隐私政策

我们仅在必要且有合法基础时收集个人信息。根据您与我们的交互方式，我们可能收集以下类别的信息：

您主动提供的信息：

• 联系信息：当您提交联系表单或发送咨询时，我们收集您的姓名、邮箱、公司名称、电话号码与留言内容。
• 服务交付信息：在服务签约后，您可能授权我们访问的系统凭证、网络配置、日志数据与安全工件，仅用于交付约定的服务。
• 账户信息：如您注册合作伙伴或客户门户，我们收集必要的身份验证信息。

当您访问我们的网站时，出于安全防护与服务运营目的，我们自动收集以下信息：

• IP 地址、浏览器类型与版本、操作系统、设备标识
• 访问时间、访问页面、停留时长、点击行为与来源 URL
• Cookie 标识符及类似技术（详见第 8 节）
• 针对异常访问的请求特征数据（用于威胁检测与滥用防范）

我们仅出于明确、合法、必要的目的处理您的个人信息：

• 响应您的咨询与服务请求，交付已约定的服务
• 运营、维护、优化我们的网站与服务质量
• 与您沟通服务状态、重要通知、安全事件预警
• 经您同意后发送产品更新与营销信息，您可随时取消订阅
• 识别、预防欺诈、滥用与安全威胁
• 履行法律义务、应对司法或监管请求、维护我们与他人的合法权益

根据您所在地的法律，我们处理您个人信息的合法性依据包括：

• 您的同意（如订阅营销、非必要 Cookie）
• 合同履行（如交付您请求的服务、回复咨询）
• 法定义务（如依法保存税务、审计、执法要求的记录）
• 合法利益（如网站安全运营、欺诈防范、服务改进），且该利益不会不合理地凌驾于您的基本权利之上

我们绝不出售您的个人信息。我们仅在以下情形下共享必要信息：

• 服务提供商：为支撑业务运行，我们与经严格安全评估并签署数据处理协议的受托方共享数据，包括云托管（Vercel）、邮件服务（Resend）、即时通讯通知（飞书）、身份认证、数据分析等
• 集团关联方：在必要且符合本政策的前提下，与 Reallysec 全球关联实体（伦敦、墨尔本、硅谷办公室）共享
• 法律要求：在法律、法院命令、政府机关合法要求下披露
• 业务变更：如发生合并、收购、资产转让，继受主体将承继本政策义务
• 权利保护：为保护我们或他人的合法权利、安全与财产而必要时

Reallysec 在合肥、伦敦、墨尔本、硅谷设有办公机构，您的个人信息可能在您所在国/地区之外处理。

对于从中国向境外传输的个人信息，我们将依据《个人信息保护法》第 38 条履行安全评估、标准合同备案、或获取个人信息保护认证等法定程序。对于从欧洲经济区传输至境外的数据，我们采用欧盟标准合同条款（SCCs）及必要的补充保障措施。

我们仅在实现本政策所述目的所必需的期限内保留您的个人信息，保留期限综合考虑处理目的、法律义务、合理商业需要等因素：

• 联系表单提交信息：自提交之日起 24 个月，除非业务合作持续存在
• 服务交付相关记录：依照《服务合同》约定，通常为项目结束后 3-7 年（用于审计、合规与潜在争议解决）
• 网站访问日志：最长 12 个月
• 法律法规另有规定的，从其规定。超过保留期限的，我们将及时删除或匿名化处理

根据《个人信息保护法》《GDPR》等适用法律，您对您的个人信息享有以下权利：

• 知情权与决定权：了解我们如何处理您的信息，限制或拒绝处理
• 查阅、复制权：获取您个人信息的副本
• 更正、补充权：更新不准确或不完整的信息
• 删除权（被遗忘权）：在法定情形下要求删除
• 可携带权：以结构化、常用、机器可读的格式获取数据并传输至其他机构
• 撤回同意权：对基于同意的处理，您可随时撤回
• 投诉权：向所在地网信部门、数据保护机构（如英国 ICO、欧盟各国 DPA）投诉

我们使用以下几类 Cookie：

• 必要 Cookie：保障网站基本功能（如语言偏好、主题切换、安全令牌），无需同意
• 功能 Cookie：记住您的选择，提升使用体验
• 分析 Cookie：了解网站使用模式以持续优化（我们尽可能使用隐私友好的分析方案）

作为网络安全公司，我们以远高于行业平均的标准保护客户数据。我们已通过 ISO/IEC 27001:2022 信息安全管理体系、ISO 9001:2015 认证，核心专家持有 CISM、OSCP 等国际资质。

具体技术与管理措施包括：

• 传输加密（TLS 1.3）与存储加密（AES-256）
• 最小权限访问控制、多因素认证（MFA）、特权账户审计
• 7×24 小时 SOC 实时监控与入侵检测
• 定期渗透测试、红队演练与第三方安全审计
• 完善的安全事件响应流程与定期演练
• 员工安全意识培训与严格的保密义务

尽管我们实施了严格的安全措施，但没有任何系统能够保证绝对安全。若发生个人信息泄露事件，我们将按照适用法律及时通知受影响的用户与监管机构。

我们的网站与服务主要面向企业用户，不以未满 14 周岁（中国）或适用司法管辖区认定的其他未成年年龄的儿童为对象。我们不会明知故犯地收集未成年人个人信息。如您发现未成年人向我们提供了信息，请立即通过本政策末尾的联系方式告知我们，我们将核实后删除。

我们的网站可能包含指向第三方网站或服务的链接，本政策不适用于这些第三方。请在访问第三方网站前仔细阅读其隐私政策。

我们可能根据业务发展、法律变化或技术更新修订本政策。重大变更将通过网站公告、邮件或其他合理方式事先通知您，并更新页面顶部的“最后更新”日期。您在变更生效后继续使用我们的服务，即视为接受更新后的政策。