CyprusRegister
隐私政策 - 数据保护与合规的清晰指南

隐私政策 - 数据保护与合规的清晰指南

· 更新于 作者 CyprusRegister Team4408

每 90 天审查一次您的隐私政策,以确保其准确反映我们在服务中如何收集、使用和共享数据。

另请参阅:了解我们的隐私政策

维护一份处理活动清单,其中记录了数据类别、目的、合法依据、接收者、跨境传输和保留期限。这种透明度有助于团队遵循政策,并使审计工作更加顺畅。

数据最小化目的限制指导我们收集什么以及为什么收集。我们仅存储为预期目的所必需的数据,并配置默认设置以限制可选数据收集。

提供清晰的权利处理机制,使用户能够请求访问、更正、删除、可携性和反对。在 30 天内回复,并升级处理复杂的请求。

安全控制包括传输中加密(TLS 1.2+)和静态加密(AES-256)、管理员的多因素身份验证以及基于角色的访问控制。进行季度审计和及时补丁管理以减少风险。

同意和合同确保基于同意的数据收集得到记录,允许撤回,并与处理我们数据的每个外部处理方维护数据处理协议。

违规响应计划:定义检测工作流程,在需要时 72 小时内通知相关部门,并在风险较高时告知受影响的用户。维护事件日志并在 30 天内进行事后审查。

保留和处置建立保留时间表,在期限结束后自动删除,并安全地清除备份。每年至少审查两次存储内容,以防止不必要的数据。

治理任命隐私负责人或数据保护官,为员工提供年度培训,并要求对高风险处理项目进行 DPIA。维护可审计的跟踪记录以支持问责。

在公司注册方面需要帮助吗?预约咨询

我们收集哪些信息以及为何收集?

查看您的帐户设置,了解我们收集了哪些信息以及为何收集,以便您可以控制权限并保护您的隐私。这些信息旨在保护您——并改进我们的服务。

我们收集哪些信息

  • 个人信息:姓名、电子邮件地址、电话号码、个人资料图片和用户 ID。这些数据用于识别您和管理访问权限,并确保我们的服务能顺畅地为您运行。
  • 使用数据:访问的页面、使用的功能、搜索以及参与时间戳。我们收集这些数据是为了提高可靠性和性能,并为您量身定制体验。
  • 设备和连接数据:IP 地址、浏览器类型、操作系统、语言、时区以及设备标识符。这有助于我们准确地提供内容并检测问题。
  • 位置数据:来自 IP 或用户明确提供的位置的大致位置。这使得本地化的功能和更快的支持成为可能。
  • 付款信息:来自付款处理商的令牌、订阅详情以及后四位数字。我们不存储完整的卡号;使用令牌和引用安全地处理付款。
  • 通信:向支持部门发送的消息、反馈和调查回复。我们保留这些信息以解决问题和改进我们的服务。
  • Cookie 和跟踪技术:标识符和分析数据,用于分析网站使用情况和服务性能。您可以管理偏好设置以控制收集。

我们为何收集

  • 交付和运营我们的服务:提供访问、维护功能并支持您的需求。
  • 个性化您的体验:根据使用情况推荐内容和调整布局。
  • 保护您和我们的系统:检测欺诈活动、执行政策并维护安全。
  • 分析和改进:运行分析以了解参与度、可靠性和增长情况。
  • 遵守法律和合同:按要求保留记录并响应合法请求。
  • 进行沟通:告知您与您的帐户和服务相关的更新、维护和重要通知。

您可以通过在设置中查看和更新您的数据、导出副本或请求删除来行使控制权。您可以调整 Cookie 偏好设置,并通过请求或问题联系我们的隐私团队。

信息存储多长时间以及如何删除?

在收到删除请求后,设置 30 天的处理窗口来删除个人数据,并在您的帐户设置中启用一键删除,以便用户直接控制。

我们的政策旨在平衡隐私与可用性。我们的服务所存储的数据仅在运营服务、处理请求和遵守法律义务所需的时间内保留。我们定期审查保留设置以降低风险和提高安全性,我们的流程旨在可靠地在系统的所有部分工作。

按数据类型划分的保留期

身份标识符和联系方式等个人数据将在删除请求或帐户关闭后 30 天内删除,除非完成特定交易或遵守合法义务需要更长的期限。

出于税务、审计和监管要求,将保留账单和交易记录七年;在此期间,在可能的情况下,数据将被最小化且访问受到限制。

使用数据和分析将以支持服务改进的形式保存;原始日志最多保留 90 天,而匿名汇总数据仅在安全和性能跟踪需要时才长期保留。

备份包含最多 90 天的加密存储数据;在保留期结束后,备份将被清除,新备份将不包含已删除的内容。

删除工作原理

用户可以通过帐户设置或联系支持部门来发起删除。一旦确认,删除过程将在 30 天内启动并完成,从活动系统中删除数据并从相关服务中清除。

在此过程中,数据可能会在工作环境中被禁用以防止进一步使用,并且备份中保留的任何数据将根据保留规则进行处理。删除完成后,您将收到确认,并附有已删除内容的摘要。

处理的目的是什么以及合法依据是什么?

在收集数据之前,定义每项处理目的并附带合法依据。

在记录您的惯例时,请确保目标清晰、仅限于必需且符合用户预期。我们预期的处理活动已映射到合法依据,现行政策强调透明度、最小化和问责制。此映射有助于用户理解数据的使用原因以及适用的控制措施。

为有效实施,请遵循以下步骤:确定数据类别、指定目的、分配合法依据、设定保留期,并用通俗易懂的语言提供通知。确保同意是真正自愿的,并记录撤回选项,以便用户可以随时撤回。

将目的映射到合法依据

目的 合法依据 收集的数据 保留期 备注
帐户创建和管理 合同履行 电子邮件、用户名、密码、个人资料数据 直到帐户删除;备份最多 90 天 确保安全访问和客户支持
付款处理和订单履行 合同履行 付款方式、账单地址、订单历史记录 7 年 支持财务合规和可追溯性
欺诈预防和安全 合法利益 使用数据、IP、设备 ID、事务元数据 6-24 个月 与用户权利和数据最小化进行权衡
营销传播(经同意) 同意 电子邮件、偏好、互动 直到同意撤销 方便的选择退出和准确的偏好管理
法律合规和监管义务 法律义务 帐户记录、通信、税务数据 法律要求(通常为 6-7 年) 包括处理数据主体请求

哪些安全措施保护您的信息,如果发生泄露怎么办?

另请参阅:塞浦路斯受益所有人登记:公司必须知道什么

另请参阅:离岸银行信息

现在启用所有服务的多因素身份验证,以增加关键保护层。我们的安全措施旨在按预期保护您的数据。

我们使用 AES-256 加密静态数据,使用 TLS 1.2+ 加密传输中的数据,并使用 bcrypt 对密码进行哈希和加盐处理。访问控制依赖于 RBAC、敏感操作的 MFA 以及严格的会话管理来限制暴露。我们的系统通过自动分析进行 24/7 监控,在异常行为时触发警报。

我们对网络进行分段,部署 Web 应用程序防火墙 (WAF),并维护 IDS/IPS、持续补丁和漏洞管理。关键漏洞在 24 小时内得到解决;外部渗透测试每季度进行一次,年度 SOC 2 Type II 审计会验证控制措施。

备份以加密形式存储在多个区域,恢复时间目标 (RTO) 为 4 小时,恢复点目标 (RPO) 为 60 分钟。我们保留日志 12 个月以支持调查、合规需求和服务改进。我们的数据处理在需要时尽量减少个人数据,并在可行的情况下使用假名化。

如果发生泄露,我们的事件响应团队将努力控制事件并在 72 小时内通知受影响的用户,并提供重置凭据和监控帐户的明确指导。我们通过状态页面发布违规更新,并通过隐私门户提供个性化帮助。

为帮助我们保护您的信息,请启用 MFA,每周查看帐户活动,启用警报,并保持您的设备更新。使用强大、唯一的密码,避免在不同服务之间重复使用凭据。如果您发现异常活动,请立即通过我们的支持渠道报告,以便我们迅速响应。

我们与谁共享信息以及如何审查第三方处理方?

我们仅与协助我们提供服务并确保可靠运营的受信任的服务提供商共享信息。在共享之前,我们会确定所需的数据,并验证合作伙伴是否在清晰、可执行的指示下工作。我们要求他们仅在执行任务所必需的范围内访问数据,并按预期处理数据。

使用正式的工作流程审查第三方处理方:确定接收者类别,评估风险,验证安全控制,并确认子处理方的访问权限。我们检查供应商是否在传输中和静态时都保留加密,限制访问,并拥有违规通知流程。

数据处理协议详细说明了角色、数据处理和安全措施。它们涵盖数据最小化、保留期、合同终止时的删除、子处理方规则、带有保护措施的跨境传输以及违规责任。

监控和审计:我们进行年度审查,要求提供证明,并监控事件报告。我们要求在规定时间内进行通知,并验证控制措施的证据。我们维护一份最新的子处理方名单,并在发生变化时通知客户。

客户采取的实际步骤:索要 DPA,验证子处理方,检查数据保留,并了解数据主体权利支持。如果供应商无法提供清晰的文档,请更换供应商。

您有哪些权利以及如何行使这些权利(访问、删除、反对)?

直接从您的帐户仪表板或发送电子邮件至 [email protected] 提交访问请求即可开始。我们将在 30 天内回复,您将收到 CSV 或 JSON 格式的副本,其中包含类别、来源和接收者。本政策旨在为您提供按预期进行的控制,确保我们的服务清晰可用。

您的权利一览

访问:您可以查看我们存储的关于您的数据,包括个人资料详细信息、活动日志以及您在表格中提供的任何信息。删除:您可以请求从活动系统中删除数据,但需遵守法律义务和合法的业务需求。反对:您可以反对处理,包括直接营销或基于我们合法利益的处理。我们将处理有效的请求,只要这些请求不与这些义务相冲突。

如何行使各项权利

访问请求:使用最少的一组标识符(姓名、电子邮件、帐户 ID)验证您的身份,并通过您的帐户或 [email protected] 提交。我们将在 30 天内以您首选的格式提供数据导出,并提供目的、类别和接收者的摘要。

删除请求:验证身份,指定要删除的数据或范围,我们将在 30 天内将其从活动系统中删除,除非法律要求保留或完成交易。删除完成后,您将收到确认;备份中的数据可能根据我们的保留政策在后续期间内被清除。

反对请求:描述您反对的处理方式,以及您是希望立即停止还是暂时暂停。我们将在审查期间暂停处理,并在 30 天内回复;如果我们确定有有效理由继续处理,我们将通知您并提供理由。您还可以更新帐户中的偏好设置以停止营销传播。

我们如何更新政策并验证持续的隐私合规性?

我们如何更新政策并验证持续的隐私合规性?

实施建议:建立季度政策审查周期和自动化的更改跟踪。当我们遵循这种方法时,我们的服务就能按预期运行——清晰的版本控制、跨部门的批准以及及时的用户通知。

我们通过一个有记录、可审计的流程来更新政策,该流程与我们产品和服务中的数据处理保持一致。每次更新都会经过从触发到发布的定义阶段,以确保准确性和问责制。

更新工作流程

  • 更新的触发因素包括法规变更、新的数据流、功能发布或供应商变更。我们起草变更草案并附上简明摘要,并将受影响的部分映射到处理活动。
  • 版本控制和变更日志:每次更新都会创建一个新版本,包含日期、范围和用户可访问性。
  • 利益相关者批准:隐私、法律、安全、产品和工程部门进行审查和签核。
  • 影响评估:重新评估目的、数据类别、保留期和合法依据;确保在我们的服务和处理活动之间保持一致。
  • 文件记录:更新 DPIA、数据图、供应商协议和保留计划;将支持材料附在政策记录中。
  • 发布和推广:在我们网站上发布修订后的政策,并通过发行说明或应用内通知告知用户。
  • 可访问性和互操作性:确保机器可读格式和指向相关策略的清晰链接。

持续验证

  1. 季度隐私检查将实际处理情况与政策进行比较;及时纠正差距。
  2. 根据法规或合同要求,进行年度第三方评估;相应更新控制措施。
  3. 定期对员工进行培训并验证已完成的模块;跟踪完成率。
  4. 隐私 KPI:数据主体请求的响应时间、同意管理、事件遏制和违规通知。
  5. 审计跟踪:维护中心化的更改日志和版本历史记录,供内部审查和外部审计。
  6. 持续改进:收集用户和团队的反馈;在下一个周期中实施改进。

准备好注册您的塞浦路斯公司了吗?

我们的专家将全程为您提供指导——公司注册、税务设置以及银行开户。

预约咨询