隐私政策

BotFlush（以下简称"我们"）致力于保护您及您终端用户的隐私。本隐私政策阐述了我们在您使用验证码服务（"服务"）时如何收集、使用、披露和保护信息。

1. 我们收集的信息

1.1 账户信息

注册 BotFlush 账户时，我们收集：

• 用户名和邮箱地址，用于账户识别和通信
• 加密密码（我们绝不存储明文密码）
• 如选择 GitHub OAuth 登录，则包含 GitHub 账户 ID

1.2 验证数据

终端用户与验证码组件交互时，我们仅为机器人检测目的收集以下数据：

• 终端用户 IP 地址（用于速率限制和滥用防护）
• 浏览器 User-Agent 字符串（用于设备兼容）
• 点击交互数据（验证挑战上的点击坐标）
• 时间数据（完成验证的用时）
• 触发验证码的页面 URL
• 计算验证结果（用于验证客户端合法性）
• 屏幕分辨率和色深（用于设备一致性分析）
• 平台和操作系统标识（用于环境验证）
• 触控能力和输入方式（用于交互真实性检测）
• 硬件信息如 CPU 核心数和设备内存（用于机器人指纹检测）
• 通过 WebGL 获取的 GPU 厂商和渲染器（用于无头浏览器检测）

我们不收集 Cookie、追踪像素、浏览历史或上述以外的任何个人身份信息。

以上技术信号基于合法利益（GDPR 第 6(1)(f) 条）收集，用于安全和自动威胁检测。数据保留最多 30 天后自动删除，不用于广告、跨站追踪或用户画像。

1.3 挑战数据

验证码挑战由服务端生成，使用文字图片或表情图片。挑战答案数据临时存储，在过期（默认 5 分钟）或验证成功后自动删除。

2. 信息使用方式

我们仅将收集的信息用于：

• 机器人检测：分析点击模式、时间、验证结果和交互行为
• 滥用防护：基于 IP 的速率限制和可疑流量拦截
• 服务分析：通过管理面板向站点所有者提供聚合验证统计
• 服务改进：分析匿名聚合数据以优化验证算法
• 账户管理：用户认证、配额管理和服务相关通信

3. 数据留存

• 挑战数据：过期后自动删除（可配置，默认 5 分钟）
• 验证令牌：一次性使用，消费后立即销毁
• 验证日志：保留可配置期限（默认 30 天），之后自动清除
• 账户数据：在账户活跃期间保留，您可随时请求删除

4. 数据共享

我们不出售、交易或出租您的个人信息或终端用户数据。仅在以下情况下共享：

• 站点所有者：与集成 BotFlush 的站点所有者共享聚合验证统计。不共享超出验证结果的个人终端用户数据
• 法律要求：法律、传票或政府要求时可能披露信息
• 服务提供商：可能使用第三方邮件服务发送账户验证邮件，仅共享最少必要数据

5. 数据安全

我们实施适当的技术和组织措施保护您的信息：

• 所有传输中的数据使用 TLS/HTTPS 加密
• 密码使用行业标准加密算法加盐哈希
• 验证码令牌加密随机且一次性使用
• 数据库访问仅限授权服务
• JWT 认证令牌在可配置期限后过期（默认 24 小时）
• 验证挑战密钥安全生成，绝不暴露给客户端

6. 数据存储位置

BotFlush 的服务器位于欧盟辖区内。您的数据在欧盟境内处理和存储，符合 GDPR 数据保护要求。

7. GDPR 合规

对于欧洲经济区（EEA）用户，我们基于以下法律依据处理数据：

• 合法利益：机器人检测和滥用防护构成网站运营商的合法利益
• 合同必要性：处理账户数据以履行服务协议
• 同意：在需要时，由站点运营商在加载验证码组件前获取终端用户同意

您有权：

• 访问您的个人数据
• 纠正不准确的数据
• 请求删除您的数据
• 反对数据处理
• 数据可携带性
• 向监管机构投诉

8. 儿童隐私

BotFlush 不面向 13 岁以下儿童。我们不会故意收集儿童的个人信息。

9. 第三方服务

我们的服务可能使用第三方开源组件用于渲染和功能：

• 开源表情资源用于视觉验证挑战
• 开源库用于验证码生成和渲染

所有组件均自托管，不会向第三方传输数据。

10. 政策变更

我们可能不时更新本隐私政策。将通过在此页面发布并更新日期的方式通知您重大变更。

11. 联系我们

如对本隐私政策有疑问或希望行使数据保护权利，请联系我们：

• Email: admin@botflush.com
• Operated by: BotFlushDev