引言
本政策阐述了我们组织如何管理隐私和数据处理,以确保遵守数据保护法规和维护客户信任。我们承诺保护所有个人身份信息(PII)和其他数据的安全和隐私。
1. 一般安全要求
1.1 网络保护
- 我们实施了包括网络防火墙和访问控制列表在内的网络保护措施,以防止未授权的IP地址访问。
- 我们定期更新防病毒和反恶意软件工具,并实施了网络分段和入侵检测与防御机制。
1.2 访问管理
- 我们为所有用户和服务分配了唯一的ID,并确保只有授权用户才能访问信息。
- 我们实施了账户锁定政策,以防止未授权的访问。
1.3 最小权限原则
- 我们实行了基于最小权限原则的访问控制,确保用户仅拥有完成其工作所必需的访问权限。
1.4 凭证管理
- 我们为访问信息的员工和系统设置了复杂的密码政策,并实施了多重身份验证(MFA)。
1.5 传输中加密
- 我们使用安全协议,如TLS 1.2+,对所有传输中的数据进行加密。
1.6 风险管理和事件响应计划
- 我们制定了风险评估和管理流程,并创建了安全事件的检测和处理计划。
1.7 请求删除
- 我们将在亚马逊要求的30天内安全地删除信息,除非法律要求保留。
1.8 数据归因
- 我们实施了数据来源标记和识别机制,以确保数据的可追溯性。
2. 针对个人身份信息(PII)的额外安全要求
2.1 数据保留
- 我们仅在订单交付后30天内保留PII,除非法律要求更长的保留期限。
2.2 数据管理
- 我们制定了隐私和数据处理政策,以规范信息资产的管理和保护。
- 我们维护数据处理活动记录,以确保合规性和问责制。
2.3 资产管理
- 我们定期更新和维护可访问PII的软件和硬件资产的清单。
- 我们实施了数据丢失防护(DLP)控制措施,以监控和检测未经授权的数据移动。
2.4 静态加密
- 我们对所有PII进行了至少AES-128或RSA 2048位的静态加密。
2.5 安全编码实践
- 我们避免在代码中硬编码敏感凭证,并维护独立的测试和生产环境。
2.6 日志记录和监控
- 我们收集日志以检测安全相关事件,并实施了实时或定期的日志审查机制。
2.7 漏洞管理
- 我们制定了漏洞扫描和补救计划,以保护物理硬件免受技术漏洞的侵害。
3. 审计和评估
- 我们保持所有必要的记录,以验证我们是否符合DPP和亚马逊开店服务API开发者协议。
- 我们配合亚马逊或其审计员进行的审计和评估,并在发现问题时及时采取补救措施。
4. 联系信息
- 数据保护官:我们指定了一名数据保护官(DPO),负责监督我们的数据处理活动,并作为用户联系点以解决数据保护相关问题。
- 用户查询:用户可以通过以下联系方式向我们的数据保护官提出查询或投诉:[wenzongxian@126.com]。
我们承诺定期审查和更新本政策,以确保它反映了我们对数据保护的持续承诺,并符合不断变化的法律和监管要求。