Haohai
生效日期: 2024-11-01
欢迎访问HaohaiERP的隐私政策。我们致力于保护您的隐私,并确保您在我们的网站和使用我们的产品和服务时有一个积极的体验。
海口与源相逢贸易有限公司(以下简称“我们”或“本公司”)作为业界领先的企业资源规划(ERP)服务提供商,深刻认识到保护客户(包括使用我们ERP服务的企业用户及其终端客户)数据和个人信息的极端重要性与法律责任。本隐私保护声明旨在以透明、详尽的方式,向您阐述我们如何依照国际最佳实践、适用法律法规(包括但不限于《通用数据保护条例》GDPR、中国的《网络安全法》、《个人信息保护法》等)以及特定平台政策(特别是电商平台的数据保护政策DPP和可接受使用政策AUP),对您的信息进行收集、使用、存储、保护、共享和删除,以确保您的数据资产安全与隐私权益得到最高标准的尊重和保障。 本声明适用于您访问和使用本公司提供的所有ERP系统、云服务、API接口及相关支持服务。
为确保ERP服务的正常运行、持续优化以及提供卓越的用户体验,我们严格遵循“数据最小化”原则,仅收集与实现声明目的直接相关且必要的信息。这些信息可能包括:
账户与身份: 当您注册、创建用户账户或进行服务续订时,我们将收集您的企业法人名称、统一社会信用代码、注册地址、主要联系人姓名、职务、电子邮件地址、电话号码、账户登录凭证(加密存储)、以及财务支付相关信息。
业务运营数据: 您通过我们ERP系统上传、生成、处理或存储的业务核心数据,这些数据是您日常运营的数字资产。包括但不限于:
订单与销售数据:客户订单详情(商品名称、数量、价格、状态)、销售记录、交易历史、退货信息等。
采购与供应链数据: 供应商信息、采购订单、入库记录、物流单据等。
库存与仓储数据: 商品SKU、库存量、仓库位置、批次信息、出入库操作记录、库存盘点数据等。
商品与产品数据: 商品描述、属性、分类、图片URL、价格、Listing状态等。
财务与会计数据: 销售额、成本、利润、发票信息、账龄分析等(通常为聚合或非直接识别的财务指标)。
员工管理数据(如果ERP包含HR模块): 员工基本信息、考勤、薪酬等。
终端客户个人识别信息 (PII) 的处理: 若您的业务场景涉及处理您的终端客户的个人信息(例如,当我们的ERP系统通过电商平台API集成拉取订单数据时,会包含买家姓名、收货地址、联系电话、电子邮件地址等敏感信息),这些PII将受到最高级别的保护和限制,严格遵守数据保护政策。
服务使用与技术数据: 关于您和您的用户如何访问、配置和使用我们ERP系统的数据。包括但不限于:您的IP地址、设备标识符、操作系统类型、浏览器类型和版本、访问时间、页面浏览、功能使用频率、错误日志、诊断信息、API调用记录等。这些数据主要用于服务运营、故障排除、性能监控、安全审计和合规性验证。
技术支持与沟通信息: 当您与我们的技术支持团队或客户服务团队互动时,您提供的相关问题描述、系统日志、屏幕截图、电话录音(经您同意)及其他诊断数据。
我们严格遵循“目的明确、合理必要”的原则,仅将收集到的信息用于以下指定目的,并承诺不将其用于与声明目的不符的其他用途:
提供、维护和优化ERP服务: 这是我们收集信息的核心目的。包括但不限于账户设置、服务开通与管理、系统功能实现、数据存储、交易处理、客户支持、系统维护、版本升级以及服务性能的持续改进。
个性化和提升用户体验: 基于您对ERP功能的使用偏好和模式,优化界面布局、推荐相关功能或服务,提升操作便捷性和效率。
数据整合、分析与洞察: 对您的业务数据进行整合、深度处理和分析,以生成多维度报告、提供业务洞察、预测(如销售预测、库存周转预测)和辅助决策支持,从而帮助您提升运营效率和市场竞争力。
确保服务安全与合规性: 我们将信息用于执行严格的安全验证、监控可疑活动、防止欺诈、识别和响应安全事件、确保系统稳定运行、执行我们的服务协议,并严格遵守所有适用的法律法规及电商平台等合作平台的政策要求(如电商平台AUP和DPP)。
履行法律义务与监管要求: 遵守法院命令、政府机构的合法要求或其他法律强制性义务。
沟通与通知: 向您发送与ERP服务相关的更新、技术警报、安全通知、服务变更、维护计划、续费提醒以及其他重要信息。
特定目的的PII处理(特别说明): 针对我们从电商平台(如电商平台)获取的终端客户PII,我们实施最严格的使用限制:
订单履约支持: PII数据(如买家姓名、地址、电话)将严格在我们内部的ERP系统中进行处理,用于准确的订单记录、内部订单核对、实现全面的订单追踪功能以及与我们内部流程(如发货单生成、仓储管理)的无缝集成。这对于确保订单数据的完整性、促进内部运营效率以及为卖家提供完整的销售视图至关重要。
客户服务支持: 在协助您处理终端客户查询或解决订单相关问题时,可能在严格控制下使用相关PII。
我们郑重承诺,此类PII绝不用于市场营销、广告投放、数据分析(非履约及客户服务相关)、或与订单履约及客户服务无关的任何其他目的。
本公司将数据安全视为企业生命线,承诺采取业界领先的、多层次、全方位的技术与组织措施,以确保您的数据在整个生命周期中的机密性、完整性和可用性:
安全数据架构与加密技术:
传输中加密: 所有通过公共网络传输的数据,包括PII和业务运营数据,均采用行业标准加密协议(如TLS 1.2+)和HTTPS进行端到端加密保护。
静态加密: 所有存储在我们的服务器、数据库和备份中的敏感数据(包括PII和关键业务数据),均采用高级加密标准(AES-256)进行加密。加密密钥经过严格管理,并与数据隔离存储。
安全存储环境: 数据存储于具备国际信息安全认证(如ISO 27001、SOC 2 Type II)的高安全云服务环境中,具备强大的物理安全控制、网络安全防护(包括WAF、DDoS防护)和环境控制。
严格的访问控制与身份认证:
最小权限原则(Principle of Least Privilege): 所有员工和服务账户的访问权限均严格限制在完成其职责所需的最低限度。
基于角色的访问控制(RBAC): 对不同员工和系统功能应用精细化的权限管理。
强制多因素认证(MFA): 所有内部员工和外部合作伙伴访问敏感系统或数据时,必须启用MFA。
唯一身份标识和密码策略: 强制要求使用唯一用户ID,并实施复杂的密码策略(例如,至少12个字符,包含大小写字母、数字和特殊符号,定期强制更换)。
访问日志与审计: 详细记录所有数据访问、修改和操作日志,并进行持续监控和定期审计,确保可追溯性并及时发现异常行为。
数据隔离与冗余:
客户数据隔离: 我们采取严格的技术和逻辑隔离措施,确保不同客户的数据在底层存储和应用层面互不影响,防止数据交叉污染。
数据备份与灾难恢复: 对所有关键数据进行定期自动化加密备份,并安全存储于地理分散的冷存储服务中。我们制定并定期演练灾难恢复计划(DRP),确保在极端情况下,能够快速恢复PII及关键业务数据的可用性和访问能力(符合RTO/RPO目标)。
漏洞管理与安全测试:
定期漏洞扫描: 至少每半年进行一次全面的漏洞扫描,覆盖所有系统和应用程序。
年度渗透测试: 至少每年聘请独立的第三方安全机构进行渗透测试,模拟真实攻击以发现潜在漏洞。
代码安全审查: 在每次新代码/功能发布前,进行严格的代码安全审查和测试,防止引入新的安全缺陷。
安全事件响应与管理:
完善的事件响应计划(IRP): 制定并维护全面的安全事件应急响应计划,明确事件类型、响应程序、责任人、升级路径和沟通机制。
事件记录与证据链: 详细记录所有安全事件、采取的补救措施和纠正措施,并维护所有相关证据的证据链。
及时通知: 一旦发生任何数据安全事件(如数据泄露或未经授权访问),我们将立即启动应急响应流程,并在24小时内按照适用法律法规和合作平台的要求进行通报,最大限度降低对用户的影响。
员工安全意识培训: 定期对所有员工(包括新入职员工)进行数据安全和隐私保护的强制性培训,确保他们了解并遵守所有安全政策和操作规程。
我们严格遵循“限制共享”原则,仅在以下严格限定的情况下,且在确保数据安全和隐私的前提下共享您的信息:
服务提供商: 我们可能与为我们提供基础设施、技术支持、存储、客户服务、审计等必要服务的第三方服务提供商共享您的必要信息。这些服务提供商都经过严格的背景审查,并签署了严格的数据处理协议(DPA)和保密协议,承诺遵守与我们同等或更高的数据保护标准,且仅能为我们提供服务所需的目的使用信息。
法律要求与监管合规: 在法律强制要求、法院命令、监管机构合法请求、或为配合法律程序、执行我们的服务协议、保护本公司或他人的权利、财产和安全的情况下,我们可能会披露您的信息。
业务转移: 在发生兼并、收购、资产出售、重组、破产或其他涉及本公司业务转移的情况下,您的信息可能会作为业务资产的一部分被转移。在此类情况下,我们将确保接收方遵守本隐私保护声明中规定的数据保护标准。
合作伙伴(仅限非PII): 我们可能与业务合作伙伴共享聚合的、匿名化或已去标识化的非个人信息,用于市场分析、行业报告、服务优化或新产品开发等目的。在此类共享中,我们绝不涉及任何可用于直接或间接识别您或您的终端客户的PII。
PII的特殊共享限制(重要):
我们不向任何外部方共享从电商平台(如电商平台)获取的个人识别信息(PII)。我们承诺,所有从电商平台SP-API获取的PII将严格限于我们内部的ERP系统处理,不会流转至外部第三方进行订单履约(除非我们未来取得电商平台明确授权并与第三方签订严格的DPP)。
如果我们的服务中包含物流追踪功能,我们可能会与选定的第三方物流追踪服务提供商共享非PII的订单信息(例如订单ID、追踪号和承运商名称),通过安全的加密通道进行,且仅用于向您提供实时的货件状态更新。所有此类数据共享均严格遵循最小权限原则,并遵守适用的数据保护法律法规。
我们严格遵循数据保留的最小化原则,仅在为实现特定目的、履行法律义务或解决争议所必需的时间内保留您的信息。
终端客户PII(例如从电商平台获取的买家信息): 此类PII的收集和保留仅用于您的ERP系统内部订单管理和记录保存目的。根据相关电商平台(如电商平台)的数据保护政策,以及确保您的业务合规性,此类PII数据通常会在订单发货并成功交付后不超过30天内安全删除。删除方法包括数据擦除、物理销毁或不可逆的匿名化处理,确保数据无法被恢复或重构。
法律强制保留: 若因适用法律法规、监管要求或法院命令强制要求更长的保留期限,我们将在规定时间内保留PII。在此情况下,PII将进行加密并存储于安全合规的冷存储服务中,且仅在法律允许的范围内进行访问和使用,并在法定期限届满后立即删除。
其他业务运营数据(非PII)和账户信息: 这些数据的保留期限将根据业务需求、法律法规要求、税务义务以及与您的服务协议约定执行。当数据不再需要时,我们将安全地删除或匿名化处理。
您的数据删除请求: 若您根据本声明第6条提出数据删除请求,我们将在适用法律规定的时间内进行响应,并确保所有数据安全、彻底地从我们的活跃系统和备份中删除。
我们充分尊重您对自身信息的控制权。根据适用法律法规,您对您的信息拥有以下权利:
知情权和访问权: 您有权了解我们如何处理您的信息,并有权访问您提供给我们的部分或全部个人信息。
更正权: 当您的信息不准确或不完整时,您有权要求更正。
删除权(被遗忘权): 在某些情况下,例如信息不再是收集目的所必需的、或您撤回同意等,您有权要求我们删除您的信息。
限制处理权: 在某些特定条件下,例如信息准确性存疑或处理合法性存在争议时,您有权要求我们限制对您信息的处理。
数据可携权: 在技术可行的情况下,您有权以结构化、常用且机器可读的格式获取您提供给我们的信息,并有权将这些信息传输给其他数据控制者。
反对权: 您有权反对我们基于特定目的(例如直接营销)处理您的信息。
撤回同意权: 如果我们处理您的信息是基于您的同意,您有权随时撤回该同意,但这不影响撤回前处理的合法性。
投诉权: 您有权向相关数据保护监管机构提出投诉。 如需行使您的权利或对您的数据处理有任何疑问,请通过本声明末尾提供的联系方式与我们联系。我们将在适用法律规定的时间内,并根据您的身份验证情况,响应您的请求。
我们的ERP系统或网站可能包含指向第三方网站、应用程序或服务的链接。请注意,本隐私保护声明仅适用于本公司提供的服务,不适用于这些第三方网站或服务。我们强烈建议您在点击任何第三方链接或使用其服务前,仔细阅读并理解其隐私政策。我们不对任何第三方网站或服务的隐私实践和内容负责。
我们可能会根据业务发展、技术进步、法律法规及监管要求(包括来自电商平台等合作平台的更新)的变化,不时更新本隐私保护声明。任何更新都将在本页面发布,并注明生效日期。我们建议您定期查阅本声明以了解最新信息。对于任何重大变更(例如,涉及数据收集、使用或共享方式的根本性变化),我们将在变更生效前通过电子邮件或其他适当方式向您发出通知,并重新征得您的同意(如适用)。
如果您对本隐私保护声明有任何疑问、意见或疑虑,或希望行使您的数据权利,请通过以下方式与我们联系:
公司名称:海口与源相逢贸易有限公司
电子邮件:gongzuo2@haohaitech.com
