隐私政策
CY.SEND 数字奖励平台
目录
1. 简介
1.1 我们的隐私承诺
CY.TALK SWITZERLAND S.A.(以 CY.SEND 品牌运营)致力于保护您的隐私和个人数据。本隐私政策说明当您使用我们的数字奖励平台和服务时,我们如何收集、使用、共享和保护个人信息。
我们的隐私治理已根据国际标准 ISO/IEC 27701:2019(隐私信息管理体系,PIMS)正式认证。该认证由经认可的第三方认证机构颁发,确认我们的隐私控制、数据处理流程和治理框架已按照国际公认的个人可识别信息(PII)管理最佳实践进行独立审计与验证。ISO 27701:2019 在我们的信息安全管理体系(ISMS)基础上扩展了专门的隐私层,涵盖 PII Controller 和 PII Processor 角色。
1.2 法律框架
我们的数据处理符合适用的数据隐私法律,包括瑞士联邦数据保护法(FADP)以及在适用情况下的欧盟通用数据保护条例(GDPR)。
我们的 ISO 27701:2019 认证提供了一个结构化且可审计的框架,使这些法规的合规性得以实施,并支持与其他国际隐私法律的对齐,包括巴西 LGPD、南非 POPIA 以及澳大利亚隐私原则。
2. 数据控制者信息
数据控制者
3. 我们收集的个人数据
3.1 账户信息
个人用户: 姓名、电子邮件地址、电话号码、居住国家、出生日期和账户登录凭据。
企业客户: 公司名称、商业注册详情、税务识别号、商业地址、授权代表信息和公司账户凭据。
3.2 交易数据
- 支付信息(通过第三方支付处理器进行安全处理)
- 购买历史和交易记录
- 订单详情和产品信息
- 账户余额和账单信息
3.3 技术数据
- IP 地址和设备信息
- 浏览器类型和版本
- 使用模式和网站交互
- API 使用日志和系统性能数据
4. 我们如何收集数据
4.1 直接收集
您在创建账户时提供的信息、通过表单和沟通提交的数据、为验证目的上传的文件以及您配置的偏好设置。
4.2 自动收集
通过 Cookie 和分析工具收集的网站使用数据、API 使用日志和系统交互、安全监控和欺诈检测系统以及性能追踪。
4.3 第三方来源
用于交易确认的支付处理器、用于合规的身份验证服务、提供公司信息的商业数据库以及提供交付确认的产品发行方。
5. 处理数据的法律依据
5.1 合同履行
我们处理个人数据是为了提供服务、管理账户、处理交易以及履行我们对客户的合同义务。
5.2 法律合规
我们处理数据是为了遵守法律义务,包括反洗钱法规、税务要求和监管报告。
5.3 正当利益
我们出于正当的商业目的处理数据,包括预防欺诈、改进服务、安全监控和客户关系管理。
5.4 同意
在法律要求的情况下,我们会就营销沟通、可选功能和某些特定数据处理活动征得您的同意。
6. 我们如何使用个人数据
6.1 服务提供
创建和管理用户账户、处理订单并交付数字产品、提供客户支持和技术援助,以及管理付款和账单流程。
6.2 业务运营
分析使用模式以改进服务、进行欺诈检测和预防、维护安全和系统完整性以及管理业务关系。
6.3 合规活动
验证客户身份(KYC 程序)、监控反洗钱合规性、进行制裁名单筛查以及根据监管要求保留记录。
7. 数据共享与披露
7.1 服务合作伙伴和数据处理方
我们会与值得信赖的第三方合作伙伴和数据处理方共享数据,以提供我们的服务。这包括:
- 支付处理方:我们使用 Stripe、PayPal、Neteller、Skrill 及银行系统。
- 身份验证:我们使用 Shufti Pro(shufti.com)进行身份验证(KYC)。
- 产品提供方:我们可能会共享您的手机号或邮箱。
- 安全与反欺诈:我们使用 Cloudflare Turnstile 和 MaxMind。
- 分析与监控:我们使用 Google Analytics(GA4)、Cloudflare 和 Sentry。
- 地址验证:我们使用 Google Address Autocomplete。
7.2 法律要求
当法律要求时,我们可能会向监管机构、持有合法要求的执法机构、法院和法律程序,以及在紧急情况下为防止伤害而披露数据。
8. 国际数据传输
8.1 跨境处理
为了提供全球服务、确保系统可靠性并支持业务运营,我们可能会在国际间传输个人数据。
8.2 传输保护措施
国际传输受欧盟委员会充分性认定、标准合同条款 (SCC)、适当的技术和组织措施以及对保护水平的定期评估所保护。
9. 数据保留
9.1 保留期限
| 数据类型 | 保留期限 |
|---|---|
| 账户数据 | 客户关系期间 + 注销后 7 年 |
| 交易记录 | 出于合规目的保留 10 年 |
| 支持通信 | 出于服务质量目的保留 3 年 |
| 技术日志 | 通常为 1 年 |
| 营销数据 | 直至撤回同意或连续 3 年无活动 |
10. 数据安全与隐私治理
10.1 ISO/IEC 27701:2019 认证
CY.TALK SWITZERLAND S.A. 已获得其隐私信息管理体系(PIMS)的 ISO/IEC 27701:2019 认证。该认证是 ISO/IEC 27001 信息安全管理体系(ISMS)的扩展,确认我们已建立完整且经过独立审计的个人可识别信息(PII)管理框架。
该认证涵盖我们作为 PII Controller(确定个人数据处理目的和方式)以及 PII Processor(代表客户处理个人数据)的活动。认证 PIMS 的关键要素包括:
- 符合 ISO 27701:2019 附录 A 和 B 的隐私政策、流程和控制措施
- 与信息安全风险管理集成的隐私风险评估与处理流程
- 在系统与流程开发中嵌入隐私设计与默认隐私原则
- 结构化的数据主体权利处理流程及明确响应时间
- 数据处理协议与第三方隐私尽职调查
- 持续改进循环(计划-执行-检查-改进)
- 由认证机构执行的年度监督审核和三年一次再认证
10.2 技术与组织安全措施
我们实施全面的安全措施,包括:
- 传输中数据加密(TLS 1.2+)与静态数据加密(AES-256)
- 账户访问的多重身份验证
- 定期的安全评估和渗透测试
- 员工数据保护培训
- 事件响应和泄露通知程序
- 数据仅存储在瑞士自有 Tier 3 私有数据中心,不使用外部公共云基础设施
11. 您的隐私权利
访问
访问您个人数据的权利
更正
更正不准确数据的权利
删除
请求删除数据的权利
限制
限制处理的权利
可移植性
数据可携带权的权利
反对
反对处理的权利
11.1 行使权利
如需行使您的权利,请通过我们的 联系页面 与我们联系。我们将在验证身份后于法定期限内回复。
我们的 ISO 27701:2019 认证 PIMS 包含数据主体请求处理流程,确保一致、可审计且及时的响应。
12. Cookie 与追踪
有关我们使用的 Cookie 和追踪技术的详细信息,请参阅我们的独立 Cookies政策.
12.1 Cookie 类型
- 必要 Cookie:网站功能运行所必需
- 分析 Cookie:用于了解网站使用情况
- 功能 Cookie:用于记住偏好设置
- 营销 Cookie:用于广告目的(需经同意)
13. 自动化处理
13.1 自动化系统
我们使用自动化系统进行欺诈检测和风险评估、交易处理与审批、客户服务路由以及安全监控。
13.2 人工智能与机器学习
我们可能会使用人工智能和机器学习技术来分析交易模式以防范欺诈、改进客户服务、增强平台安全性并提供个性化建议。
13.3 您的权利
您有权获得有关自动化决策的信息,要求对自动化决策进行人工复核,并有权反对某些类型的自动化处理。
14. 儿童隐私
我们的服务对象为 18 岁及以上的用户。我们不会在未获得家长同意的情况下故意收集 18 岁以下儿童的个人数据。如果我们意识到在未获得适当同意的情况下收集了儿童的数据,我们将采取步骤立即删除此类信息。
15. 本政策的修订
我们可能会更新本隐私政策,以反映我们的做法、技术或法律要求的变化。重大变更将通过我们的平台或电子邮件进行通知。政策更新后您继续使用我们的服务,即表示您接受修订后的政策。
16. 联系信息
16.1 监管投诉
您可以向相关数据保护机构提出投诉:
- 瑞士:瑞士联邦数据保护和信息专员 (FDPIC)
- 欧盟:您当地的数据保护机构