隐私政策 / Privacy Policy / Dasar Privasi

+points 由 Horlim Development Sdn. Bhd.（公司注册号：202001007040）运营，注册地址为 #03-02, Blok A, Pusat Perdagangan Ekoflora, Jalan Ekoflora 7/3, 81100 Johor Bahru, Johor。

本隐私政策说明我们如何收集、使用、储存及保护你在使用 +points 平台时提供的个人信息，并符合《2010 年个人数据保护法》（PDPA）及 2024 年修正案的规定。

商家是其客人数据的数据控制者（Data Controller），负责决定数据收集和使用的目的与方式。

+points 是数据处理者（Data Processor），按照商家的指示代为处理客人数据。

+points 同时是其商家用户数据的数据控制者。

3.1 商家数据

• 姓名与邮箱地址（用于账号认证）
• 公司名称与商业信息
• Stripe 账单信息（由 Stripe 直接处理，我们不储存信用卡号码）
• 使用记录（登录时间、操作日志）

3.2 客人数据

• 手机号码（经过不可逆哈希处理及 AES-256 加密储存）
• 姓名（可选）
• 生日（可选，仅供生日营销用途）
• 积分记录与消费历史
• WhatsApp 绑定状态
• 营销信息接收同意状态（Marketing Opt-in）

3.3 自动收集的数据

• IP 地址与设备信息
• 使用行为数据（页面访问、功能使用）
• Cookies 及类似技术

• 提供及维护 +points 服务
• 处理订阅付款
• 发送 WhatsApp 服务通知（积分到账、tier 升级等）
• 在客人同意的前提下，发送 WhatsApp 营销消息（生日祝福、召回优惠等）
• 改善平台功能及用户体验
• 遵守法律义务
• 防止欺诈及滥用

客人在注册时可选择是否同意接收来自商家的营销信息。此同意为自愿性质，默认不勾选。

客人可随时在 Wallet 设置页面（设置 → 消息通知）撤回营销同意，或要求完全停止接收所有消息。

服务通知（积分到账、voucher 赠送、tier 升级）不受营销同意限制，属于必要的服务消息。

我们不会出售你的个人数据。我们仅在以下情况下共享数据：

• 服务提供商：Stripe（支付处理）、Supabase（数据库）、Vercel（托管）、Resend（邮件）、Meta / Twilio（WhatsApp）
• 法律要求：在法律要求或政府机构要求时
• 商业转让：在公司合并、收购或资产出售时，且受相同的隐私保护

为提供服务，你的数据可能被转移至马来西亚以外的服务器（包括美国、新加坡等地）。我们确保所有数据转移均受到适当的合同保护，符合 PDPA 的相关规定。

• 手机号码经过 AES-256 加密储存
• 手机号码哈希值使用单向不可逆算法
• 所有数据传输使用 HTTPS 加密
• 访问控制与角色权限管理
• 定期安全审查
• 单设备登录保护

• 商家数据：账号存续期间保留；主动注销后立即匿名化，90 天内完成删除
• 取消订阅的商家：取消后 90 天内自动匿名化客人个人资料
• 未付款账号：注册后 30 天内自动删除
• 客人数据：客人主动删除账号后，个人资料（姓名、生日、手机号）立即匿名化；交易记录以匿名形式保留供商家统计使用
• 操作日志：保留 12 个月

根据 PDPA 2010 及 2024 年修正案，你有以下权利：

• 查阅权：要求查阅我们持有的你的个人数据
• 更正权：要求更正不准确的个人数据
• 删除权：要求删除你的个人数据
• 撤回同意权：随时撤回营销消息的接收同意
• 数据可携权：要求以机器可读格式获取你的数据

客人可在 Wallet 设置页面自行行使删除权和撤回同意权。如需其他权利，请联系：support@pluspoints.my

如发生可能导致你的个人数据遭未经授权访问的数据泄露事件，我们将按照 PDPA 2024 年修正案的要求，及时通知相关人员及个人数据保护委员（PDPC）。

我们使用必要的 Cookies 维持登录状态及安全性。你可以通过浏览器设置拒绝非必要 Cookies，但这可能影响平台功能。

我们可能不时更新本政策。重大变更将通过邮件通知商家，并在平台上公告。继续使用平台即表示你接受更新后的政策。

+points is operated by Horlim Development Sdn. Bhd. (Company No.: 202001007040), registered at #03-02, Blok A, Pusat Perdagangan Ekoflora, Jalan Ekoflora 7/3, 81100 Johor Bahru, Johor.

This Privacy Policy explains how we collect, use, store and protect your personal information when you use the +points platform, in compliance with the Personal Data Protection Act 2010 (PDPA) and its 2024 amendments.

Merchants are the data controllers for their customers' data, responsible for determining the purposes and means of data collection and use.

+points is the data processor, processing customer data on behalf of and under the instructions of merchants.

+points is also the data controller for its merchant users' data.

3.1 Merchant Data

• Name and email address (for account authentication)
• Business name and commercial information
• Stripe billing information (processed directly by Stripe; we do not store card numbers)
• Usage records (login times, audit logs)

3.2 Customer Data

• Phone number (stored as irreversible hash and AES-256 encrypted)
• Name (optional)
• Birthday (optional, for birthday marketing purposes only)
• Points balance and transaction history
• WhatsApp linking status
• Marketing message consent status (Marketing Opt-in)

3.3 Automatically Collected Data

• IP address and device information
• Usage behaviour (page visits, feature usage)
• Cookies and similar technologies

• Provide and maintain the +points service
• Process subscription payments
• Send WhatsApp service notifications (points earned, tier upgrades, etc.)
• Send WhatsApp marketing messages to customers who have opted in (birthday greetings, win-back offers, etc.)
• Improve platform features and user experience
• Comply with legal obligations
• Prevent fraud and abuse

Customers may choose whether to receive marketing messages from merchants upon registration. This consent is voluntary and unchecked by default.

Customers may withdraw marketing consent at any time via the Wallet settings page (Settings → Notifications), or request to stop receiving all messages.

Service notifications (points earned, vouchers granted, tier upgrades) are not subject to marketing consent and constitute necessary service communications.

We do not sell your personal data. We share data only in the following circumstances:

• Service Providers: Stripe (payments), Supabase (database), Vercel (hosting), Resend (email), Meta / Twilio (WhatsApp)
• Legal Requirements: When required by law or government authorities
• Business Transfers: In the event of a merger, acquisition, or asset sale, subject to the same privacy protections

To provide our services, your data may be transferred to servers outside Malaysia (including the United States and Singapore). We ensure all data transfers are subject to appropriate contractual protections in compliance with PDPA requirements.

• Phone numbers encrypted using AES-256
• Phone number hashes use one-way irreversible algorithms
• All data transmission encrypted via HTTPS
• Access controls and role-based permissions
• Regular security reviews
• Single-device login protection

• Merchant data: retained during account lifetime; anonymised immediately upon voluntary closure, fully deleted within 90 days
• Cancelled subscriptions: customer personal data anonymised within 90 days of cancellation
• Unpaid accounts: automatically deleted 30 days after registration
• Customer data: upon voluntary account deletion, personal data (name, birthday, phone number) is immediately anonymised; transaction records are retained anonymously for merchant analytics
• Audit logs: retained for 12 months

Under PDPA 2010 and its 2024 amendments, you have the following rights:

• Right of access: request access to personal data we hold about you
• Right to rectification: request correction of inaccurate personal data
• Right to erasure: request deletion of your personal data
• Right to withdraw consent: withdraw marketing message consent at any time
• Right to data portability: request your data in machine-readable format

Customers may exercise their right to erasure and withdrawal of consent directly via the Wallet settings page. For other rights, contact: support@pluspoints.my

In the event of a data breach likely to result in unauthorised access to your personal data, we will notify affected individuals and the Personal Data Protection Commissioner (PDPC) in accordance with the requirements of the PDPA 2024 amendments.

We use necessary cookies to maintain login sessions and security. You may disable non-essential cookies through your browser settings, though this may affect platform functionality.

We may update this policy from time to time. Material changes will be notified to merchants by email and announced on the platform. Continued use of the platform constitutes acceptance of the updated policy.

+points dikendalikan oleh Horlim Development Sdn. Bhd. (No. Syarikat: 202001007040), berdaftar di #03-02, Blok A, Pusat Perdagangan Ekoflora, Jalan Ekoflora 7/3, 81100 Johor Bahru, Johor.

Dasar Privasi ini menerangkan cara kami mengumpul, menggunakan, menyimpan dan melindungi maklumat peribadi anda semasa menggunakan platform +points, selaras dengan Akta Perlindungan Data Peribadi 2010 (PDPA) dan pindaannya pada 2024.

Peniaga adalah pengawal data (Data Controller) bagi data pelanggan mereka, bertanggungjawab menentukan tujuan dan cara pengumpulan dan penggunaan data.

+points adalah pemproses data (Data Processor), memproses data pelanggan bagi pihak dan mengikut arahan peniaga.

+points juga merupakan pengawal data bagi data pengguna peniaganya.

3.1 Data Peniaga

• Nama dan alamat e-mel (untuk pengesahan akaun)
• Nama perniagaan dan maklumat komersial
• Maklumat bil Stripe (diproses terus oleh Stripe; kami tidak menyimpan nombor kad)
• Rekod penggunaan (masa log masuk, log audit)

3.2 Data Pelanggan

• Nombor telefon (disimpan sebagai cincang tidak boleh balik dan disulitkan AES-256)
• Nama (pilihan)
• Hari jadi (pilihan, untuk tujuan pemasaran hari jadi sahaja)
• Baki mata dan sejarah transaksi
• Status pautan WhatsApp
• Status persetujuan mesej pemasaran (Marketing Opt-in)

3.3 Data Yang Dikumpul Secara Automatik

• Alamat IP dan maklumat peranti
• Data tingkah laku penggunaan (lawatan halaman, penggunaan ciri)
• Kuki dan teknologi yang serupa

• Menyediakan dan menyelenggara perkhidmatan +points
• Memproses pembayaran langganan
• Menghantar notifikasi perkhidmatan WhatsApp (mata diterima, naik taraf tier, dll.)
• Menghantar mesej pemasaran WhatsApp kepada pelanggan yang telah bersetuju (ucapan hari jadi, tawaran win-back, dll.)
• Meningkatkan ciri platform dan pengalaman pengguna
• Mematuhi kewajipan undang-undang
• Mencegah penipuan dan penyalahgunaan

Pelanggan boleh memilih sama ada untuk menerima mesej pemasaran dari peniaga semasa pendaftaran. Persetujuan ini adalah sukarela dan tidak ditandakan secara lalai.

Pelanggan boleh menarik balik persetujuan pemasaran pada bila-bila masa melalui halaman tetapan Wallet (Tetapan → Notifikasi), atau meminta untuk berhenti menerima semua mesej.

Notifikasi perkhidmatan (mata diterima, baucar diberikan, naik taraf tier) tidak tertakluk kepada persetujuan pemasaran dan merupakan komunikasi perkhidmatan yang diperlukan.

Kami tidak menjual data peribadi anda. Kami hanya berkongsi data dalam keadaan berikut:

• Pembekal Perkhidmatan: Stripe (pembayaran), Supabase (pangkalan data), Vercel (pengehosan), Resend (e-mel), Meta / Twilio (WhatsApp)
• Keperluan Undang-undang: Apabila dikehendaki oleh undang-undang atau pihak berkuasa kerajaan
• Pemindahan Perniagaan: Dalam hal penggabungan, pengambilalihan, atau penjualan aset, tertakluk kepada perlindungan privasi yang sama

Untuk menyediakan perkhidmatan kami, data anda mungkin dipindahkan ke pelayan di luar Malaysia (termasuk Amerika Syarikat dan Singapura). Kami memastikan semua pemindahan data tertakluk kepada perlindungan kontrak yang sesuai selaras dengan keperluan PDPA.

• Nombor telefon disulitkan menggunakan AES-256
• Cincang nombor telefon menggunakan algoritma sehala tidak boleh balik
• Semua penghantaran data disulitkan melalui HTTPS
• Kawalan akses dan kebenaran berasaskan peranan
• Semakan keselamatan berkala
• Perlindungan log masuk satu peranti

• Data peniaga: disimpan sepanjang hayat akaun; dianonimkan serta-merta selepas penutupan sukarela, dipadamkan sepenuhnya dalam masa 90 hari
• Langganan dibatalkan: data peribadi pelanggan dianonimkan dalam masa 90 hari selepas pembatalan
• Akaun tidak berbayar: dipadamkan secara automatik 30 hari selepas pendaftaran
• Data pelanggan: selepas pemadaman akaun sukarela, data peribadi (nama, hari jadi, nombor telefon) dianonimkan serta-merta; rekod transaksi disimpan secara tanpa nama untuk analitik peniaga
• Log audit: disimpan selama 12 bulan

Di bawah PDPA 2010 dan pindaannya 2024, anda mempunyai hak-hak berikut:

• Hak akses: meminta akses kepada data peribadi yang kami simpan tentang anda
• Hak pembetulan: meminta pembetulan data peribadi yang tidak tepat
• Hak pemadaman: meminta pemadaman data peribadi anda
• Hak menarik balik persetujuan: menarik balik persetujuan mesej pemasaran pada bila-bila masa
• Hak mudah alih data: meminta data anda dalam format yang boleh dibaca mesin

Pelanggan boleh menggunakan hak pemadaman dan penarikan balik persetujuan terus melalui halaman tetapan Wallet. Untuk hak lain, hubungi: support@pluspoints.my

Sekiranya berlaku pelanggaran data yang berkemungkinan mengakibatkan akses tanpa kebenaran kepada data peribadi anda, kami akan memberitahu individu yang terjejas dan Pesuruhjaya Perlindungan Data Peribadi (PDPC) selaras dengan keperluan pindaan PDPA 2024.

Kami menggunakan kuki yang diperlukan untuk mengekalkan sesi log masuk dan keselamatan. Anda boleh melumpuhkan kuki yang tidak perlu melalui tetapan pelayar anda, walaupun ini mungkin mempengaruhi fungsi platform.

Kami mungkin mengemas kini dasar ini dari semasa ke semasa. Perubahan material akan diberitahu kepada peniaga melalui e-mel dan diumumkan di platform. Penggunaan berterusan platform merupakan penerimaan dasar yang dikemas kini.