数据处理协议
最后更新:2026年3月7日
本数据处理协议("DPA")构成 BotFlush 作为数据处理者与您(客户)作为数据控制者之间服务条款的一部分。
1. 定义
- "个人数据"指与已识别或可识别自然人相关的任何信息
- "数据控制者"指确定处理目的的客户
- "数据处理者"指 BotFlush
- "终端用户"指与验证码组件交互的任何个人
2. 处理范围
2.1 个人数据类型
- IP 地址
- 浏览器 User-Agent
- GPU 渲染器信息 (WebGL)
- 点击交互和时间数据
- 页面 URL
- 计算验证结果
2.2 目的
人机判别、令牌生成、聚合分析和速率限制。
3. 处理者义务
- 仅按控制者指示处理数据
- 确保员工保密
- 实施适当安全措施
- 未经授权不得使用子处理者
- 协助履行数据保护义务
- 服务结束时删除或返还所有数据
4. 安全措施
- TLS 1.2+ 传输加密
- 受限数据库访问
- 加密随机一次性令牌
- 行业标准加密哈希加盐密码
- 自动数据清除
- 验证挑战密钥安全生成,绝不暴露给客户端
5. 数据留存
| 数据类型 | 留存期 | 删除方式 |
|---|---|---|
| 挑战数据 | 30 秒 | 自动过期 |
| 验证令牌 | 一次性 | 验证时消耗 |
| 验证日志 | 30 天(可配置) | 自动清除 |
| 账户数据 | 直到删除 | 终止后 30 天 |
6. 子处理者
| 子处理者 | 用途 | 共享数据 |
|---|---|---|
| SMTP 提供商 | 验证邮件 | 邮箱、验证码 |
| GitHub (OAuth) | 可选社交登录 | GitHub 用户 ID |
子处理者变更提前 14 天通知。
7. 数据主体权利
- 访问、更正、删除权
- 限制、可携性、反对权
8. 数据泄露通知
发现泄露后 72 小时内通知,包含性质、类别和补救措施。
9. 国际传输
通过标准合同条款 (SCC) 或充分性决定提供保障。
10. 期限与终止
DPA 在服务期间持续有效。终止时按控制者选择删除或返还数据。
11. 联系我们
- DPO: admin@botflush.com
- 运营方: BotFlush Networks