กฎหมาย
สัญญาประมวลผลข้อมูล
ข้อสัญญามาตรฐานเพื่อการปฏิบัติตาม GDPR และ FADP ของสวิตเซอร์แลนด์ มีผลบังคับใช้โดยอัตโนมัติกับการสมัครสมาชิกแบบชำระเงินทุกรายการ
อัปเดตล่าสุด: 25 พฤษภาคม 2026
"ผู้ควบคุมข้อมูล" หมายถึง บุคคลธรรมดาที่สร้างและเป็นเจ้าของข้อมูลภายในห้องนิรภัย Clavitor ของตน คุณเป็นผู้ควบคุมข้อมูลรับรองและข้อมูลส่วนบุคคลของตนเองเสมอครับ
"ผู้ประมวลผลข้อมูล" หมายถึง Clavitor.ai นิติบุคคลที่ให้บริการโครงสร้างพื้นฐานโฮสติ้ง การจัดการการเข้ารหัส และบริการจัดเก็บข้อมูลในนามของผู้ควบคุมข้อมูล
"เจ้าของข้อมูล" หมายถึง บุคคลธรรมดาซึ่งมีการประมวลผลข้อมูลส่วนบุคคล ซึ่งอาจเป็นตัวคุณ (ผู้ควบคุมข้อมูล) หรือบุคคลอื่นที่คุณจัดเก็บข้อมูลไว้ในห้องนิรภัย (สมาชิกในครอบครัว พนักงาน ลูกค้า)
"ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลธรรมดาซึ่งระบุตัวตนได้แล้วหรือสามารถระบุตัวตนได้ ซึ่งจัดเก็บไว้ในห้องนิรภัยของคุณ รวมถึงแต่ไม่จำกัดเพียง: ข้อมูลรับรอง รหัสผ่าน คีย์ API ข้อมูลบัตรชำระเงิน เอกสารระบุตัวตน และข้อมูลการติดต่อ
"การประมวลผล" หมายถึง การดำเนินการใด ๆ ที่กระทำต่อข้อมูลส่วนบุคคล รวมถึงการเก็บรวบรวม การจัดเก็บ การเข้ารหัส การส่ง การสำรองข้อมูล และการลบ
| รายการ | รายละเอียด |
|---|---|
| สาระสำคัญ | บริการโฮสติ้งห้องนิรภัยข้อมูลรับรองที่เข้ารหัสและบริการที่เกี่ยวข้อง |
| ระยะเวลา | ตลอดระยะเวลาการสมัครสมาชิกของคุณ บวกกับระยะเวลาผ่อนผัน 30 วันที่ให้อ่านได้อย่างเดียวหลังจากยกเลิก ข้อมูลห้องนิรภัยจะถูกลบหลังสิ้นสุดระยะเวลาผ่อนผัน ข้อมูลสำรองเพื่อการปฏิบัติตามข้อกำหนดจะถูกทำลาย 30 วันหลังจากการลบ สามารถขอลบทันทีได้เมื่อมีการร้องขอ |
| ลักษณะและวัตถุประสงค์ | การจัดเก็บข้อมูลที่เข้ารหัส การจัดการการยืนยันตัวตน การสำรองข้อมูลและการกู้คืนระบบหลังภัยพิบัติ การสนับสนุนทางเทคนิค (ภายใต้ข้อจำกัดแบบ zero-knowledge) |
| ประเภทของข้อมูลส่วนบุคคล | ข้อมูลรับรองผู้ใช้ โทเค็นการยืนยันตัวตน ข้อมูลบัตรชำระเงิน เอกสารระบุตัวตน บันทึกย่อที่ปลอดภัย TOTP seeds เมตาดาต้า |
| หมวดหมู่ของเจ้าของข้อมูล | ผู้ควบคุมข้อมูล (เจ้าของบัญชี) และบุคคลที่สามซึ่งผู้ควบคุมข้อมูลเลือกจัดเก็บข้อมูล |
3.1 ประมวลผลตามคำสั่งที่เป็นลายลักษณ์อักษรเท่านั้น Clavitor ประมวลผลข้อมูลส่วนบุคคลเพื่อให้บริการห้องนิรภัยตามที่ระบุในข้อกำหนดการให้บริการของเราเท่านั้น เราไม่ใช้ข้อมูลเพื่อวัตถุประสงค์ของตนเอง ไม่ฝึกโมเดล AI ไม่นำข้อมูลมาวิเคราะห์เชิงลึก และไม่สร้างรายได้นอกเหนือจากค่าสมัครสมาชิก
3.2 รักษาความลับ บุคลากรของ Clavitor ทุกคนที่อาจเข้าถึงโครงสร้างพื้นฐานต้องอยู่ภายใต้ข้อตกลงการรักษาความลับ การเข้าถึงจะได้รับอนุญาตตามหลักการให้สิทธิ์ต่ำสุดและมีการบันทึกไว้
3.3 ดำเนินการตามมาตรการรักษาความปลอดภัย เราดำเนินการดังต่อไปนี้:
- การเข้ารหัสแบบ end-to-end: ข้อมูลถูกเข้ารหัสทั้งขณะจัดเก็บและขณะส่ง
- การเข้ารหัสแบบแบ่งระดับ (L2/L3): ฟิลด์ข้อมูลระบุตัวตนถูกเข้ารหัสด้วยคีย์ที่ได้จากอุปกรณ์ของคุณ (WebAuthn PRF) — เราไม่สามารถถอดรหัสได้
- สถาปัตยกรรมแบบ zero-knowledge: เราไม่สามารถถอดรหัสเนื้อหาในห้องนิรภัยได้ มีเพียงเมตาดาต้า (ID รายการ ประเภท การประทับเวลา) เท่านั้นที่อ่านได้
- การยืนยันตัวตนผ่านอุปกรณ์ (WebAuthn): ไม่มีการจัดเก็บรหัสผ่านฝั่งเซิร์ฟเวอร์
- การกระจายทางภูมิศาสตร์: 21 จุดให้บริการ (POPs) พร้อมการจำลองข้อมูลที่เข้ารหัส
- การตอบสนองต่อเหตุการณ์: การตรวจสอบตลอด 24 ชั่วโมงทุกวัน การแจ้งเตือนอัตโนมัติ ขั้นตอนการจัดการการรั่วไหลที่เป็นลายลักษณ์อักษร
3.4 ความโปร่งใสของผู้ประมวลผลข้อมูลช่วง เราใช้เฉพาะผู้ประมวลผลข้อมูลช่วงที่ระบุใน รายชื่อผู้ประมวลผลข้อมูลช่วง ของเราเท่านั้น เราจะแจ้งให้ผู้สมัครสมาชิกทราบล่วงหน้า 30 วันก่อนเพิ่มผู้ประมวลผลข้อมูลช่วงรายใหม่
3.5 ช่วยเหลือเรื่องสิทธิของเจ้าของข้อมูล เมื่อคุณร้องขอ เราจะช่วยเหลือคุณในการตอบสนองต่อคำขอจากเจ้าของข้อมูลที่ใช้สิทธิภายใต้ GDPR/FADP (การเข้าถึง การแก้ไข การลบ การโอนย้าย การจำกัด การคัดค้าน) หมายเหตุ: เนื่องจากสถาปัตยกรรมการเข้ารหัส เราไม่สามารถเข้าถึงหรือแก้ไขเนื้อหาในห้องนิรภัยที่เข้ารหัสได้ ความช่วยเหลือจะจำกัดอยู่เฉพาะการดำเนินการระดับบัญชีเท่านั้น
3.6 ช่วยเหลือเรื่องภาระผูกพันด้านความปลอดภัย เราจัดทำเอกสารด้านความปลอดภัย สรุปผลการทดสอบเจาะระบบ (ต้องลงนาม NDA เพื่อดูรายละเอียด) และบันทึกการตรวจสอบเมื่อมีการร้องขอ
3.7 ลบหรือส่งคืนข้อมูล เมื่อการสมัครสมาชิกสิ้นสุดลง ห้องนิรภัยของคุณจะเปลี่ยนเป็นโหมดอ่านอย่างเดียวเป็นเวลา 30 วัน หลังจาก 30 วัน ข้อมูลในห้องนิรภัยจะถูกลบอย่างถาวร ข้อมูลสำรองเพื่อการปฏิบัติตามข้อกำหนดจะถูกทำลาย 30 วันหลังจากการลบ สำหรับบัญชีที่ถูกระงับเนื่องจากไม่ได้ชำระเงิน ข้อมูลจะถูกลบ 30 วันหลังการระงับ และข้อมูลสำรองจะได้รับการหมุนเวียน 60 วันหลังจากนั้น สามารถขอลบทันทีได้ตลอดเวลา ไม่สามารถส่งคืนข้อมูลในรูปแบบที่ถอดรหัสแล้วได้ (เราไม่มีคีย์) ดูรายละเอียดเพิ่มเติมใน ข้อกำหนดการให้บริการ ของเรา
3.8 การตรวจสอบและตรวจประเมิน เมื่อแจ้งล่วงหน้าเป็นลายลักษณ์อักษร 30 วัน คุณสามารถตรวจสอบการปฏิบัติตาม DPA ฉบับนี้ได้ การตรวจสอบจะดำเนินการที่สำนักงานใหญ่ในเมืองซูริกหรือผ่านระบบออนไลน์ เราจะจัดทำเอกสารที่เกี่ยวข้อง การเข้าถึงโครงสร้างพื้นฐานโดยตรงต้องได้รับอนุญาตด้านความปลอดภัย
3.9 แจ้งเหตุการรั่วไหล เราจะแจ้งให้คุณทราบภายใน 24 ชั่วโมงหลังจากค้นพบการรั่วไหลใด ๆ ที่ส่งผลกระทบต่อข้อมูลส่วนบุคคลของคุณ เราจะไม่ชะลอการแจ้งเตือนเพื่อทำการสอบสวนหรือตรวจสอบทางกฎหมายเด็ดขาด
3.10 จัดทำเอกสารกิจกรรมการประมวลผล เราเก็บบันทึกกิจกรรมการประมวลผลและจัดทำสรุปเมื่อมีการร้องขอ
คุณรับรองว่า:
- คุณมีฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคลในห้องนิรภัยของคุณ
- คุณได้แจ้งประกาศความเป็นส่วนตัวที่เหมาะสมแก่เจ้าของข้อมูลซึ่งคุณจัดเก็บข้อมูลไว้
- คุณจะไม่จัดเก็บข้อมูลอันเป็นการละเมิดกฎหมายที่ใช้บังคับ
- คุณจะแจ้งให้เราทราบโดยทันทีหากมีคำขอจากเจ้าของข้อมูลหรือการสอบถามจากหน่วยงานกำกับดูแล
ข้อมูลห้องนิรภัยของคุณจะถูกจัดเก็บแบบเข้ารหัสที่จุดให้บริการ (POP) ซึ่งอยู่ใกล้กับรูปแบบการเข้าถึงของคุณทางภูมิศาสตร์มากที่สุด POP หลักและ POP สำรองจะอยู่ในภูมิภาคที่แตกต่างกันเพื่อความยืดหยุ่น รายชื่อ POP ทั้ง 21 แห่งพร้อมเมือง ผู้ให้บริการ และการรับรองการปฏิบัติตามข้อกำหนดฉบับสมบูรณ์จะถูกเก็บรักษาไว้ใน ฐานข้อมูล POP ของเรา
ผู้ให้บริการโครงสร้างพื้นฐานที่ใช้สำหรับ POP ได้แก่: Amazon Web Services (17 POPs ผู้ให้บริการหลักสำหรับภูมิภาคส่วนใหญ่), ISHosting (อิสตันบูล อัลมาตี โบโกตา) และ HostAfrica (ลากอส) การดำเนินงานของสำนักงานใหญ่ซูริก (การเรียกเก็บเงิน การบริหาร) ใช้ Hostkey
POP ทั้งหมดอยู่ในเงื่อนไขอย่างใดอย่างหนึ่งดังต่อไปนี้:
- อยู่ในเขตอำนาจศาลที่มีมติความเพียงพอ (EU, EEA, สวิตเซอร์แลนด์, สหราชอาณาจักร, แคนาดา ฯลฯ)
- อยู่ภายใต้ข้อสัญญามาตรฐาน (SCCs) ในกรณีที่ไม่มีมติความเพียงพอ
เนื่องจากสถาปัตยกรรมการเข้ารหัสของเรา (zero-knowledge) แม้แต่ข้อมูลที่จัดเก็บในเขตอำนาจศาลที่ไม่มีความเพียงพอก็ได้รับการปกป้องทางเทคนิค เราไม่สามารถถอดรหัสได้ และหน่วยงานท้องถิ่นก็ไม่สามารถทำได้เช่นกัน การแก้ไข DNS ดำเนินการโดย Cloudflare ไม่มีข้อมูลห้องนิรภัยใด ๆ ผ่านเครือข่ายของพวกเขา
เราไม่สามารถถอดรหัสข้อมูลใด ๆ ได้ขณะจัดเก็บ ไฟล์ห้องนิรภัยถูกเข้ารหัสและคีย์การเข้ารหัสไม่ได้ถูกจัดเก็บไว้บนเซิร์ฟเวอร์ เมื่อเอเจนต์หรือผู้ใช้เชื่อมต่อ พวกเขาจะพกคีย์ L1 ไปด้วย — ในทางเทคนิคเราอาจดักจับมันขณะส่งได้ (แม้ว่าเราจะไม่ทำ และ TLS ป้องกันไม่ให้บุคคลที่สามทำเช่นนั้น) แม้จะมี L1 ก็ตาม มีเพียงเมตาดาต้าเท่านั้นที่มองเห็นได้ ฟิลด์ข้อมูลรับรองและฟิลด์ข้อมูลระบุตัวตนยังคงถูกปิดผนึกไว้
- L1 (การเข้ารหัสห้องนิรภัย): ห้องนิรภัยถูกเข้ารหัสขณะจัดเก็บด้วย AES-256-GCM คีย์ L1 ขนาด 8 ไบต์จะถูกพกพาโดยเอเจนต์หรือผู้ใช้ในแต่ละคำขอ — ไม่ได้จัดเก็บบนเซิร์ฟเวอร์ เมื่อมี L1 ชื่อรายการ ประเภท และการประทับเวลาจะมองเห็นได้ นี่คือขั้นต่ำในการทำงานที่จำเป็นสำหรับการให้บริการคำขอ
- L2 (ฟิลด์ข้อมูลรับรอง): รหัสผ่าน คีย์ API TOTP seeds โทเค็น OAuth — เข้ารหัสทีละฟิลด์ด้วยคีย์ 16 ไบต์ที่ ไม่มีอยู่บนเซิร์ฟเวอร์เด็ดขาด L2 ถูกเก็บไว้โดยเบราว์เซอร์ของผู้ใช้และเอเจนต์ที่ลงทะเบียนเท่านั้น เราไม่สามารถถอดรหัสฟิลด์ข้อมูลรับรองได้ และไม่มีกระบวนการฝั่งเซิร์ฟเวอร์ใดเข้าถึง L2 ได้เลย
- L3 (ฟิลด์ข้อมูลระบุตัวตน): บัตรเครดิต CVV หมายเลขหนังสือเดินทาง SSN รหัสกู้คืน — เข้ารหัสด้วยคีย์ 32 ไบต์ที่มีความสุ่มอย่างสมบูรณ์ ซึ่งสร้างขึ้นเมื่อสร้างห้องนิรภัย ผู้ใช้ไม่ทราบคีย์นี้ และเราไม่มีคีย์นี้ L3 ไม่มีอยู่บนเซิร์ฟเวอร์ใด ๆ เด็ดขาด คีย์นี้ได้รับการปกป้องโดยการห่อหุ้มด้วยเอาต์พุต 32 ไบต์จาก PRF ของฮาร์ดแวร์คีย์ของคุณ (ลายนิ้วมือ ใบหน้า หรือคีย์รักษาความปลอดภัยผ่าน WebAuthn PRF) หากไม่มีอุปกรณ์ทางกายภาพ จะไม่สามารถแกะห่อ L3 ได้ ในทางคณิตศาสตร์เราไม่สามารถถอดรหัสฟิลด์ข้อมูลระบุตัวตนได้ และเราไม่สามารถถูกบังคับให้สร้างคีย์ที่เราไม่มี
สำหรับข้อสอบถามที่เกี่ยวข้องกับ DPA:
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) Clavitor LLC c/o Johan Jongsma
DPA ฉบับนี้มีผลบังคับใช้ตั้งแต่วันที่เริ่มสมัครสมาชิกของคุณและมีผลบังคับใช้ต่อไปจนกว่าจะสิ้นสุด จะมีการแจ้งการเปลี่ยนแปลงล่วงหน้า 30 วัน การใช้งานต่อเนื่องถือเป็นการยอมรับ
อัปเดตล่าสุด: 25 พฤษภาคม 2026 · เวอร์ชัน 1.1