隐私和数据处理政策

引言

本政策阐述了我们组织如何管理隐私和数据处理，以确保遵守数据保护法规和维护客户信任。我们承诺保护所有个人身份信息（PII）和其他数据的安全和隐私。

1. 一般安全要求

1.1 网络保护

• 我们实施了包括网络防火墙和访问控制列表在内的网络保护措施，以防止未授权的IP地址访问。
• 我们定期更新防病毒和反恶意软件工具，并实施了网络分段和入侵检测与防御机制。

1.2 访问管理

• 我们为所有用户和服务分配了唯一的ID，并确保只有授权用户才能访问信息。
• 我们实施了账户锁定政策，以防止未授权的访问。

1.3 最小权限原则

• 我们实行了基于最小权限原则的访问控制，确保用户仅拥有完成其工作所必需的访问权限。

1.4 凭证管理

• 我们为访问信息的员工和系统设置了复杂的密码政策，并实施了多重身份验证（MFA）。

1.5 传输中加密

• 我们使用安全协议，如TLS 1.2+，对所有传输中的数据进行加密。

1.6 风险管理和事件响应计划

• 我们制定了风险评估和管理流程，并创建了安全事件的检测和处理计划。

1.7 请求删除

• 我们将在亚马逊要求的30天内安全地删除信息，除非法律要求保留。

1.8 数据归因

• 我们实施了数据来源标记和识别机制，以确保数据的可追溯性。

2. 针对个人身份信息（PII）的额外安全要求

2.1 数据保留

• 我们仅在订单交付后30天内保留PII，除非法律要求更长的保留期限。

2.2 数据管理

• 我们制定了隐私和数据处理政策，以规范信息资产的管理和保护。
• 我们维护数据处理活动记录，以确保合规性和问责制。

2.3 资产管理

• 我们定期更新和维护可访问PII的软件和硬件资产的清单。
• 我们实施了数据丢失防护（DLP）控制措施，以监控和检测未经授权的数据移动。

2.4 静态加密

• 我们对所有PII进行了至少AES-128或RSA 2048位的静态加密。

2.5 安全编码实践

• 我们避免在代码中硬编码敏感凭证，并维护独立的测试和生产环境。

2.6 日志记录和监控

• 我们收集日志以检测安全相关事件，并实施了实时或定期的日志审查机制。

2.7 漏洞管理

• 我们制定了漏洞扫描和补救计划，以保护物理硬件免受技术漏洞的侵害。

3. 审计和评估

• 我们保持所有必要的记录，以验证我们是否符合DPP和亚马逊开店服务API开发者协议。
• 我们配合亚马逊或其审计员进行的审计和评估，并在发现问题时及时采取补救措施。

4. 联系信息

• 数据保护官：我们指定了一名数据保护官（DPO），负责监督我们的数据处理活动，并作为用户联系点以解决数据保护相关问题。
• 用户查询：用户可以通过以下联系方式向我们的数据保护官提出查询或投诉：[wenzongxian@126.com]。

我们承诺定期审查和更新本政策，以确保它反映了我们对数据保护的持续承诺，并符合不断变化的法律和监管要求。