深圳市紫蔷薇科技有限公司(以下简称为“我们”)深知个人隐私的重要性,我们将按照法律法规的要求,采取相应安全保护措施,尽力保护您的个人信息安全可控。制定本隐私政策,用于向您说明您在使用我们的产品时如何收集、使用、保存、共享和转让这些信息,以及我们为您提供的访问、更新、删除和保护这些信息的方式。
我们会根据您再我们网站上的行为使用cookie和其他设备自动跟踪某些信息。Cookies是站点或其服务提供商通过Web浏览器传输到计算机硬盘驱动器的小文件,这些文件使站点或服务提供商系统能够识别您的浏览器并获取某些信息。此信息可能包括的浏览器以及您的IP地址。大多数Web浏览器最初都设置为接收Cookie。如果愿意,您可以选择让计算机在每次发送cookie时发出警告,也可以通过浏览器设置关闭所有cookie。与大多数网站一样,如果您关闭Cookie,我们的某些服务可能无法正常运行。
我们收集个人信息主要目标是为客户提供更好的服务,保证客户的订单能够及时配送。
我们收集为满足您需求范围内的个人信息。该个人信息包括但不限于姓名、地址、邮编、邮箱等满足服务要求所必需的其他个人信息。
根据政策规定,我们绝不会将有关您的任何个人身份信息出售或者租出给任何第三方。
我们的业务遍及全球,并且您同意为了促进我们服务的使用,我们将在安全、机密和安全的环境中保存和传输您的信息。
1 订单处理(您的信息,无论是公开的或者私人的,出于任何目的,未经您的同意,不会出于任何目的而出售,交换、转让或提供给任何其他公司,除非是出于明确目的提供所要求的服务)
2 改善客户服务
3 改善网站
未经您的同意,您的个人信息不会用于其他任何目的
我们不会将您的个人信息出售,交易或以其他方式转让给外部各方。这不包括协助我们开展业务或者为您提供服务的受信任的第三方,只要这些第三方同意对这些信息保密。
当在遵守法律的前提下,我们为了保护我们或者他人的权利、财产或安全时,我们也可能会发布您的个人信息。但是,是将非个人可识别或者已经匿名的信息提供给其他方。
我们将数据视为资产,必须对数据进行保护,以防止数据丢失或者未经授权的访问。我们采用很多不同的安全技术来保护此类数据,以防止公司内部和外部成员未经授权的访问。
我们将努力确认您的信息是准确、完整且是最新的。如果名称、地址或其他信息有任何更改,请及时通知我们。如果您对我们收集的有关您的信息准确性有疑问,您将有权访问该信息来进行验证和更新。
在适用的隐私法规明确规定的优先情况下,我们可以告诉您我们是否持有有关您的个人信息。
我们可能会根据客户的需要准确反映我们数据收集和处理方式而不时更改本隐私政策。如果我们决定更改我们的隐私政策,我们将在页面上发布这些更改。
我们密钥不会授予个人或者第三方。目前我司使用ERP系统内开放平台集成亚马逊各API功能,各业务系统调用开放平台接口与亚马逊平台交互,各业务系统如需使用开放平台接口需走钉钉审批流程,通过后方可访问接口与亚马逊平台进行交互。目前开放平台的项目负责人具有访问API秘钥的权限。API秘钥数据进行AES-256-CBC加密存储在数据库配置表内。密钥不放在代码内,以接口调用的形式获取密钥。
密码的最短长度为12个字符,并要求大小写字母和数字的组合,密码中不能有与用户名汉语拼音一致的字符串。最短使用时间为24小时。1个月过期。密码连续输入3次错误,将被冻结24小时或联系管理员解冻。不能与前10次相同。当会话处于非活动状态5分钟后,需要重新登录。会对复杂度进行检查。
一般安全要求 根据行业领先的安全要求,解决方案提供商将采取物理、管理和技术保护措施及其他安全措施,实现以下目的:(i) 维护解决方案提供商访问、收集、使用、存储或传输的信息的安全性和机密性;以及 (ii) 保护这些信息免受已知或可合理预期的安全和完整性威胁或危害,防止信息的意外丢失、篡改、泄露及其他所有非法处理形式。解决方案提供商须遵守以下要求,包括但不限于:
1.1 网络保护。 解决方案提供商必须实施网络保护控制措施(包括网络防火墙和网络访问控制列表),以拒绝访问未经授权的 IP 地址。解决方案提供商必须实施网络分段、入侵检测和防御机制(包括对防火墙规则集进行补充的深度防御方法,以及使用基于 IDS 和/或 IPS 签名模式的机制来识别和防止网络中的恶意行为),并定期(至少每月一次)更新防病毒和反恶意软件工具。解决方案提供商必须实施控制措施,防止员工在其系统中禁用防病毒软件。解决方案提供商必须将系统访问权限限制在以下人员:负责编码和开发工作的获批内部员工,以及之前完成了数据保护和 IT 安全意识培训的员工(“获批用户”)。解决方案提供商必须始终遵循安全编码实践,并至少每年对获批用户进行一次数据保护和 IT 安全意识培训。务
1.2 访问管理。 解决方案提供商必须制定正式的用户访问注册流程,确保为每个具有计算机信息访问权限的人员分配唯一的 ID,从而为所有类型的用户和服务分配访问权限。解决方案提供商不得创建或使用通用、共享或默认的登录凭据或用户帐户,并禁止共享用户帐户。解决方案提供商必须实行基线机制,以确保始终只有所需的用户帐户才能访问信息。解决方案提供商必须限制员工和承包商在个人设备上存储信息。解决方案提供商将通过检测异常使用模式和登录尝试,并禁用有信息访问权限的帐户,维护和强制执行“帐户锁定”。用户帐户尝试登录 10 次或以下均失败后将被锁定。解决方案提供商必须至少每季度审查一次有信息访问权限的人员和服务的列表。解决方案提供商必须确保在 24 小时内禁用和/或移除已离职员工的访问权限。
1.3 最小权限原则。 解决方案提供商必须实行精细访问控制机制,以便在遵循最小权限原则的基础上向使用应用程序的任何一方和应用程序授权操作员授予权限。只能在“必要时”授予信息访问权限。
1.4 凭证管理。 解决方案提供商必须为有权访问信息的人员和系统设定最低密码要求。密码必须至少包含十二 (12) 个字符,不能包含用户名的任何部分,必须混合使用大写字母、小写字母、数字和特殊字符,并对每种字符的长度都有最低要求。解决方案提供商必须将所有用户的最短密码有效期设置为 1 天,最长密码有效期设置为 365 天。必须保留密码历史记录,以防止重复使用最近的 10 个密码。解决方案提供商必须确保所有用户帐户都启用多因素身份验证 (MFA)。解决方案提供商必须确保亚马逊提供的 API 密钥经过加密,并且只有必要的员工有权使用它们。API 密钥和相关凭证必须至少每 12 个月轮换一次。
1.5 传输中加密。 解决方案提供商必须使用安全协议(如 TLS 1.2+、SFTP 和 SSH-2)对所有传输中的信息进行加密。解决方案提供商必须在所有适用的内部和外部终端节点上强制执行此安全控制措施。解决方案提供商必须使用数据消息级别的加密,其中通道加密(例如,使用 TLS)在不受信任的多租户硬件(例如,不受信任的代理)中终止。
1.6 风险管理和事件响应计划。 解决方案提供商必须制定风险评估和管理流程,由其高级管理层每年进行审查,包括但不限于评估潜在威胁和漏洞及可能性和影响,以便追踪已知风险。解决方案提供商必须制定相关计划和/或运行手册并予以维护,以便检测和处理安全事件。此类计划必须确定事件响应的角色和责任,定义可能影响亚马逊的事件类型,为定义的事件类型确定事件响应程序,并明确将安全事件上报亚马逊的上报途径和程序。解决方案提供商必须每六 (6) 个月,以及在任何重大基础设施或系统更改后审核和验证一次计划,此处提及的更改包括系统、控制、运营环境、风险水平和供应链的更改。解决方案提供商必须在检测到任何安全事件后的 24 小时内通知亚马逊(通过发送电子邮件至 security@amazon.com)。解决方案提供商全权负责根据适用的当地法律通知相关政府或监管机构。解决方案提供商必须调查每起安全事件,并记录事件描述、补救措施,以及为防止以后再次发生该事件而实施的相关纠正流程/系统控制措施。解决方案提供商必须维护收集的所有证据或记录的保管链,并且必须根据要求向亚马逊提供此类文件(如果适用)。如果发生安全事件,解决方案提供商不能代表亚马逊行事,也不能代表亚马逊与任何监管机构或买家沟通,除非亚马逊以书面形式明确要求解决方案提供商这样做。解决方案提供商应确定并指定一名事件管理联系人 (IMPOC),在发生数据泄露或安全漏洞等事件时可以联系该人。
1.7 请求删除。 如果亚马逊发出通知,要求在亚马逊提出要求后 30 天内删除信息,则解决方案提供商必须依照通知内容永久且安全地删除该等信息,除非依照法律要求(包括税务或监管要求)必须保留相关数据。除非适用法律或法规要求延长保留期限,否则解决方案提供商必须在 18 个月内删除非 PII 数据。安全删除必须按照 NIST 800-88 等行业标准清理流程进行。解决方案提供商还必须在收到亚马逊通知后 90 天内永久且安全地删除信息的所有实时(在线或网络可访问)实例。如亚马逊要求,解决方案提供商须以书面形式证明所有信息均已安全销毁。
1.8 数据归属。 解决方案提供商必须将信息存储在单独的数据库中,或者实施一种机制来标记和标识任何包含信息的数据库中所有数据的来源。
我司代码使用运维平台进行代码发布,发布前会使用自研脚本对代码进行扫描,没问题后才能发布。
监控和记录关键 API 接口,并在出现请求过多、数据量较大等异常情况时采取措施。会进行相关记录和监控。数据请求限制控制措施(如速率限制、节流等)已就绪。我司会对每个接口用户设定相关访问接口频次。至少每年轮换一次 API 的凭证和其他相关密钥。正在使用 WAF 或其他等效的 API 保护工具来保护 API 免受基于网络的攻击,例如暴力破解、DDOS、API 过度使用等。使用华为云防火墙。
如果您有任何疑问或意见,请通过dalipai213@outlook.com与我们联系。