隐私政策

---

客户的隐私对我们很重要，因此我们如何收集、使用和共享有关客户的信息的透明度也很重要。本政策旨在帮助您了解：

• 我们收集哪些信息
• 我们如何使用我们收集的信息
• 我们如何披露我们收集的信息
• 我们如何存储和保护我们收集的信息
• 我们保留信息多久
• 如何访问和控制信息
• 我们如何在第三方合作中传输收集的信息

本隐私政策涵盖我们在您使用我们的产品或服务或以其他方式与我们互动时收集的有关客户的信息。在本政策中，我们将所有这些产品以及我们的其他服务和网站统称为“服务”。我们的服务旨在帮助跨境电商卖家提高工作效率，因此，我们作为亚马逊服务 API 开发者，我们将完全遵守亚马逊服务 API 开发者协议、可接受的使用政策以及亚马逊数据和隐私规则，请您严格遵守数据保护规则。为保护所有客户数据，我们的服务将具备以下隐私保护的政策，请您认真阅读、理解并支持。如果您不同意本政策，请勿访问或使用我们的服务或与我们业务的任何其他方面互动。

当您向我们提供信息、使用我们的服务以及其他来源向我们提供信息时，我们会收集有关您的信息，如下文进一步所述。

您向我们提供的信息

当您将您的信息输入服务或以其他方式直接提供给我们时，我们会收集您的信息。

帐户和个人资料信息：当您注册帐户、创建或修改您的个人资料、设置偏好时，我们会收集有关您的信息。例如，您在注册服务时提供您的联系信息。

您通过我们的产品（SmartWorker ERP）提供的内容：我们使用以下亚马逊API以及在其中收集和存储信息的前提是您已授权我们代表您执行这些活动。

• Orders API：我们使用这个API处理订单发货并统计销量以及销售额。我们收集到的信息如下：PII数据-客户个人信息（我们只会存储自发货的订单客户个人信息，因为需要通过第三方物流合作伙伴发货）；非PII数据-订单基本数据，例如订单金额、订单编号、日期、sku、数量等等。
• Products API：我们使用这个API显示店铺SKU列表信息，便于跟进库存以及做计划。我们收集到的信息如下：非PII数据-SKU以及SKU库存信息。
• Shipment API：我们使用这个API处理货件的创建、取消、更新、发货。我们收集到的信息如下：非PII数据-货件基本信息。
• Reports API：我们使用这个API获取结算报告、库存报告、退货报告等等，便于制作利润报告、跟进退货等等。我们收集到的信息如下：非PII数据-结算信息、sku库存信息、退货信息。

您通过我们的支持渠道提供的信息：服务还包括我们的客户支持，您可以选择提交有关您在服务中遇到的问题的信息。因此您需要提供联系信息、您遇到的问题的摘要以及任何其他信息有助于解决问题的文档、屏幕截图或信息。

设备和连接信息：我们收集有关您用于访问服务的计算机、手机、平板电脑或其他设备的IP地址。我们使用您的IP地址来判断当前用户是否是我们服务的白名单。服务器和数据中心服务管理员可以通过管理员设置允许访问的IP地址，未经允许的IP地址设备无法访问我们的服务。

第三方合作伙伴：我们与第三方物流公司合作，需要收集自发货订单信息以便发货。

我们如何使用所收集的信息部分取决于您使用的服务、使用方式以及您向我们传达的任何偏好。以下是我们使用所收集的有关您的信息的具体目的。

提供服务并个性化您的体验：我们使用有关您的信息向您提供服务，包括审核订单、订单发货、库存查询、销量跟进、退货跟进、利润报表等等。我们旨在提高您的工作效率并提高您与他人有效协作的能力。

对于发货和运输：服务器设置IP地址限制，非授权IP地址无法访问。

客户支持：我们使用您的信息来解决您遇到的技术问题、响应您的帮助请求、分析崩溃信息以及修复和改进服务。如果您明确允许我们这样做，我们会向第三方专家披露信息，以便响应与支持相关的请求。

为了安全和安保：我们使用有关您和您的服务使用情况的信息来验证帐户和活动，检测、预防和响应潜在或实际的安全事件，并监控和防范其他恶意、欺骗、欺诈或非法活动，包括违反服务政策。

为了保护我们的合法商业利益和合法权利：在法律要求或我们认为有必要保护我们的合法权利、利益和他人利益的情况下，我们将您的信息用于与法律主张、合规、监管和审计职能以及与企业收购、合并或出售有关的披露。

经您同意：我们会在您同意的情况下将您的信息用于上面未列出的特定目的。例如，在您的许可下，我们可能会发布推荐或特色客户故事来推广服务。

我们制作协作工具，我们希望它们能够很好地为您服务。这意味着通过服务向某些第三方披露信息。我们通过下述方式披露我们收集的有关您的信息。但是，我们不是数据经纪人，我们不会出于金钱考虑而出售个人信息。

第三方物流商 合作伙伴：我们与提供物流服务的第三方物流商合作，围绕发货这一模块。我们可能会向这些第三方披露与他们的服务相关的您的信息，例如共享自发货订单详细信息，包括PII（最终买方地址），接收跟踪装运编号。但这是在您同意披露的情况下，并且在这一过程中我们遵循物流服务协议（含客户隐私数据保护协议）。

信息存储与安全

数据完整性保护：

• 存储于数据库中的客户授权信息都要经过加密，密钥有效期不超过90天。
• 存储于数据库中的订单资料的PII信息都要经过加密，密钥有效期不超过90天。
• 存储于公司内部的文件必须做分级，分为秘密、公开两个级别，并区分位置存储。
• 存储于公司内部的代码资料必须定义城秘密级别，相关开发同事必须区分阅读和修改权限。

访问控制：

• 数据库访问、服务器访问必须经由二级验证功能进行身份核验。
• 数据库管理员密码必须由密钥管理工具来管理，并且有效期不超过90天。
• 服务器管理员密码必须由密钥管理工具来管理，并且有效期不超过90天。
• 给每一位相关同事定义具体的角色，根据角色分配数据访问权限，此权限应该遵循尽量小的原则。

数据备份和灾难恢复：

• 由管理员设定每天对重要数据进行自动备份，包括工作资料、代码，以及数据库。
• 管理员/运维责任人的手机保持24小时开机，出现问题后需要在10分钟内回复响应，并立即启动恢复工作。
• 对服务器、工作电脑、路由器配置维护一份响应的配置清单，以助从灾难中快速恢复。

网络控制技术：

• 禁止访客设备接入公司办公网络。
• 禁止移动设备接入公司办公设备上的电脑或者笔记本。
• 禁止对外发送任何秘密级别的文件。

反病毒：

• 服务器、工作电脑必须开启防火墙；必须安装杀毒软件，并开启病毒库的自动更新。
• 漏洞扫描频率设定为一天一次，扫描结果由设备责任人当天处理，隔天核实是否处理完毕。
• 禁止任何移动设备接入公司电脑及笔记本。

安全审计：

• 每月一次安全审计会议，由安全主管发起，相关相关运维人员参加。

保密协议：

• 所有公司员工必须签订保密协议，对公司数据、客户数据的保密行为进行明确要求。
• 所有由合作关系的第三方，必须在合同中包含保密条款部分，或者单独签订保密协议，对合作过程中接触到的所有数据均要承担保密责任。

我们将收集的有关您的信息保留多长时间取决于信息类型。在此之后，我们将删除您的信息。

帐户信息：只要您的帐户处于活动状态，我们就会保留您的帐户信息。

您在服务上共享的信息：根据数据类型来决定共享信息的留存时间。

• PII数据留存时间：数据库PII数据在订单完成后保留3天，备份文件PII数据保留7天。
• 非PII数据留存时间：不多于2年。

如果您的帐户被停用或禁用，我们不再保留数据：

• 存储在数据库里的数据，PII部分将在订单完成后3天被自动清除，备份文件在7天后删除，此后任何人无法再查看。
• 存储在硬盘里的数据严格执行以下步骤进行清除：a. 清除数据库数据。b. 删除数据盘里的文件。c. 使用文件粉碎软件。d. 格式化硬盘、e. 删除分区。（ps：对于本地服务器或者开发机器，直接物理销毁硬盘等存储设备。）

访问地址限制：

• 服务器设置IP地址限制，非授权IP地址无法访问。
• 禁止未经验证的远程接入办公。
• 公司网络需禁用访客登陆。

身份验证：

• 服务器必须建立一个低级别权限的账号用于日常维护，无必须的情况下应该优先使用低级别账号进行操作，以防误操作或者恶意操作。
• 对高级别账户以及低级别账户，都需要启用多因子身份认证来验证登陆行为，多因子认证可以选用短信验证码或者二次验证码。
• 所有账号密码均要符合公司的密码强度要求。
• 工作电脑禁用默认的管理员账号，必须注册特定用户账号。
• 工作电脑禁用Guest游客账号。
• 所有账号密码均要符合公司的密码强度要求。

数据访问限制：

• 权限最小化：根据用户的角色定义，允许或拒绝用户对系统进行资源访问，必须严格遵循权限最小化原则。
• 数据保密性：1）数据分级：对工作资料、客户资料、系统数据等进行分级，根据不同级别进行存放，并根据对应的级别设定访问范围。2）数据加密：系统涉及的数据，传输过程中必须进行加密处理，禁止以明文方式传输。

不开放API：我们不提供API服务，目的在于保护客户的重要信息。

向第三方物流合作伙伴传输信息：

• 数据在传输过程中保持密文传输，终端拿到密文数据之后，再进行AES解密算法解密。
• 我们只会通过物流公司提供的API上传数据，接收跟踪装运编号。在这一过程中我们遵循物流服务协议（含客户隐私数据保护协议）。

标识符，例如姓名、电子邮件地址、与用户或用户帐户关联的唯一标识符、IP 地址

• 提供服务
• 用户认证
• 服务访问控制
• 分析和研究
• 检测安全事件
• 调试
• 服务增强
• 客户支持

商业信息，例如订单客户信息

• 提供发货服务
• 物流商合作伙伴

互联网或其他电子网络活动信息，例如有关您使用服务的信息、IP 地址

• 提供服务
• 内部研究
• 服务增强
• 服务访问控制

敏感的个人信息，例如登录凭据和密码

• 用户认证
• 服务访问控制

如果您对我们可能收集的有关您的信息的类别或此类信息的来源有疑问，请务必访问本政策中名为“我们收集哪些信息"的部分。有关我们处理活动的更多详细信息，请务必访问本政策中名为“我们如何使用我们收集的信息"的部分。有关我们如何向第三方披露信息的更多信息，请访问本政策中名为“我们如何披露我们收集的信息"的部分。

敏感个人信息：我们不会出于适用法律允许的目的以外的目的使用或披露敏感个人信息。

保留：我们会在实现本政策所述的所需的期限内保留您的信息。保留期限可能会有所不同，具体取决于记录保存或法律合规要求、解决查询或投诉的需要以及与您是否存在持续关系等因素。请访问本隐私政策名为“我们保留信息多久"的部分，了解有关不同类别信息的具体保留标准的更多信息。

授权代理人：您也可以授权代理人代表您行使您的权利。为此，您必须向授权代理人提供代表您行使权利的书面许可，并且当代理人代表您提出请求时，我们可能会要求其提供该书面许可的副本。我们还可能要求您验证自己的身份，并直接与您确认您已向授权代理人授予许可。

我们对儿童的政策

服务不针对 18 岁以下的个人。我们不会故意收集 18 岁以下儿童的个人信息。如果我们发现 18 岁以下儿童向我们提供了个人信息，我们将采取措施删除此类信息。如果您发现儿童向我们提供了个人信息，请通过邮件联系我们。

我们的隐私政策的变更

我们将在此页面上发布任何隐私政策变更，如果变更重大，我们将通过在网页首页添加通知或向您发送电子邮件通知来提供更显着的通知。我们鼓励您在使用服务时查看我们的隐私政策，以随时了解我们的信息实践以及帮助保护您隐私的方式。

如果您不同意对本隐私政策的任何更改，您将需要停止使用服务并停用您的帐户，如上所述。

联系我们

如果您对如何处理您的信息有疑问或疑虑，请联系通过邮件联系我们。