Kebijakan Know-Your-Customer (KYC)

Terakhir diperbarui: 06 May 2026

Kebijakan Know-Your-Customer (KYC) ini menjelaskan bagaimana PT UNIT GLOBAL SYSTEM memverifikasi identitas direktur merchant, pemilik manfaat akhir, dan penandatangan yang berwenang. Kebijakan ini mendukung kewajiban anti pencucian uang dan pencegahan pendanaan terorisme kami berdasarkan UU 8/2010 (UU TPPU) dan peraturan PPATK, serta ekspektasi regulasi berdasarkan kerangka sistem pembayaran Bank Indonesia.

1. Cakupan dan orang yang tunduk pada KYC

UnitPay melakukan verifikasi KYC terhadap:

  • Setiap direktur entitas merchant (pada PT Indonesia, setiap anggota direksi)
  • Setiap komisaris entitas merchant, apabila bentuk badan hukum mensyaratkan komisaris
  • Setiap pemilik manfaat akhir yang memegang 25% atau lebih, langsung atau tidak langsung, atas entitas merchant
  • Setiap penandatangan yang berwenang atas Perjanjian Layanan
  • Setiap individu yang dinominasikan oleh merchant sebagai super-user administratif kabinet merchant dengan hak settlement atau kontrol risiko yang istimewa

KYC sisi pelanggan untuk pengguna akhir individu yang membayar melalui checkout merchant dilakukan oleh bank penerbit atau penyedia wallet sesuai kewajiban AML mereka sendiri; UnitPay tidak menduplikasi verifikasi tersebut.

Uji tuntas Know-Your-Business atas entitas merchant itu sendiri dijelaskan dalam Persyaratan Onboarding Merchant. KYC dan KYB berjalan paralel: entitas tidak dapat di-onboard sampai keduanya diselesaikan secara memuaskan untuk orang-orang dalam cakupan.

Pelacakan kepemilikan manfaat mengikuti rantai entitas hingga ke pemilik orang pribadi. Apabila rantai tersebut mencakup intermediari korporat yang berlapis melalui struktur holding, intermediari tersebut didokumentasikan namun target verifikasi selalu adalah orang pribadi pada akhir rantai.

2. Penyedia verifikasi

UnitPay menggunakan Didit (https://didit.me) sebagai vendor KYC utamanya. Didit melakukan verifikasi dokumen, deteksi kehidupan biometrik (ISO 30107-3 PAD level 2), dan penyaringan AML (daftar sanksi, PEP, adverse media).

Didit beroperasi dari Uni Eropa (Lithuania). Transfer data pribadi lintas batas kepada vendor diatur dengan jaminan kontraktual perlindungan data yang mengikat sebagaimana ditetapkan dalam Data Processing Agreement kami, selaras dengan Pasal 56(b) UU PDP. DPA tersebut menggabungkan kewajiban UU PDP dan GDPR Pasal 28 dan ditinjau setiap tahun.

Apabila Didit tidak dapat menyelesaikan verifikasi (misalnya, jenis dokumen yang tidak didukung), UnitPay melakukan tinjauan manual menggunakan staf kepatuhan internal dan dapat melibatkan penyedia verifikasi alternatif. Peninjau manual menerima pelatihan yang sama dengan peninjau alur otomatis dan mengikuti kerangka ajudikasi yang sama.

Risiko konsentrasi vendor dimitigasi dengan memelihara fallback terdokumentasi ke penyedia KYC alternatif yang berkualifikasi; aktivasi fallback disetujui oleh AML Compliance Officer dan dicatat dalam berkas program.

Subjek verifikasi dapat diarahkan ke alur Didit melalui tautan unik per-subjek yang dihasilkan oleh sistem kepatuhan kami. Tautan berlaku untuk periode terbatas dan dapat digunakan kembali untuk percobaan ulang dalam jendela tersebut.

3. Dokumen yang dibutuhkan

Warga negara Indonesia harus menunjukkan KTP (Kartu Tanda Penduduk) yang sah. Warga negara asing harus menunjukkan paspor yang sah. Pemegang izin tinggal Indonesia dapat menunjukkan KITAS atau KITAP bersama paspor.

Dokumen harus berwarna, sepenuhnya terbaca, dan tidak kedaluwarsa. Fotokopi tidak diterima; dokumen asli ditangkap secara langsung melalui alur verifikasi Didit. Dokumen yang dirusak atau diubah ditolak otomatis dan dialihkan ke tinjauan kepatuhan manual.

Untuk hubungan berisiko tinggi dan kasus EDD, bukti dokumenter tambahan dapat diminta, termasuk bukti alamat (tagihan utilitas atau rekening koran terkini) dan dokumentasi sumber kekayaan. Persyaratan spesifik dikomunikasikan kepada subjek verifikasi sebelum penyerahan.

4. Pemeriksaan kehidupan biometrik

Verifikasi mencakup video selfie yang dicocokkan dengan foto pada dokumen identitas. Algoritme kehidupan memeriksa upaya spoofing (foto yang dicetak, masker, video replay) pada ISO 30107-3 Presentation Attack Detection level 2.

Pemeriksaan kehidupan diproses otomatis; hasil umumnya tersedia dalam hitungan menit. Upaya yang gagal dapat diulang hingga tiga kali, setelahnya kasus dialihkan ke peninjau manual yang dapat meminta bukti tambahan atau verifikasi alternatif.

Citra biometrik mentah disimpan hanya selama yang diperlukan untuk menyelesaikan verifikasi. Catatan persisten adalah hasil verifikasi dan template hash yang tidak dapat dibalik untuk merekonstruksi citra asli. Data biometrik tidak pernah digunakan untuk pemasaran, profiling, atau tujuan apa pun yang tidak terkait dengan verifikasi.

5. Penyaringan AML pada saat KYC

Setiap individu yang diverifikasi disaring terhadap:

  • Daftar sanksi UN Consolidated, EU Consolidated, OFAC SDN, dan OFSI
  • Daftar sanksi domestik PPATK (DTTOT) dan daftar regulasi Indonesia tambahan apa pun yang berlaku
  • Basis data Politically Exposed Person (PEP) termasuk kategori langsung, keluarga, dan rekan dekat
  • Adverse media dari lebih dari 1.000 sumber, dengan fokus pada sinyal kejahatan keuangan, terorisme, dan korupsi

Kecocokan positif memblokir onboarding sambil menunggu tinjauan kepatuhan. Petugas kepatuhan menetapkan true-positive vs false-positive dengan alasan yang terdokumentasi; kecocokan PEP-true berlanjut hanya dengan uji tuntas yang diperketat dan persetujuan manajemen senior.

Status PEP dengan sendirinya tidak mendiskualifikasi. Indonesia memiliki populasi PEP yang sah secara substansial pada politik, peradilan, dan layanan publik senior; kebijakan kami adalah menerapkan langkah EDD (termasuk tinjauan sumber kekayaan dan pemantauan berkelanjutan yang diperketat) alih-alih menolak hubungan secara default.

Ajudikasi kecocokan adverse media menimbang kualitas sumber, kebaruan, dan tingkat keparahan tuduhan yang mendasari. Satu adverse media lama yang tidak terkonfirmasi dengan sendirinya tidak memicu penolakan; pola pelaporan kredibel atas hal-hal serius melakukannya.

6. Pemicu verifikasi ulang

KYC diperbarui secara berkala dan berdasarkan peristiwa:

  • Pembaruan berkala: setiap 24 bulan untuk risiko rendah dan sedang; setiap 12 bulan untuk risiko tinggi
  • Pembaruan peristiwa: perubahan direktur, perubahan pemilik manfaat akhir, perubahan penandatangan, atau perubahan bentuk badan hukum
  • Pembaruan peristiwa risiko: flag aktivitas mencurigakan, pertanyaan regulator, pembaruan daftar sanksi yang memengaruhi individu, peristiwa adverse media yang material
  • Kedaluwarsa dokumen: pembaruan diminta sebelum kedaluwarsa dokumen identitas yang tercatat

Kegagalan menyelesaikan pembaruan yang dipicu dalam 30 hari menempatkan akun merchant pada mode terbatas (settlement berlanjut ke rekening bank yang ada; transaksi baru di-throttle) sampai pembaruan selesai.

Permintaan pembaruan dikirim kepada subjek verifikasi melalui email dan kabinet merchant, dengan tenggat yang jelas dan instruksi langkah demi langkah. Pengingat dikeluarkan pada 7 hari dan 3 hari sebelum tenggat sehingga merchant memiliki kesempatan yang wajar untuk patuh.

7. Retensi data

Catatan KYC disimpan selama lima tahun setelah hubungan merchant berakhir, sebagaimana disyaratkan oleh PPATK berdasarkan Pasal 21 UU TPPU. Retensi dapat diperpanjang lebih lama apabila persyaratan regulasi atau proses hukum tertentu berlaku. Kategori yang disimpan meliputi:

  • Dokumen identitas yang dikumpulkan untuk verifikasi (pemindaian KTP, paspor, KITAS atau KITAP)
  • Hash template biometrik (referensi persisten, bukan citra mentah)
  • Laporan penyaringan (sanksi, PEP, adverse media) dengan referensi daftar yang dicocokkan
  • Catatan ajudikasi dan disposisi akhir tinjauan kepatuhan apa pun
  • Jejak audit kapan verifikasi dilakukan, oleh peninjau mana, dan hasilnya

Citra biometrik mentah disimpan hanya selama yang diperlukan untuk menyelesaikan verifikasi; catatan persisten adalah hasil verifikasi dan template hash yang tidak memungkinkan rekonstruksi citra. Jadwal retensi rinci dan dasar hukum didokumentasikan dalam Pemberitahuan Data Pribadi UU PDP kami.

Selama retensi, data identifikasi dikendalikan aksesnya pada staf kepatuhan dan hukum dengan persetujuan individu yang dinamai. Akses baca dicatat dan ditinjau triwulanan; ekspor massal tidak diizinkan tanpa persetujuan ganda.

8. Hak pelanggan

Individu yang diverifikasi memiliki hak yang ditetapkan dalam Pasal 5 hingga 15 UU PDP: "informasi tentang pemrosesan, akses, perbaikan data yang tidak benar, pembatasan pemrosesan, portabilitas apabila secara teknis layak" objection, dan (tunduk pada retensi regulasi) penghapusan.

Hak penghapusan dibatasi oleh kewajiban hukum kami untuk menyimpan catatan KYC selama periode yang ditetapkan dalam bagian 7 di atas. Selama periode retensi tersebut, data identifikasi dapat diarsipkan dan akses dibatasi tetapi tidak dihapus. Setelah periode retensi berlalu, catatan dihapus pada siklus terjadwal berikutnya.

Hak digunakan dengan mengirim surat ke dpo@unitpay.net. DPO mengonfirmasi permintaan dalam lima hari kerja dan memberikan tanggapan substantif dalam tiga puluh hari, sesuai jadwal yang diterapkan pada pekerjaan hak subjek data yang lebih luas.

Apabila permintaan terkait dengan data yang dibagikan kepada vendor KYC, UnitPay berkoordinasi dengan Didit agar tanggapan konsisten di antara kedua belah pihak. Catatan sisi vendor tunduk pada kewajiban retensi vendor sebagaimana diikat oleh Data Processing Agreement mereka.

Pengaduan tentang penanganan KYC secara khusus juga dapat ditujukan ke complaints@unitpay.net dan mengikuti kerangka Penyelesaian Sengketa dan Penanganan Pengaduan kami, yang mengimplementasikan jadwal POJK 18/2018 dan kanal eskalasi eksternal (LAPS SJK, hotline konsumen OJK 157).

Untuk pertanyaan tentang apakah orang tertentu masuk dalam cakupan KYC, tim onboarding merchant berkoordinasi dengan kepatuhan untuk memberikan jawaban yang definitif; posisi default adalah bahwa setiap individu yang otoritasnya secara material memengaruhi hubungan merchant berada dalam cakupan.

Tanggal berlaku: 06 May 2026