مرور کلی
FreeBillGen یک سرویس میزبانیشده رایگان است که توسط MB Libranet (ویلنیوس، لیتوانی) در freebillgen.com اداره میشود. MB Libranet تنها کنترلکننده داده برای هر بازدیدکننده تحت ماده ۴(۷) GDPR است و این سیاست برای هر استفادهای از سرویس اعمال میشود.
این سیاست برای انطباق با مواد ۱۳ و ۱۴ مقررات عمومی حفاظت از دادههای اتحادیه اروپا (مقررات (EU) 2016/679، «GDPR») و قانون جمهوری لیتوانی در مورد حفاظت قانونی از دادههای شخصی نوشته شده است. به شما میگوید چه چیزی جمعآوری میکنیم، چرا، چه کس دیگری آن را میبیند، چه مدت آن را نگه میداریم و چگونه حقوق خود را اعمال کنید.
کنترلکننده داده کیست
تنها کنترلکننده داده MB Libranet (Vilnius، Lithuania) است. برای پرسشهای حریم خصوصی به [email protected] بنویسید. جزئیات کامل شخصیت حقوقی در صفحه اطلاعات شرکت است.
ما افسر حفاظت از داده تعیین نکردهایم زیرا پردازش ما به آستانههای ماده ۳۷ GDPR نمیرسد. اپراتور مسئول حفاظت از داده در نشانی ایمیل بالا قابل دسترسی است.
چه دادههایی پردازش میکنیم
هنگامی که از FreeBillGen در freebillgen.com استفاده میکنید، دستههای محدود زیر از دادههای شخصی را بر اساس مبانی قانونی فهرستشده پردازش میکنیم:
- دادههای حساب. نام، نشانی ایمیل و رمز عبور هششده با bcrypt (یا کلید عمومی passkey) شما. مبنای قانونی: اجرای قرارداد - ماده ۶(۱)(b) GDPR.
- دادههای فاکتور و مشتری که شما ایجاد میکنید. فقط دادههایی که خودتان وارد میکنید: نام مشتریان، نشانی، شماره VAT، اقلام، مجموع، وضعیت پرداخت. مبنای قانونی: اجرای قرارداد - ماده ۶(۱)(b) GDPR.
- کوکیهای نشست و امنیتی. یک کوکی نشست امضاشده و یک کوکی توکن CSRF برای نگهداشتن شما در حالت ورود و مسدود کردن درخواستهای جعلی. مبنای قانونی: کاملاً ضروری - ماده ۶(۱)(f)، منافع مشروع.
- لاگهای سرور. نشانی IP، عامل کاربر و فراداده درخواست، که برای پیشگیری از سوءاستفاده و رفع اشکال بهطور موقت نگهداری میشود. مبنای قانونی: منافع مشروع - ماده ۶(۱)(f) GDPR.
- لاگ ممیزی VIES. هنگامی که شناسه VAT خریدار اتحادیه اروپا را اعتبارسنجی میکنید، شناسه درخواست، کشور و شماره پرسششده و پاسخ را بهعنوان مدرک تحت ماده ۳۱ مقررات شورای (EU) 904/2010 ذخیره میکنیم. مبنای قانونی: تعهد قانونی - ماده ۶(۱)(c) GDPR.
برخی از این دادهها به شما تعلق ندارد بلکه به مشتریان فاکتور شما تعلق دارد (ماده ۱۴ GDPR). منبع آن داده شما هستید - ما آن را فقط دریافت میکنیم چون شما آن را در فاکتورهای خود وارد میکنید. ما آن را بر اساس قرارداد ما با شما و بر اساس منفعت مشروع شما بهعنوان یک اپراتور کسبوکار در نگهداشتن سابقه فاکتور منطبق با مالیات پردازش میکنیم.
ما هرگز دادههای شما را نمیفروشیم. آن را با تبلیغکنندگان، دلالان یا شبکههای تحلیلی به اشتراک نمیگذاریم. هیچ ردیابی، پروفایلسازی یا هدفگیری رفتاری اجرا نمیکنیم.
زیرپردازندهها
FreeBillGen به مجموعهای عمداً کوچک از زیرپردازندهها متکی است. هیچکدام شبکههای تبلیغاتی یا تحلیلی نیستند. هر یک به یک ضمیمه پردازش داده پایبند است و فقط حداقل دادههای لازم برای عملکرد خود را پردازش میکند.
SMTP2GO (ایمیل تراکنشی)
هنگامی که فاکتوری را با ایمیل میفرستید یا یک اعلان سیستمی دریافت میکنید، پیام از طریق SMTP2GO از طریق منطقه EU آن (mail-eu.smtp2go.com) ارسال میشود. دادههای به اشتراک گذاشتهشده: فرستنده، نشانی گیرنده، موضوع، متن و هر PDF پیوست. SMTP2GO Inc. در نیوزیلند با زیرساخت EU مستقر است؛ انتقالها تحت Standard Contractual Clauses پوشش داده میشوند.
Cloudflare Turnstile (محافظت در برابر ربات)
فرمهای /login و /register یک چالش Cloudflare Turnstile را برای مسدود کردن سوءاستفاده خودکار رندر میکنند. ویجت از challenges.cloudflare.com بارگذاری میشود و یک توکن کوتاهمدت با endpoint siteverify Cloudflare مبادله میکند. دادههای به اشتراک گذاشتهشده: نشانی IP شما، عامل کاربر و یک توکن چالش یکبارمصرف. Turnstile کوکی ردیابی تنظیم نمیکند و برای تبلیغات استفاده نمیشود. Cloudflare, Inc. مستقر در آمریکاست؛ انتقالها توسط چارچوب حریم خصوصی داده اتحادیه اروپا-آمریکا و Standard Contractual Clauses پوشش داده میشوند.
bunny.net (CDN فونت)
سایت دو فونت وب را از fonts.bunny.net، یک CDN فونت دوستدار حریم خصوصی که توسط BunnyWay d.o.o. (اسلوونی، EU) اداره میشود، بارگذاری میکند. دادههای به اشتراک گذاشتهشده: نشانی IP و عامل کاربر شما برای مدت درخواست فونت. بیانیه حریم خصوصی آنها را ببینید.
VIES کمیسیون اروپا (اعتبارسنجی VAT)
هنگامی که یک شناسه VAT خریدار را اعتبارسنجی میکنید، کد کشور و شماره VATی که وارد کردهاید به سامانه تبادل اطلاعات VAT کمیسیون اروپا (VIES) در ec.europa.eu ارسال میشود. گیرنده یک نهاد EU است؛ پردازش توسط مقررات (EU) 2018/1725 اداره میشود.
میزبانی و رندر PDF (داخلی)
برنامه روی زیرساخت اختصاصی داخل اتحادیه اروپا اجرا میشود. PDFهای فاکتور بهصورت داخلی با mPDF روی سرورهای خودمان رندر میشوند. هیچ سرویس PDF-as-a-service یا فروشنده میزبانی شخص ثالث درگیر نیست.
بدون سرویسهای Google. بدون پیکسل Meta یا Facebook. بدون SDK تحلیلی. بدون سرویس گزارش خطای شخص ثالث.
نگهداری داده
دادههای حساب و فاکتور تا زمانی که حساب شما فعال است نگهداری میشوند. در حذف حساب، همه دادههای شخصی استاندارد ظرف ۳۰ روز حذف میشوند، مگر در مواردی که قانون حسابداری لیتوانی (که دوره نگهداری ۱۰ ساله برای سوابق فاکتور تعیین میکند) ما را ملزم به نگهداشتن اسناد خاصی برای مدت طولانیتر کند - در آن صورت آن سوابق به یک بایگانی محدود به دسترسی منتقل میشوند و فقط تا زمانی که قانوناً لازم است نگهداری میشوند.
لاگهای سرور تا ۳۰ روز نگهداری میشوند مگر اینکه برای یک تحقیق امنیتی فعال طولانیتر مورد نیاز باشند. ردیفهای لاگ ممیزی VIES حداقل ۱۰ سال نگهداری میشوند تا الزامات اثباتی مقررات شورای (EU) 904/2010 را برآورده کنند.
حقوق شما تحت GDPR
تحت GDPR شما حقوق دسترسی (ماده ۱۵)، اصلاح (ماده ۱۶)، حذف (ماده ۱۷)، محدودیت پردازش (ماده ۱۸)، قابلیت حمل داده (ماده ۲۰) و اعتراض (ماده ۲۱) را دارید. در جایی که پردازش بر اساس رضایت است، میتوانید آن را در هر زمان پس بگیرید (ماده ۷(۳)).
همچنین تحت ماده ۷۷ GDPR حق دارید با یک مرجع نظارتی شکایت کنید - معمولاً مرجعی در کشور EU/EEA که در آن زندگی، کار میکنید یا تخلف ادعایی در آن رخ داده است. چون اپراتور در لیتوانی مستقر است، مرجع پیشرو بازرسی دولتی حفاظت از داده (State Data Protection Inspectorate of Lithuania، VDAI) است.
برای راهنمای گامبهگام نحوه اعمال هر حق، شامل زمانبندی و آنچه باید در یک درخواست بگنجانید، صفحه اختصاصی حقوق GDPR را ببینید.
تصمیمگیری خودکار
FreeBillGen از تصمیمگیری خودکار یا پروفایلسازی در معنای ماده ۲۲ GDPR استفاده نمیکند. هیچ تصمیمی که اثرات قانونی یا بهطور مشابه قابل توجه بر شما داشته باشد فقط با ابزار خودکار گرفته نمیشود. ما کاربران را برای تبلیغات، اعتبار، تقلب یا هر هدف دیگری امتیازدهی، رتبهبندی یا پروفایل نمیکنیم.
امنیت داده
اقدامات فنی و سازمانی (ماده ۳۲ GDPR):
- رمزهای عبور بهعنوان هشهای bcrypt ذخیره میشوند؛ passkeyها (WebAuthn) پشتیبانی میشوند.
- 2FA اختیاری مبتنی بر زمان از طریق هر برنامه احراز هویت سازگار با TOTP.
- توکنهای CSRF در هر درخواست تغییر وضعیت.
- پرسشهای پارامتری در سراسر - بدون SQL متصلشده با رشته.
- HTTPS/TLS در حال انتقال؛ HTTP Strict Transport Security فعال.
- سیاست امنیت محتوا و سایر سرصفحههای سختسازی.
- لاگ ممیزی لایه برنامه برای اقدامات حساس امنیتی.
- پشتیبانهای پایگاه داده رمزنگاریشده با دسترسی محدود.
انتقالهای بینالمللی
دادههای شخصی بهطور پیشفرض داخل اتحادیه اروپا پردازش میشوند. دو زیرپردازنده نامبردهشده در بخش ۰۴ ممکن است شامل انتقال به یک کشور ثالث باشند:
- Cloudflare Turnstile - انتقال به ایالات متحده، تحت پوشش چارچوب حریم خصوصی داده اتحادیه اروپا-آمریکا و Standard Contractual Clauses کمیسیون اروپا.
- SMTP2GO - شرکت اپراتور در نیوزیلند مستقر است (کشوری با تصمیم کفایت کمیسیون اروپا) و از زیرساخت منطقه EU برای تحویل استفاده میکند. در جایی که انتقال رخ میدهد، توسط Standard Contractual Clauses پوشش داده میشوند.
هیچ انتقال دیگری به کشورهای ثالث رخ نمیدهد. اگر این تغییر کند، به مکانیزم انتقال مناسب فصل V GDPR متکی خواهیم بود و این سیاست را پیش از شروع انتقال جدید بهروزرسانی خواهیم کرد.
کودکان
FreeBillGen یک ابزار کسبوکار است و برای کودکان زیر ۱۶ سال هدایت نمیشود. ما بهطور آگاهانه دادههای شخصی از کودکان جمعآوری نمیکنیم.
تغییرات این سیاست
اگر تغییرات اساسی ایجاد کنیم، متن بهروزشده را در این صفحه با تاریخ «آخرین بهروزرسانی» جدید منتشر میکنیم و حسابهای فعال را با ایمیل مطلع میکنیم. نسخه فعلی با تاریخ بالای صفحه شناسایی میشود.
تماس
سؤالات حریم خصوصی و درخواستهای حقوق: [email protected]. نشانی پستی و جزئیات کامل شخصیت حقوقی در صفحه اطلاعات شرکت است.