本隱私權政策說明 Security Drill 平台營運者 如何在 Security Drill 社交工程演練與安全教育平台(以下稱「本平台」)處理個人資料。
一、適用範圍
本政策適用於本平台的登入、客戶授權、收件者名單、演練活動、電子郵件寄送、報表、稽核與安全設定功能,以及本平台公開頁面使用的必要 Cookie。
二、我們處理的資料
- 帳號與授權資料:姓名、Email、職稱、客戶名稱、授權網域、授權期間、簽署條款、電子簽署紀錄與 MFA 設定狀態。
- 收件者資料:客戶依法提供的 Email、姓名、部門、職稱、地點、標籤與群組資訊。
- 演練資料:活動名稱、模板、演練假頁、寄送工作、投遞狀態,以及寄送、開信、點擊、互動與教育完成事件。
- 安全與稽核資料:登入與管理操作、時間、請求摘要及為維持服務安全與稽核所需的紀錄。
- 必要技術資料:維持登入、授權與安全功能所需的工作階段、瀏覽器與裝置資訊。
三、演練輸入資料的限制
本平台的演練假頁只記錄是否發生互動,不保存收件者在演練假頁輸入的密碼、一次性驗證碼或其他表單內容。客戶不得使用本平台收集真實密碼、OTP、金融資料或其他不必要的敏感資料。
四、處理目的與法律依據
- 依客戶書面授權執行安全演練、寄送通知與提供教育回饋。
- 建立授權、寄送、互動與稽核證據,維持平台安全與防止未授權操作。
- 提供客戶後台、報表、資料保存與刪除功能。
- 依適用法令、契約、合法利益或使用者同意處理資料;實際法律依據依營運地、客戶所在地與雙方合約而定。
五、資料分享與服務供應商
我們不販售個人資料。為提供服務,資料可能由下列受委託服務商依其服務條款與資料處理條件處理:
- Vercel:應用程式部署與執行環境。
- Supabase:正式環境資料儲存與資料庫服務。
- Resend:依客戶指示寄送演練郵件及回傳投遞事件。
- Cloudflare:網域、網路服務與相關平台功能。
必要時,我們也可能依法律程序、主管機關要求或為防止重大安全事件而揭露必要資料。
六、保存期限
資料依客戶設定的保存期限、活動狀態、授權證據、稽核需求與適用法令保存。已完成或封存活動可由管理員依保存政策清除;密碼、驗證資訊與其他安全資料依其用途與風險管理。
七、資料安全
本平台會依資料性質、處理風險與適用法令,採取適當的技術與管理措施,並限制資料存取,以維護資料的機密性、完整性與可用性。任何網路傳輸或雲端服務均無法保證絕對安全;如發現疑似事件,請立即聯絡平台管理員。
八、Cookie 與追蹤
登入與授權流程使用必要 Cookie 以維持工作階段、驗證流程與安全性。本平台的演練追蹤連結與像素用於記錄演練互動,不用於跨網站廣告追蹤。
九、您的權利
依適用法令,您可能享有查詢、閱覽、更正、刪除、限制處理、反對處理、資料可攜或撤回同意等權利。請先聯絡代表您所屬公司的平台管理員;也可寄信至 [email protected]。我們可能需要確認請求人的身分與所屬客戶。
十、政策更新
我們可能因服務、法令或安全控制變更更新本政策。重大變更會在平台或客戶通知中說明;更新後頁面顯示的生效日即為適用版本。