Thỏa Thuận Xử Lý Dữ Liệu
Cập nhật lần cuối: 27 tháng 4, 2026
Thỏa thuận Xử lý Dữ liệu (DPA) này là một phần của Thỏa thuận Dịch vụ Chính giữa Alpha Draconis (Bên Xử lý) và Khách hàng Tổ chức (Bên Kiểm soát), theo Điều 28 của Quy định Bảo vệ Dữ liệu Chung EU (GDPR).
1. Định Nghĩa
"Dữ liệu Cá nhân" là bất kỳ thông tin nào liên quan đến một cá nhân được xác định hoặc có thể xác định được xử lý thông qua API Risk Oracle của Alpha Draconis. "Xử lý" là bất kỳ thao tác nào được thực hiện trên Dữ liệu Cá nhân.
2. Phạm Vi Xử Lý
Bên Xử lý chỉ xử lý Dữ liệu Cá nhân cho mục đích cung cấp dịch vụ API Risk Oracle theo thỏa thuận dịch vụ. Các hoạt động xử lý bao gồm: xác thực yêu cầu API, dữ liệu đầu vào tính toán rủi ro, ghi nhật ký kiểm toán và giám sát hiệu năng.
3. Biện Pháp Bảo Mật Dữ Liệu
Bên Xử lý thực hiện các biện pháp kỹ thuật và tổ chức phù hợp bao gồm: mã hóa AES-256, TLS 1.3, xác thực HMAC-SHA256, lưu trữ nhật ký tự động 90 ngày, kiểm soát truy cập theo vai trò và kiểm tra bảo mật định kỳ.
4. Bên Xử Lý Phụ
Bên Xử lý sử dụng các bên xử lý phụ sau: - Supabase (lưu trữ cơ sở dữ liệu) - Vercel (lưu trữ ứng dụng) - Sentry (giám sát lỗi) - Resend (gửi email giao dịch) Bên Kiểm soát sẽ được thông báo 30 ngày trước khi thay đổi bên xử lý phụ.
5. Quyền Của Chủ Thể Dữ Liệu
Bên Xử lý hỗ trợ Bên Kiểm soát thực hiện các yêu cầu của chủ thể dữ liệu (truy cập, chỉnh sửa, xóa, chuyển dữ liệu) trong vòng 72 giờ kể từ khi nhận thông báo.
6. Thông Báo Vi Phạm Dữ Liệu
Trong trường hợp vi phạm Dữ liệu Cá nhân, Bên Xử lý sẽ thông báo cho Bên Kiểm soát không chậm trễ và không quá 48 giờ sau khi phát hiện vi phạm.
7. Điều Khoản Hợp Đồng Tiêu Chuẩn
Đối với việc chuyển dữ liệu quốc tế, DPA này tích hợp các Điều khoản Hợp đồng Tiêu chuẩn (SCC) của Ủy ban Châu Âu. Để biết thêm thông tin, liên hệ: legal@alphadraconis.io.