隱私與數據安全政策

在 Leads Technologies Limited,我們致力於保護客戶數據的隱私與安全。我們的全面隱私與數據安全政策旨在保護敏感信息,確保符合法律和監管標準,並與客戶和利益相關者建立信任與透明度。以下是我們有關隱私與數據安全政策及實踐的詳細概述。

1.數據收集與使用

  • 目的限制:
    我們僅為特定、明確和合法的目的收集個人和商業數據,包括提供和提升我們的服務、履行合同義務、遵守法律要求以及改善用戶體驗。我們確保所收集的數據與這些目的相關且僅限於必要的範圍。
  • 透明度與同意:
    我們對所收集的數據、其用途及原因完全透明。在收集任何個人數據之前,我們會告知數據主體其權利,並在需要時獲得其明確同意。這些信息通過清晰且易於理解的隱私聲明和同意表單提供。
  • 數據分析與側寫:
    在使用數據分析或側寫時,我們尊重個人隱私。我們向數據主體提供有關其數據在分析和側寫中的使用方式的資訊,並允許其選擇退出。

2.數據最小化與保留

  • 數據最小化:
    根據數據最小化原則,我們確保僅收集實現合法業務目標所需的數據。避免不必要或冗餘的數據收集,從而減少數據泄露的風險並增強數據安全性。
  • 數據保留政策:
    我們的數據保留政策規定,僅在實現收集目的或遵守法律要求所需的期間內保留個人數據。我們定期審查所持有的數據,並安全地刪除或匿名化不再需要的數據。
  • 自動刪除流程:
    為進一步加強數據最小化,我們實施了自動刪除流程,確保在保留期限屆滿後數據被從我們的系統中移除,除非法律另有要求。

3.數據安全

  • 加密標準:
    我們採用最先進的加密協議來保護數據在傳輸和存儲過程中的安全。所有敏感數據均使用 AES-256 等先進算法加密,以確保其免受未經授權的訪問。
  • 訪問管理:
    我們的訪問管理政策確保對數據的訪問受到嚴格控制,僅限於授權人員。根據工作角色和職責授予訪問權限,遵循最小特權原則。所有訪問請求均經審核,訪問權限也會定期審計。
  • 多因素身份驗證 (MFA):
    為增強安全性,我們要求所有訪問敏感數據的系統使用多因素身份驗證。這為傳統密碼之外提供了額外的安全層。

4.數據主體權利

  • 知情權:
    數據主體有權了解我們持有的有關其的個人數據、數據處理的原因以及數據共享對象。我們通過詳細的隱私政策和應數據主體的要求提供這些信息。
  • 訪問權與數據可攜性:
    個人可以隨時要求訪問其個人數據,在適用情況下,還可以要求將其數據以結構化、常用且機器可讀的格式轉移到另一服務提供商。
  • 更正與刪除權:
    我們會根據數據主體的要求及時更正我們持有的個人數據中的任何不准確之處。此外,在特定情況下(如數據不再需要或撤回同意),數據主體有權要求刪除其個人數據。
  • 反對與限制處理的權利:
    數據主體有權反對其數據的處理或要求在特定情況下限制處理。我們尊重這些權利,並確保這類請求依據相關法律進行處理。

5.第三方數據共享

  • 嚴格的供應商管理:
    我們僅與符合我們嚴格隱私和安全標準的第三方供應商合作。在進行任何數據共享之前,所有供應商均需經過嚴格的評估流程,以確保他們具備必要的保護措施。
  • 數據處理協議 (DPA):
    所有與我們共享數據的第三方供應商均需簽署數據處理協議,明確規定數據處理活動的範圍、目的和限制。這些協議還包括有關數據保護和事件響應的義務。
  • 跨境數據傳輸:
    當數據在國際間傳輸時,我們確保其受到適當的保護措施的保護,如標準合同條款、企業約束規則或其他法律認可的機制。我們還遵守我們業務所在所有司法管轄區的當地數據保護法律。

6.合規與監管遵守

  • 全球合規:
    我們遵守所有相關的數據保護法規,包括《一般數據保護條例》(GDPR)、《加利福尼亞消費者隱私法案》(CCPA)以及其他當地和國際數據保護法規。我們的合規工作會持續檢討和更新,以配合不斷變化的法律要求。
  • 數據保護官 (DPO):
    我們已任命一名數據保護官,負責監督我們的數據保護策略,確保遵守監管要求,並作為數據主體和監管機構的聯絡人。

7.事件響應與泄露通知

  • 綜合事件響應計劃:
    我們制定了詳細的事件響應計劃,規範了數據泄露和其他安全事件的檢測、響應和減少影響的程序。該計劃包括預先定義的角色和職責、通信協議和升級程序。
  • 泄露通知協議:
    在發生數據泄露事件時,我們承諾按照法律要求通知受影響的個人和相關監管機構。通知會及時發出,提供有關泄露事件、受影響數據及減少影響措施的清晰而簡潔的信息。
  • 事後審查:
    在任何事件發生後,我們會進行全面的事後審查,以確定根本原因、評估我們的應對效果,並實施改進措施以防止未來發生類似事件。

8.員工培訓與意識提升

  • 持續培訓計劃:
    我們為所有員工提供定期的數據保護原則、隱私法規和內部安全政策的培訓。這些培訓旨在確保每位員工了解其在保護數據方面的角色,並能識別潛在威脅。
  • 釣魚模擬和安全演練:
    為了增強意識和應對準備,我們定期進行釣魚模擬和安全演練。這些演習幫助員工識別並應對安全威脅,加強對警惕性的重視。
  • 隱私文化:
    我們在組織內部培養隱私文化,鼓勵所有員工在日常工作中優先考慮數據保護。這種文化得到了持續的溝通和領導層對隱私與數據安全的承諾的支持。

9.持續改進

  • 政策審查與更新:
    我們的隱私與數據安全政策會定期審查與更新,以確保其在面對不斷變化的威脅和監管變化時依然有效。我們也會關注行業最佳實踐,並將其納入我們的政策和程序中。
  • 客戶與利益相關者的反饋:
    我們積極尋求客戶和利益相關者對我們隱私與數據安全實踐的反饋。這些反饋用於推動改進,確保我們的政策符合受眾的期望。
  • 數據安全創新:
    我們致力於探索並採用能增強數據安全的新技術和方法,這包括密切關注加密技術、訪問控制和事件檢測技術的發展。
× WeChat QR Code

Scan this QR code to add us on WeChat

× Line QR Code

Scan this QR code to add us on Line