KYC Policy
Last updated:
This Know-Your-Customer (KYC) Policy describes how PT UNIT GLOBAL SYSTEM verifies the identity of merchant directors, ultimate beneficial owners, and authorised signatories. It supports our anti-money-laundering and counter-terrorism-financing obligations under Law 8/2010 (UU TPPU) and PPATK directives, and our regulatory expectations under the Bank Indonesia payment system framework.
1. Scope and persons subject to KYC
UnitPay performs KYC verification on:
- Every director of a merchant entity (in Indonesian PT, every direksi member).
- Every commissioner of a merchant entity, where the legal form prescribes commissioners.
- Every ultimate beneficial owner holding 25% or more, direct or indirect, of the merchant entity.
- Every authorised signatory of the Service Agreement.
- Every individual nominated by the merchant as an administrative super-user of the merchant cabinet with privileged settlement or risk-control rights.
Customer-side KYC for individual end-users paying through merchant checkouts is performed by the issuing bank or wallet provider in line with their own AML obligations; UnitPay does not duplicate that verification.
Know-Your-Business diligence on the merchant entity itself is described in the Merchant Onboarding Requirements. KYC and KYB run in parallel: an entity cannot be onboarded until both are satisfactorily completed for the in-scope persons.
Beneficial-ownership tracing follows the entity chain to the natural-person owners. Where the chain includes corporate intermediaries, layered through holding structures, those intermediaries are documented but the verification target is always the natural person at the end of the chain.
2. Verification provider
UnitPay uses Didit (https://didit.me) as its primary KYC vendor. Didit performs document verification, biometric liveness check (ISO 30107-3 PAD level 2), and AML screening (sanctions lists, PEP, adverse media).
Didit operates from the European Union (Lithuania) under the GDPR adequacy framework, providing a level of personal data protection equivalent to that required by UU PDP Article 56. The vendor is bound by a Data Processing Agreement that incorporates UU PDP and GDPR Article 28 obligations and that is reviewed annually.
Where Didit cannot complete a verification (for example, an unsupported document type), UnitPay performs manual review using internal compliance staff and may engage an alternate verification provider. Manual reviewers receive the same training as automated-flow reviewers and follow the same adjudication framework.
Vendor concentration risk is mitigated by maintaining a documented fallback to an alternate qualified KYC provider; activation of the fallback is approved by the AML Compliance Officer and recorded in the program file.
Verification subjects can be directed to the Didit flow through a unique, per-subject link generated by our compliance system. Links are valid for a bounded period and reusable for retries within that window.
3. Required documents
Indonesian nationals must present a valid KTP (Kartu Tanda Penduduk). Foreign nationals must present a valid passport. Holders of Indonesian residence permits may present KITAS or KITAP alongside a passport.
Documents must be in colour, fully legible, and not expired. Photocopies are not accepted; original documents are captured live through the Didit verification flow. Tampered or altered documents are rejected automatically and routed to manual compliance review.
For high-risk relationships and EDD cases, additional documentary evidence may be requested, including proof of address (recent utility bill or bank statement) and source-of-wealth documentation. The specific requirement is communicated to the verification subject before submission.
4. Biometric liveness check
Verification includes a selfie video matched to the photograph on the identity document. The liveness algorithm checks for spoofing attempts (printed photographs, masks, replay video) at ISO 30107-3 Presentation Attack Detection level 2.
Liveness checks are processed automatically; results are typically available within minutes. Failed attempts may be retried up to three times, after which the case routes to a manual reviewer who may request additional evidence or alternative verification.
Biometric raw imagery is held only as long as necessary to complete verification. The persistent record is the verification result and a hashed template that cannot be reversed to reconstruct the original image. Biometric data is never used for marketing, profiling, or any purpose unrelated to verification.
5. AML screening at KYC
Each verified individual is screened against:
- UN Consolidated, EU Consolidated, OFAC SDN, and OFSI sanctions lists.
- The PPATK domestic sanctions list (DTTOT) and any additional Indonesian regulatory lists in force.
- Politically exposed person (PEP) databases including direct, family, and close-associate categories.
- Adverse media drawn from over 1,000 sources, with a focus on financial crime, terrorism, and corruption signals.
Positive matches block onboarding pending compliance review. The compliance officer adjudicates true-positive vs false-positive with documented rationale; PEP-true matches proceed only with enhanced due diligence and senior management sign-off.
PEP status by itself is not disqualifying. Indonesia has a substantial population of legitimate PEPs across politics, judiciary, and senior public service; the policy is to apply EDD measures (including source-of-wealth review and enhanced ongoing monitoring) rather than to refuse the relationship by default.
Adverse media match adjudication weighs source quality, recency, and severity of the underlying allegation. A single old, uncorroborated piece of adverse media does not by itself trigger refusal; a pattern of credible reporting on serious matters does.
6. Re-verification triggers
KYC is refreshed periodically and on event:
- Periodic refresh: every 24 months for low and medium risk; every 12 months for high risk.
- Event refresh: change of director, change of ultimate beneficial owner, change of signatory, or change of legal form.
- Risk-event refresh: suspicious activity flag, regulator inquiry, sanctions list update affecting the individual, material adverse media event.
- Document expiry: refresh requested before the expiry of the identity document on file.
Failure to complete a triggered refresh within 30 days places the merchant account in restricted-mode (settlements continue to existing bank account; new transactions throttled) until refresh is complete.
Refresh requests are sent to the verification subject by email and through the merchant cabinet, with a clear deadline and step-by-step instructions. Reminders are issued at 7 days and 3 days before the deadline so that the merchant has reasonable opportunity to comply.
7. Data retention
KYC records are retained for five years after the merchant relationship ends, as required by PPATK under UU TPPU Article 21. Retention may extend longer where specific regulatory or legal-process requirements apply. Categories retained include:
- Identity documents collected for verification (KTP, passport, KITAS or KITAP scans).
- Biometric template hashes (the persistent reference, not raw imagery).
- Screening reports (sanctions, PEP, adverse media) with the matched list reference.
- Adjudication notes and the final disposition of any compliance review.
- Audit trail of when verification was performed, by which reviewer, and the outcome.
Biometric raw imagery is held only as long as necessary to complete verification; the persistent record is the verification result and a hashed template that does not allow image reconstruction. Detailed retention schedules and lawful bases are documented in our UU PDP Personal Data Notice.
During retention, identifying data is access-controlled to compliance and legal staff with named-individual approval. Read access is logged and reviewed quarterly; bulk export is not permitted without dual approval.
8. Customer rights
Verified individuals have the rights set out in UU PDP Articles 5 to 15: information about processing, access, rectification of incorrect data, restriction of processing, portability where technically feasible, objection, and (subject to regulatory retention) erasure.
The right to erasure is qualified by our legal obligation to retain KYC records for the periods set out in section 7 above. During that retention period, identifying data may be archived and access-restricted but not deleted. After the retention period elapses, records are deleted on the next scheduled cycle.
Rights are exercised by writing to dpo@unitpay.net. The DPO acknowledges requests within five working days and provides a substantive response within thirty days, in line with the timing applied to broader data subject rights work.
Where a request relates to data shared with the KYC vendor, UnitPay coordinates with Didit so that the response is consistent across both parties. Vendor-side records are subject to the vendor's own retention obligations as bound by their Data Processing Agreement.
Complaints about KYC handling specifically may also be addressed to complaints@unitpay.net and follow our Dispute Resolution and Complaint Handling framework, which implements POJK 18/2018 timelines and external escalation channels (LAPS SJK, OJK consumer hotline 157).
For questions about whether a specific person is in scope for KYC, the merchant onboarding team coordinates with compliance to provide a definitive answer; the default position is that any individual whose authority materially influences the merchant relationship is in scope.
Effective date: 06 May 2026
Kebijakan Know-Your-Customer (KYC) ini menjelaskan bagaimana PT UNIT GLOBAL SYSTEM memverifikasi identitas direktur merchant, pemilik manfaat akhir, dan penandatangan yang berwenang. Kebijakan ini mendukung kewajiban anti pencucian uang dan pencegahan pendanaan terorisme kami berdasarkan UU 8/2010 (UU TPPU) dan peraturan PPATK, serta ekspektasi regulasi berdasarkan kerangka sistem pembayaran Bank Indonesia.
1. Cakupan dan orang yang tunduk pada KYC
UnitPay melakukan verifikasi KYC terhadap:
- Setiap direktur entitas merchant (pada PT Indonesia, setiap anggota direksi).
- Setiap komisaris entitas merchant, apabila bentuk badan hukum mensyaratkan komisaris.
- Setiap pemilik manfaat akhir yang memegang 25% atau lebih, langsung atau tidak langsung, atas entitas merchant.
- Setiap penandatangan yang berwenang atas Perjanjian Layanan.
- Setiap individu yang dinominasikan oleh merchant sebagai super-user administratif kabinet merchant dengan hak settlement atau kontrol risiko yang istimewa.
KYC sisi pelanggan untuk pengguna akhir individu yang membayar melalui checkout merchant dilakukan oleh bank penerbit atau penyedia wallet sesuai kewajiban AML mereka sendiri; UnitPay tidak menduplikasi verifikasi tersebut.
Uji tuntas Know-Your-Business atas entitas merchant itu sendiri dijelaskan dalam Persyaratan Onboarding Merchant. KYC dan KYB berjalan paralel: entitas tidak dapat di-onboard sampai keduanya diselesaikan secara memuaskan untuk orang-orang dalam cakupan.
Pelacakan kepemilikan manfaat mengikuti rantai entitas hingga ke pemilik orang pribadi. Apabila rantai tersebut mencakup intermediari korporat yang berlapis melalui struktur holding, intermediari tersebut didokumentasikan namun target verifikasi selalu adalah orang pribadi pada akhir rantai.
2. Penyedia verifikasi
UnitPay menggunakan Didit (https://didit.me) sebagai vendor KYC utamanya. Didit melakukan verifikasi dokumen, deteksi kehidupan biometrik (ISO 30107-3 PAD level 2), dan penyaringan AML (daftar sanksi, PEP, adverse media).
Didit beroperasi dari Uni Eropa (Lithuania) di bawah kerangka adekuasi GDPR, memberikan tingkat perlindungan data pribadi yang setara dengan yang disyaratkan oleh Pasal 56 UU PDP. Vendor terikat oleh Data Processing Agreement yang menggabungkan kewajiban UU PDP dan GDPR Pasal 28 dan ditinjau tahunan.
Apabila Didit tidak dapat menyelesaikan verifikasi (misalnya, jenis dokumen yang tidak didukung), UnitPay melakukan tinjauan manual menggunakan staf kepatuhan internal dan dapat melibatkan penyedia verifikasi alternatif. Peninjau manual menerima pelatihan yang sama dengan peninjau alur otomatis dan mengikuti kerangka ajudikasi yang sama.
Risiko konsentrasi vendor dimitigasi dengan memelihara fallback terdokumentasi ke penyedia KYC alternatif yang berkualifikasi; aktivasi fallback disetujui oleh AML Compliance Officer dan dicatat dalam berkas program.
Subjek verifikasi dapat diarahkan ke alur Didit melalui tautan unik per-subjek yang dihasilkan oleh sistem kepatuhan kami. Tautan berlaku untuk periode terbatas dan dapat digunakan kembali untuk percobaan ulang dalam jendela tersebut.
3. Dokumen yang dibutuhkan
Warga negara Indonesia harus menunjukkan KTP (Kartu Tanda Penduduk) yang sah. Warga negara asing harus menunjukkan paspor yang sah. Pemegang izin tinggal Indonesia dapat menunjukkan KITAS atau KITAP bersama paspor.
Dokumen harus berwarna, sepenuhnya terbaca, dan tidak kedaluwarsa. Fotokopi tidak diterima; dokumen asli ditangkap secara langsung melalui alur verifikasi Didit. Dokumen yang dirusak atau diubah ditolak otomatis dan dialihkan ke tinjauan kepatuhan manual.
Untuk hubungan berisiko tinggi dan kasus EDD, bukti dokumenter tambahan dapat diminta, termasuk bukti alamat (tagihan utilitas atau rekening koran terkini) dan dokumentasi sumber kekayaan. Persyaratan spesifik dikomunikasikan kepada subjek verifikasi sebelum penyerahan.
4. Pemeriksaan kehidupan biometrik
Verifikasi mencakup video selfie yang dicocokkan dengan foto pada dokumen identitas. Algoritme kehidupan memeriksa upaya spoofing (foto yang dicetak, masker, video replay) pada ISO 30107-3 Presentation Attack Detection level 2.
Pemeriksaan kehidupan diproses otomatis; hasil umumnya tersedia dalam hitungan menit. Upaya yang gagal dapat diulang hingga tiga kali, setelahnya kasus dialihkan ke peninjau manual yang dapat meminta bukti tambahan atau verifikasi alternatif.
Citra biometrik mentah disimpan hanya selama yang diperlukan untuk menyelesaikan verifikasi. Catatan persisten adalah hasil verifikasi dan template hash yang tidak dapat dibalik untuk merekonstruksi citra asli. Data biometrik tidak pernah digunakan untuk pemasaran, profiling, atau tujuan apa pun yang tidak terkait dengan verifikasi.
5. Penyaringan AML pada saat KYC
Setiap individu yang diverifikasi disaring terhadap:
- Daftar sanksi UN Consolidated, EU Consolidated, OFAC SDN, dan OFSI.
- Daftar sanksi domestik PPATK (DTTOT) dan daftar regulasi Indonesia tambahan apa pun yang berlaku.
- Basis data Politically Exposed Person (PEP) termasuk kategori langsung, keluarga, dan rekan dekat.
- Adverse media dari lebih dari 1.000 sumber, dengan fokus pada sinyal kejahatan keuangan, terorisme, dan korupsi.
Kecocokan positif memblokir onboarding sambil menunggu tinjauan kepatuhan. Petugas kepatuhan menetapkan true-positive vs false-positive dengan alasan yang terdokumentasi; kecocokan PEP-true berlanjut hanya dengan uji tuntas yang diperketat dan persetujuan manajemen senior.
Status PEP dengan sendirinya tidak mendiskualifikasi. Indonesia memiliki populasi PEP yang sah secara substansial pada politik, peradilan, dan layanan publik senior; kebijakan kami adalah menerapkan langkah EDD (termasuk tinjauan sumber kekayaan dan pemantauan berkelanjutan yang diperketat) alih-alih menolak hubungan secara default.
Ajudikasi kecocokan adverse media menimbang kualitas sumber, kebaruan, dan tingkat keparahan tuduhan yang mendasari. Satu adverse media lama yang tidak terkonfirmasi dengan sendirinya tidak memicu penolakan; pola pelaporan kredibel atas hal-hal serius melakukannya.
6. Pemicu verifikasi ulang
KYC diperbarui secara berkala dan berdasarkan peristiwa:
- Pembaruan berkala: setiap 24 bulan untuk risiko rendah dan sedang; setiap 12 bulan untuk risiko tinggi.
- Pembaruan peristiwa: perubahan direktur, perubahan pemilik manfaat akhir, perubahan penandatangan, atau perubahan bentuk badan hukum.
- Pembaruan peristiwa risiko: flag aktivitas mencurigakan, pertanyaan regulator, pembaruan daftar sanksi yang memengaruhi individu, peristiwa adverse media yang material.
- Kedaluwarsa dokumen: pembaruan diminta sebelum kedaluwarsa dokumen identitas yang tercatat.
Kegagalan menyelesaikan pembaruan yang dipicu dalam 30 hari menempatkan akun merchant pada mode terbatas (settlement berlanjut ke rekening bank yang ada; transaksi baru di-throttle) sampai pembaruan selesai.
Permintaan pembaruan dikirim kepada subjek verifikasi melalui email dan kabinet merchant, dengan tenggat yang jelas dan instruksi langkah demi langkah. Pengingat dikeluarkan pada 7 hari dan 3 hari sebelum tenggat sehingga merchant memiliki kesempatan yang wajar untuk patuh.
7. Retensi data
Catatan KYC disimpan selama lima tahun setelah hubungan merchant berakhir, sebagaimana disyaratkan oleh PPATK berdasarkan Pasal 21 UU TPPU. Retensi dapat diperpanjang lebih lama apabila persyaratan regulasi atau proses hukum tertentu berlaku. Kategori yang disimpan meliputi:
- Dokumen identitas yang dikumpulkan untuk verifikasi (pemindaian KTP, paspor, KITAS atau KITAP).
- Hash template biometrik (referensi persisten, bukan citra mentah).
- Laporan penyaringan (sanksi, PEP, adverse media) dengan referensi daftar yang dicocokkan.
- Catatan ajudikasi dan disposisi akhir tinjauan kepatuhan apa pun.
- Jejak audit kapan verifikasi dilakukan, oleh peninjau mana, dan hasilnya.
Citra biometrik mentah disimpan hanya selama yang diperlukan untuk menyelesaikan verifikasi; catatan persisten adalah hasil verifikasi dan template hash yang tidak memungkinkan rekonstruksi citra. Jadwal retensi rinci dan dasar hukum didokumentasikan dalam Pemberitahuan Data Pribadi UU PDP kami.
Selama retensi, data identifikasi dikendalikan aksesnya pada staf kepatuhan dan hukum dengan persetujuan individu yang dinamai. Akses baca dicatat dan ditinjau triwulanan; ekspor massal tidak diizinkan tanpa persetujuan ganda.
8. Hak pelanggan
Individu yang diverifikasi memiliki hak yang ditetapkan dalam Pasal 5 hingga 15 UU PDP: informasi tentang pemrosesan, akses, perbaikan data yang tidak benar, pembatasan pemrosesan, portabilitas apabila secara teknis layak, keberatan, dan (tunduk pada retensi regulasi) penghapusan.
Hak penghapusan dibatasi oleh kewajiban hukum kami untuk menyimpan catatan KYC selama periode yang ditetapkan dalam bagian 7 di atas. Selama periode retensi tersebut, data identifikasi dapat diarsipkan dan akses dibatasi tetapi tidak dihapus. Setelah periode retensi berlalu, catatan dihapus pada siklus terjadwal berikutnya.
Hak digunakan dengan mengirim surat ke dpo@unitpay.net. DPO mengonfirmasi permintaan dalam lima hari kerja dan memberikan tanggapan substantif dalam tiga puluh hari, sesuai jadwal yang diterapkan pada pekerjaan hak subjek data yang lebih luas.
Apabila permintaan terkait dengan data yang dibagikan kepada vendor KYC, UnitPay berkoordinasi dengan Didit agar tanggapan konsisten di antara kedua belah pihak. Catatan sisi vendor tunduk pada kewajiban retensi vendor sebagaimana diikat oleh Data Processing Agreement mereka.
Pengaduan tentang penanganan KYC secara khusus juga dapat ditujukan ke complaints@unitpay.net dan mengikuti kerangka Penyelesaian Sengketa dan Penanganan Pengaduan kami, yang mengimplementasikan jadwal POJK 18/2018 dan kanal eskalasi eksternal (LAPS SJK, hotline konsumen OJK 157).
Untuk pertanyaan tentang apakah orang tertentu masuk dalam cakupan KYC, tim onboarding merchant berkoordinasi dengan kepatuhan untuk memberikan jawaban yang definitif; posisi default adalah bahwa setiap individu yang otoritasnya secara material memengaruhi hubungan merchant berada dalam cakupan.
Tanggal berlaku: 06 May 2026