登录

合规、法律与公司治理

所有文件
隐私政策
条款与条件

隐私政策: 

 

Attrus,我们高度重视保护个人信息的隐私、机密性、完整性和可用性。我们实施了一套全面、基于风险的数据隐私和信息安全框架,该框架符合相关法律法规、监管要求及行业最佳实践。

 

1. 数据隐私与信息安全计划

在不限制 Attrus 保密义务的前提下,Attrus 应建立并维护一套数据隐私和信息安全计划,其中包括物理、技术、行政和组织层面的保障措施,旨在:

(a) 确保用户数据的安全性和保密性;
(b) 防范可能对用户数据的安全性或完整性构成威胁或危害的任何风险;
(c) 防范用户数据的未经授权披露、访问或使用;
(d) 确保用户数据得到妥善处置;以及
(e) 确保 Attrus 的所有员工、代理人和分包商均遵守上述所有规定。

在任何情况下,Attrus数据隐私和信息安全计划的保障措施均不得低于适用的法律、法规或行业标准。

 

2. 安全治理、审计与监督

Attrus 建立了完善的治理架构,以确保对其安全框架进行持续监控、落实问责并不断改进:

  • Attrus 应至少每年对其平台及服务相关的数据隐私和信息安全计划进行一次全面的独立第三方审计;
  • 在合同或监管义务要求的情况下,Attrus 可能会向客户提供审计结果;
  • 客户有权在建立合作关系之前以及合作期间不时查阅Attrus的数据隐私和信息安全计划;
  • 客户可自费进行或要求进行现场审核,或者要求Attrus在四十五(45)天内完成审核问卷;
  • Attrus 应落实经双方商定的、因审计或审查而产生的保障措施和整改措施。  

 

3. 金融犯罪合规与风险控制

Attrus 实施基于风险的控制措施,以防范欺诈、金融犯罪及其平台的滥用,包括:

  1. 核查公开信息中显示的潜在非法活动(包括适用情况下的实际受益人);
  2. 对制裁和受限方数据库(包括美国财政部外国资产控制办公室(OFAC)及其等效名单)进行筛查;
  3. 核实相关司法管辖区内是否存在涉嫌逃税的情况;
  4. 核实是否涉嫌参与洗钱活动;
  5. 评估客户的财务能力是否与交易量相匹配;
  6. 对交易的监控与追踪,包括在适用情况下,对用于数字资产相关交易的钱包和银行账户进行记录。

这些控制措施符合反洗钱/反恐怖主义融资(AML/CFT)的监管要求及内部合规政策。

 

4. 技术和组织安全措施

Attrus 采用符合行业标准的技术保障措施,以确保系统的完整性、机密性和可用性,包括:

  • 安全的 API 身份验证(例如 JWT 令牌);
  • IP访问限制;
  • 已签名的请求和响应;
  • 多因素身份验证(2FA);
  • 符合行业标准的强密码要求;
  • 传输中和静止状态下的敏感数据加密(包括 SSL/TLS);
  • 由值得信赖的供应商托管的安全基础设施;
  • 持续监控、日志记录和异常检测系统。

 

5. 出于安全目的的数据收集、使用和处理

Attrus 处理个人信息的目的是:

  • 提供并运营其数字平台及服务;
  • 验证身份并认证用户;
  • 检测、预防和调查欺诈及未经授权的活动;
  • 执行分析、监控和系统优化;
  • 改进服务、开发新功能并提升用户体验;
  • 遵守法律、法规及合同义务。

Attrus 确保个人数据仅限于必要范围,保持准确和最新,且仅在为合法商业或法律目的所需的时间内予以保留。

 

6. 信息查询及资金来源核查

Attrus 可酌情要求用户提供个人和/或公司文件。

客户特此授权Attrus向其用户索取任何用于核实下列事项所需的文件:

  • 资金来源;
  • 此类资金是否涉及流动性、对外汇出或对外支付;以及
  • 这些资金是否系合法所得。

这是Attrus监管义务及金融犯罪合规框架的一部分。

 

7. 数据安全措施与法律合规

Attrus 应遵守与用户数据的收集、存储、使用、处理和传输相关的所有适用法律法规。

Attrus 还应遵守客户正式提出的任何其他隐私或数据安全要求,但以适用且法律允许的范围为限。

 

8. 访问凭证与用户责任

用户有责任选择、维护和保护其访问凭据,包括用户名、电子邮件地址和密码。

用户必须尽最大努力确保凭证安全,并防止任何未经授权的第三方访问。

对于因以下原因造成的损失,Attrus概不负责:

  • 因用户疏忽导致的凭证未经授权泄露;或
  • 未遵守规定的安全标准。

 

9. 数据泄露与事件响应

若发生任何行为、错误、疏漏、过失、不当行为或违约,导致或涉嫌导致个人数据的安全性、保密性或完整性受到损害,Attrus 应当:

(a) 在知悉事件发生后,应在不造成不当延误的情况下,且最迟于48小时内通知受影响方;

(b) 在调查该事件时予以全面配合,包括提供查阅相关日志、记录、文件和数据的权限;

(c) 对于个人身份信息(PII),由客户选择:
(i) 在法律规定的时限内通知受影响的个人;若无相关规定,则在十(10)个工作日内通知;或
(ii) 向客户报销与此类通知相关的费用;

(d) 在法律要求的情况下,向受影响的个人提供信用和身份监控服务;若无法律要求,则提供该服务的时间不得少于十二(12)个月;

(e) 采取一切必要措施,以遵守适用法律和监管义务;

(f) 就任何索赔(包括合理的法律费用和开支)向客户及其代表提供赔偿、进行抗辩并使其免受损害;以及

(g) 须在十(10)个工作日内提交详细的整改和预防方案。

通知应采用清晰简明的语言撰写,并应包括:

  • 事件描述;
  • 涉及的数据类型;
  • 发生日期或预计发生日期;
  • 潜在影响;
  • 已采取的缓解措施;
  • 建议采取的防护措施;
  • 联系方式;
  • 有关所提供监测服务的信息。

这些义务在关系终止后仍然有效。

 

10. 数据共享与国际传输

Attrus 可能会在不同司法管辖区之间传输和处理个人数据,以支持其全球运营。

此类数据传输均遵循适用的数据保护法律及适当的保障措施,包括合同和监管机制。

 

11. 第三方服务提供商

Attrus 可能会聘请值得信赖的第三方服务提供商来支持其运营。

所有此类服务提供商均须采取适当的合同、技术和组织保障措施,以确保个人数据得到保护。

 

12. 持续改进与政策更新

Attrus 持续审查并完善其数据安全与隐私框架,以体现:

  • 不断变化的监管要求;
  • 技术进步;
  • 新兴风险;
  • 业务发展。

建议用户定期查阅本政策。

如果您对本《在线隐私政策》中的任何信息有任何意见、疑问或顾虑,或对Attrus根据本政策处理您的个人信息有任何其他问题,请联系您惯常联系的Attrus客户服务专员。

隐私政策