kerangka kecukupan. Yurisdiksi saat ini: Amerika Serikat (JazzNode Inc., Vercel, Stripe, AWS, Google), Taiwan (娛興喂), Jepang (region Resend Tokyo bila dipilih).

7. Tindakan keamanan

JazzNode menerapkan dan memelihara tindakan teknis dan organisasi yang sesuai dengan risiko, sebagaimana dijelaskan di /trust dan /legal/security. Ini mencakup, minimal:

Enkripsi dalam transit (TLS 1.2+, HSTS di semua domain) dan saat istirahat (AES-256 melalui penyedia infrastruktur).
Row Level Security diterapkan pada lapisan database untuk kontrol akses per-pengguna, per-peran.
Peran internal hak akses minimum (Owner / Admin / Editor) dengan izin yang ditingkatkan diperlukan untuk operasi sensitif.
Manajemen rahasia terenkripsi melalui variabel lingkungan Vercel; OIDC untuk auth cloud-to-cloud; tidak ada kredensial jangka panjang di source control.
Backup point-in-time Supabase dan catatan tiket yang disimpan secara independen.
Program pengungkapan kerentanan yang dipublikasikan di /trust dengan security@jazznode.com sebagai saluran kontak.

Tindakan ditinjau setiap tahun dan diperbarui saat platform berkembang. Perubahan material tercermin di /trust.

8. Bantuan dengan hak subjek data

JazzNode akan memberikan bantuan yang wajar, dengan biaya Controller bila bantuan tersebut tidak proporsional, untuk membantu Controller menanggapi permintaan subjek data di bawah Bab III GDPR (akses, pembetulan, penghapusan, pembatasan, portabilitas, keberatan).

Ketika subjek data menghubungi JazzNode secara langsung tentang data yang berasal dari Controller (misalnya, penggemar mengirim email tentang profilnya di halaman acara venue), JazzNode akan menginformasikan Controller yang relevan kepada subjek data dan, bila sesuai, memberi tahu Controller.

9. Pemberitahuan pelanggaran data pribadi

JazzNode akan memberi tahu Controller tanpa penundaan yang tidak semestinya, dan dalam hal apa pun dalam waktu 72 jam setelah konfirmasi, tentang setiap pelanggaran data pribadi yang memengaruhi data Controller.

Pemberitahuan akan mencakup, sejauh yang diketahui saat itu: sifat pelanggaran, kategori dan perkiraan jumlah subjek data dan catatan yang terkait, konsekuensi yang mungkin terjadi, dan tindakan yang diambil atau diusulkan untuk menangani pelanggaran dan mengurangi dampak yang merugikan.

JazzNode akan mendokumentasikan semua pelanggaran data pribadi dan membuat catatan tersedia untuk Controller berdasarkan permintaan.

10. Audit dan inspeksi

Controller dapat memverifikasi kepatuhan JazzNode terhadap DPA ini dengan meninjau:

Laporan audit pihak ketiga terkini dari sub-processor JazzNode (SOC 2, ISO 27001), tersedia atas permintaan NDA melalui security@jazznode.com.
Tanggapan JazzNode terhadap kuesioner keamanan yang wajar (dibatasi satu per 12 bulan; ditanggapi dalam 30 hari kerja).

Inspeksi di lokasi disediakan untuk kasus di mana hal di atas jelas tidak cukup, atau ketika diperlukan oleh otoritas pengawas. Dalam kasus seperti itu Controller memberikan pemberitahuan tertulis 30 hari, menanggung biayanya sendiri, dan melakukan audit di bawah ruang lingkup yang disetujui bersama dan ketentuan kerahasiaan selama jam kerja normal.

11. Pengembalian dan penghapusan

Setelah pengakhiran langganan Controller, JazzNode akan, atas pilihan tertulis Controller dalam 30 hari pengakhiran: (a) menghapus semua data pribadi yang diproses atas nama Controller, atau (b) mengembalikan data tersebut dalam format terstruktur, umum digunakan, dapat dibaca mesin.

Tanpa pilihan yang tepat waktu, JazzNode akan menghapus data pribadi Controller setelah 90 hari, tunduk pada retensi yang diperlukan oleh hukum (misalnya, catatan pajak transaksi tiket di bawah hukum pajak AS dan Taiwan). Data di sistem backup akan ditimpa dalam rotasi backup normal.

12. Tanggung jawab, hukum yang berlaku, dan urutan prioritas

Tanggung jawab yang timbul berdasarkan DPA ini tunduk pada batas tanggung jawab dan pengecualian dari perjanjian langganan JazzNode yang mendasarinya. Tidak ada dalam DPA ini yang mengecualikan tanggung jawab yang tidak dapat dikecualikan secara sah.

DPA ini diatur oleh hukum perjanjian langganan JazzNode yang memasukkannya.

Dalam kasus konflik antara DPA ini dan perjanjian langganan yang mendasarinya sehubungan dengan kewajiban perlindungan data, DPA ini berlaku. Klausul Kontrak Standar UE, jika berlaku, berlaku di atas DPA ini.

13. Kontak

Pertanyaan perlindungan data dan DPA: security@jazznode.com.

Kontak umum melalui JazzNode HQ: .

Entitas operasi JazzNode: JazzNode Inc. (Delaware, AS) dan 娛興喂有限公司 (Taiwan, R.O.C.).