ERPC - Enhanced Solana RPC

Chính sách bảo mật

1. Chúng tôi là ai (bên kiểm soát dữ liệu)

Trang web này (và các dịch vụ liên quan) được vận hành bởi ELSOUL LABO B.V. (Amsterdam, Hà Lan) ("chúng tôi").
Số đăng ký Phòng Thương mại (KvK): 80297625 Liên hệ về quyền riêng tư: [email protected]
Chúng tôi không thuộc các loại tổ chức bắt buộc phải chỉ định Nhân viên Bảo vệ Dữ liệu (DPO) theo Điều 37 của GDPR. Chúng tôi xem xét lại đánh giá này hàng năm theo Điều 37(1) của GDPR.

2. Phạm vi của chính sách này

Chính sách này được áp dụng khi bạn:
  • duyệt các trang web công khai của chúng tôi mà không đăng nhập, và
  • sử dụng các tính năng dành riêng cho thành viên yêu cầu xác thực (ví dụ: bảng điều khiển ERPC / tính năng tài khoản).

3. Dữ liệu chúng tôi xử lý

3.1 Trang công khai (không đăng nhập)

Trên các trang công khai, bản thân chúng tôi không sử dụng các công cụ phân tích như Google Analytics, thẻ quảng cáo hoặc cookie để theo dõi hành vi.
Tuy nhiên, để cung cấp trang web, các nhà cung cấp hạ tầng như nhà cung cấp hosting/CDN có thể xử lý nhật ký truy cập kỹ thuật cho mục đích bảo mật và xử lý sự cố, chẳng hạn như:
  • Địa chỉ IP và user-agent (trình duyệt/hệ điều hành, v.v.)
  • Dấu thời gian, URL được yêu cầu, referrer
  • Trạng thái phản hồi và siêu dữ liệu liên quan đến bảo mật
Chúng tôi sử dụng Cloudflare làm nhà cung cấp dịch vụ hosting và CDN, nhưng chúng tôi không sử dụng các sản phẩm phân tích hành vi của Cloudflare. Vai trò của Cloudflare chỉ giới hạn ở vận hành hạ tầng; theo dõi hành vi không thuộc phạm vi vai trò đó.

3.2 Liên hệ

Nếu bạn liên hệ với chúng tôi qua email, chúng tôi sẽ xử lý thông tin bạn cung cấp (chẳng hạn như địa chỉ email và nội dung tin nhắn) để phản hồi.

3.3 Tài khoản thành viên / dịch vụ yêu cầu đăng nhập

Nếu bạn tạo tài khoản hoặc đăng nhập (ví dụ: qua Discord), chúng tôi có thể xử lý các thông tin sau để cung cấp dịch vụ:
  • Mã định danh tài khoản (ví dụ: địa chỉ email, Discord user ID, tên người dùng)
  • Thông tin xác thực/phiên (ví dụ: token, API key)
  • Cấu hình dịch vụ và mức sử dụng cần thiết để cung cấp dịch vụ (ví dụ: gói dịch vụ, trạng thái đăng ký, IP được phép, nhật ký giới hạn tốc độ và phòng chống lạm dụng)
  • Lịch sử hỗ trợ và trao đổi

Phân tích sử dụng (hỗ trợ khách hàng và chất lượng dịch vụ)

Mục đích: Để cải thiện chất lượng dịch vụ và cung cấp dịch vụ hỗ trợ khách hàng, chúng tôi có thể thu thập nhật ký điều hướng trang, mức sử dụng tính năng và các sự kiện tương tác mà bạn thực hiện trong khi đăng nhập vào các dịch vụ thành viên, và phân tích chúng nội bộ.
Cơ sở pháp lý: Điều 6(1)(f) GDPR — lợi ích chính đáng mà chúng tôi theo đuổi trong việc cung cấp dịch vụ hỗ trợ khách hàng đáng tin cậy và cải thiện dịch vụ. Chúng tôi đã thực hiện đánh giá lợi ích chính đáng (LIA) cân bằng các lợi ích này với quyền và tự do của bạn; LIA có sẵn theo yêu cầu.
Những gì chúng tôi thu thập:
  • Chuyển trang (đường dẫn điều hướng trong bảng điều khiển, được chuẩn hóa để loại bỏ định danh tài nguyên — ví dụ /user/baremetal/:id thay vì /user/baremetal/<actual-id>)
  • Loại sử dụng tính năng (quản lý tài nguyên, thay đổi cài đặt, xác thực, v.v. — danh sách đầy đủ được duy trì cùng với điều khoản này)
  • Định danh tài nguyên nội bộ (ví dụ ID của các instance baremetal/VPS/RPC) khi bạn thực hiện hành động trên một tài nguyên cụ thể, được lưu giữ dưới dạng giả danh nội bộ trong cùng thời hạn lưu trữ với các sự kiện chuyển trang
  • Dấu thời gian thao tác
  • Họ thiết bị + phiên bản chính, họ trình duyệt + phiên bản chính, và locale
  • Địa chỉ IP, chỉ được lưu trữ dưới dạng hash có salt (salt không bao giờ được xoay vòng và được giữ như một bí mật cấp tier-1)
Những gì chúng tôi KHÔNG thu thập:
  • Nội dung yêu cầu (request body)
  • Chuỗi truy vấn tìm kiếm
  • API key hoặc token xác thực
  • Địa chỉ IP thô
Bên nhận / bên xử lý: Cloudflare, Inc. (Hoa Kỳ) đóng vai trò là bên xử lý dữ liệu của chúng tôi cho việc lưu trữ và xử lý các nhật ký này, theo Data Processing Agreement và Điều khoản hợp đồng tiêu chuẩn của EU (SCCs). Đối với việc chuyển dữ liệu này, một Transfer Impact Assessment (TIA) đã được lập thành tài liệu. Xem Mục 7 để biết thêm chi tiết về việc chuyển dữ liệu quốc tế.
Không có quyết định tự động hóa có hiệu lực pháp lý hoặc tác động tương tự đáng kể: Chúng tôi có thể sử dụng phân tích hỗ trợ bởi AI để tổng hợp các mẫu hành vi cho nhân viên hỗ trợ nội bộ, nhưng không có quyết định tự động nào được đưa ra có hiệu lực pháp lý đối với bạn hoặc tác động đến bạn theo cách tương tự đáng kể (Điều 22 GDPR).
Thời gian lưu trữ: Theo nguyên tắc, các nhật ký thu thập cho mục đích này được xóa trong vòng 30 ngày (xem Mục 8).
Quyền phản đối: Bạn có thể phản đối việc xử lý này bất cứ lúc nào theo Điều 21 GDPR bằng cách liên hệ [email protected]. Chúng tôi sẽ ngừng xử lý dữ liệu của bạn cho mục đích này trừ khi chúng tôi chứng minh được các căn cứ chính đáng có sức nặng vượt trội so với quyền của bạn.
Quyền yêu cầu xóa: Khi nhận được yêu cầu xóa theo Điều 17 GDPR, chúng tôi sẽ xóa tất cả các sự kiện, phiên và trạng thái hiện diện liên quan đến bạn. Chúng tôi giữ lại một bản ghi giả danh (HMAC-SHA256 của định danh người dùng của bạn với một khóa riêng) trong nhật ký kiểm toán của chúng tôi tối đa 12 tháng theo Điều 6(1)(f) GDPR cho các mục đích bảo mật và trách nhiệm giải trình. Bản ghi giả danh này vẫn là dữ liệu cá nhân theo nghĩa Điều 4(1) GDPR.
Đánh giá tác động bảo vệ dữ liệu (DPIA): Đã hoàn tất DPIA cho việc xử lý này (Điều 35 GDPR). Có sẵn theo yêu cầu qua [email protected].
Trạng thái kích hoạt: Đường ống phân tích sử dụng này hiện chỉ đang hoạt động trong môi trường staging của chúng tôi. Việc kích hoạt trên môi trường sản xuất phụ thuộc vào việc hoàn tất tài liệu Phase 0 (DPIA / LIA / ROPA) và việc chuyển đổi feature-flag, theo lịch trình độc lập với ngày công bố Chính sách bảo mật này. Việc công bố phiên bản Chính sách bảo mật này cấu thành thông tin theo Điều 13 GDPR của chúng tôi đối với việc xử lý dự kiến.

3.4 Thanh toán (Stripe)

Thanh toán cho các gói trả phí được xử lý bởi Stripe. Chúng tôi không lưu trữ thông tin thẻ thanh toán.
Stripe xử lý dữ liệu cá nhân liên quan đến thanh toán với tư cách là bên kiểm soát dữ liệu độc lập. Trong phạm vi cần thiết cho việc thanh toán và quản lý hợp đồng, chúng tôi có thể nhận thông tin từ Stripe như mã khách hàng, trạng thái đăng ký, hóa đơn/biên lai và siêu dữ liệu thanh toán.

4. Mục đích và cơ sở pháp lý (GDPR)

Chúng tôi chỉ xử lý dữ liệu cá nhân khi có cơ sở pháp lý theo luật hiện hành (bao gồm GDPR), chẳng hạn như:
  • Hợp đồng: cung cấp dịch vụ cho thành viên, quản lý tài khoản và hỗ trợ
  • Lợi ích hợp pháp: vận hành và duy trì các trang web/dịch vụ, bảo mật, phòng chống gian lận/lạm dụng, khắc phục sự cố
  • Nghĩa vụ pháp lý: tuân thủ kế toán và thuế, và các yêu cầu pháp lý khác
  • Sự đồng ý: các thông tin liên lạc tùy chọn (ví dụ: marketing), khi áp dụng (bạn có thể rút lại sự đồng ý bất cứ lúc nào)
  • Trang công khai: bản thân chúng tôi không sử dụng cookie cho mục đích phân tích/quảng cáo.
  • Tính năng thành viên: chúng tôi sử dụng cookie cần thiết tối thiểu (ví dụ: phiên) để duy trì trạng thái đăng nhập của bạn. Việc tắt chúng có thể ảnh hưởng đến một số chức năng.
  • Dịch vụ bên thứ ba: Stripe và Discord có thể sử dụng cookie/công nghệ riêng của họ (nằm ngoài tầm kiểm soát của chúng tôi).

6. Chia sẻ và bên xử lý

Chúng tôi không bán dữ liệu cá nhân.
Chúng tôi có thể chia sẻ dữ liệu cá nhân với các nhà cung cấp dịch vụ (ví dụ: hosting/hạ tầng, gửi email, thanh toán (Stripe), xác thực (Discord)) trong phạm vi cần thiết. Chúng tôi ký kết các thỏa thuận xử lý dữ liệu (DPA) với các nhà cung cấp này theo luật hiện hành.

7. Chuyển dữ liệu quốc tế

Chúng tôi có trụ sở tại Khu vực Kinh tế Châu Âu (EEA), nhưng các nhà cung cấp dịch vụ của chúng tôi (ví dụ: Stripe, Discord) và vị trí hạ tầng có thể liên quan đến việc xử lý dữ liệu bên ngoài EEA (ví dụ: Hoa Kỳ).
Trong những trường hợp đó, chúng tôi sử dụng các biện pháp bảo vệ thích hợp như Điều khoản hợp đồng tiêu chuẩn (SCCs) và giảm thiểu dữ liệu được chuyển. Chúng tôi không sử dụng nhà cung cấp dịch vụ với mục đích cố ý chuyển hoặc lưu trữ dữ liệu cá nhân tại các khu vực pháp lý được coi là có rủi ro cao.
Đối với việc xử lý phân tích sử dụng được mô tả ở Mục 3.3, bên xử lý của chúng tôi là Cloudflare, Inc. (có trụ sở chính tại Hoa Kỳ). Mặc dù Cloudflare cung cấp hạ tầng edge ở khu vực EU, việc truy cập của công ty mẹ ở Hoa Kỳ theo luật Hoa Kỳ áp dụng (ví dụ CLOUD Act) được chúng tôi coi là chuyển dữ liệu quốc tế.
Một phần việc xử lý liên quan đến việc chuyển sang Hoa Kỳ (Cloudflare). Việc chuyển dữ liệu như vậy được bao phủ bởi quyết định công nhận mức độ tương xứng của EU-US Data Privacy Framework (Quyết định Thi hành (EU) 2023/1795 của Ủy ban ngày 10 tháng 7 năm 2023) và được bảo vệ bổ sung bởi Điều khoản hợp đồng tiêu chuẩn. Chúng tôi dựa vào Điều khoản hợp đồng tiêu chuẩn 2021/914 của Ủy ban Châu Âu, Mô-đun 2 (bên kiểm soát đến bên xử lý), được tích hợp theo Cloudflare Data Processing Addendum, làm cơ chế chính cho việc chuyển dữ liệu này, với quyết định công nhận mức độ tương xứng của EU-US Data Privacy Framework năm 2023 đóng vai trò lưới an toàn thứ cấp. Chúng tôi đã thực hiện Transfer Impact Assessment (TIA) ghi nhận các biện pháp kỹ thuật bổ sung (mã hóa khi lưu trữ và khi truyền tải, kiểm toán truy cập, không cho phép truy cập bucket công khai).

8. Thời gian lưu trữ

Chúng tôi chỉ giữ dữ liệu cá nhân trong thời gian cần thiết cho các mục đích được mô tả ở trên:
  • Nhật ký kỹ thuật: được lưu trữ trong thời gian giới hạn cho mục đích bảo mật/khắc phục sự cố
  • Dữ liệu tài khoản: được giữ trong khi tài khoản của bạn còn hoạt động; được xóa hoặc ẩn danh khi thích hợp sau khi đóng tài khoản
  • Kế toán/thanh toán: được lưu trữ trong thời gian theo yêu cầu của luật Hà Lan (thường là 7 năm), v.v.
  • Nhật ký phân tích sử dụng (Mục 3.3): theo nguyên tắc, được xóa trong vòng 30 ngày.
  • Bản tổng hợp sử dụng hằng ngày (Mục 3.3): được lưu trữ tối đa 90 ngày, dùng cho phân tích xu hướng nội bộ.
  • Nhật ký kiểm toán (bản ghi yêu cầu xóa và kiểm toán truy cập; định danh người dùng được lưu dưới dạng giả danh HMAC — dữ liệu cá nhân giả danh, không phải ẩn danh): được lưu trữ tối đa 12 tháng (lợi ích chính đáng theo Điều 6(1)(f) GDPR).
  • Bucket kiểm tra dead-letter queue (Mục 3.3): được lưu trữ tối đa 7 ngày, quyền truy cập được giới hạn cho các quản trị viên được chỉ định.

9. Quyền của bạn

Tùy thuộc vào vị trí của bạn và luật hiện hành (bao gồm GDPR), bạn có thể có quyền yêu cầu:
  • Truy cập, chỉnh sửa, xóa
  • Hạn chế xử lý, phản đối
  • Chuyển dữ liệu
  • Rút lại sự đồng ý (khi việc xử lý dựa trên sự đồng ý)
Để thực hiện quyền của bạn, hãy liên hệ với chúng tôi tại [email protected]. Bạn cũng có quyền khiếu nại với cơ quan giám sát Hà Lan (Autoriteit Persoonsgegevens) hoặc cơ quan địa phương của bạn.
Chúng tôi không thực hiện việc ra quyết định tự động hoặc lập hồ sơ tạo ra các tác động pháp lý hoặc tác động đáng kể tương tự đối với bạn.

10. Thay đổi

Chúng tôi có thể cập nhật chính sách này theo thời gian bằng cách đăng phiên bản mới trên trang này.
Cập nhật lần cuối: 2026-05-10