Data Processing Agreement
最后更新:2026年4月
本数据处理协议(DPA)构成Kai与任何客户(Controller)之间服务条款的一部分,其个人数据由Kai(Processor)在提供平台服务的过程中进行处理。
处理范围
Kai仅为提供服务条款中所述的共享资产管理平台而处理个人数据。处理包括根据Controller通过正常使用平台发出的指示进行数据的存储、检索、显示和删除。
处理的数据类别
处理以下类别的个人数据:
- 身份数据:姓名、电子邮箱地址、个人头像
- 联系数据:电话号码、账单地址
- 财务数据:IBAN、账单信息、发票记录
- 使用数据:预订、使用日志、费用记录、维护日志
- 通信数据:消息、支持工单
- 技术数据:IP地址、浏览器类型、同意记录
安全措施
Kai实施以下技术和组织措施来保护个人数据:
- 传输加密(TLS 1.3)和静态加密(AES-256)
- 行级安全性实现组间数据隔离
- 基于角色的访问控制,遵循最小权限原则
- 自动每日备份,支持时间点恢复
- 定期安全审计和渗透测试
- 不向错误监控发送任何个人身份信息
子处理者
Kai使用以下子处理者。Controller将收到此列表任何变更的通知:
- Supabase(AWS法兰克福,EU)— 数据库和身份验证
- Stripe(EU/US,SCC)— 支付处理
- Resend(US,SCC)— 电子邮件投递
- Sentry(EU)— 错误监控(无PII)
- Vercel(EU)— 应用托管
- Google Analytics & Ads(US,DPF)— 分析和广告(取决于同意)
- Firebase / Google Cloud(EU)— 文件存储
- Cloudinary(US,SCC)— 图片优化
数据泄露通知
如发生个人数据泄露,Kai将在发现泄露后不迟于72小时内及时通知Controller。通知将包括泄露的性质、受影响的数据主体类别和大致数量、可能的后果以及已采取或拟采取的应对措施。
数据主体权利
Kai协助Controller履行数据主体的请求,包括:
- 访问权 — 用户可以在平台上查看其所有数据
- 更正权 — 用户可以更新其个人资料和数据
- 删除权 — 删除账户将移除所有个人数据
- 数据可携带权 — 用户可以将所有数据导出为JSON格式
- 撤回同意权 — 可随时更改Cookie偏好设置
数据返还和删除
协议终止后,Kai将在30天内删除代表Controller处理的所有个人数据,除非适用法律要求保留。Controller可以在终止前随时使用平台内置的导出功能导出其数据。
联系方式
如对本DPA有任何疑问或需要签署副本,请通过[email protected]联系我们