数据安全
虽然不存在完全安全的系统,但 ChurchApps 非常重视数据安全。本页面说明了为保护在 B1.church Admin 和其他 ChurchApps 产品中输入的所有数据而采取的措施。
限制存储的敏感数据
我们的首要方法是不存储超出必要的敏感数据。这意味着永远不会存储用于捐款的任何信用卡或银行账户详细信息。当用户通过 B1.church Admin 或 B1 进行捐款时,信用卡数据永远不会传输到我们的任何服务器,只会发送到您的支付网关(Stripe)。这意味着即使发生数据泄露,也不会有信用卡或银行信息被泄露。
我们也从不在系统中存储密码。所有密码都通过单向哈希算法处理,在此过程中部分数据会被销毁,使任何人都无法从数据库中检索密码,即使是我们也不行。要验证密码,输入的值必须通过相同的单向哈希并产生相同的结果。
去除这两个来源后,剩余的唯一敏感数据就是姓名和联系信息列表。
由于 ChurchApps 从不存储信用卡或银行信息,即使在最坏的情况下,数据泄露也不会暴露财务账户详细信息。只有姓名和联系信息会面临风险。
使用标准最佳实践
我们使用行业标准的安全最佳实践,包括使用 HTTPS 加密往返服务器的所有数据传输。所有服务器都托管在 Amazon Web Services 的安全物理数据中心。所有数据库服务器都存储在防火墙之后,无法从互联网访问。
数据隔离
数据根据范围被分隔到不同的数据库中。我们的每个 API(Membership、Giving、Attendance、Messaging、Doing 和 Lessons)都是独立的数据仓库,拥有自己的数据库。如果其中一个被攻破,在其他数据库未被攻破的情况下,数据的可用性是有限的。例如,如果 Giving API/数据库被攻破,恶意行为者可能获得捐款和日期的列表(但永远不会获得卡片/银行数据)。然而,他们无法获得哪些用户进行了捐款或捐款属于哪个教会的信息,因为这些数据存储在单独的 Membership 数据库中。
数据隔离意味着攻破一个系统并不能获得所有教会数据的访问权限。每个 API 都使用自己的数据库独立运行,限制了任何潜在泄露的影响。
有限访问
对生产服务器的访问严格限于需要访问权限的服务器管理员。目前这是两个同时也是董事会成员的人。开发人员、志愿者和其他董事会成员不被允许访问生产服务器。
隐私政策
您的数据属于您,永远不会被出售给第三方。您可以在这里阅读我们完整的隐私政策。
GDPR 合规
ChurchApps 为在英国或欧盟拥有成员的教会提供 GDPR 合规支持。以下是我们如何满足关键要求:
数据主体权利
ChurchApps 提供工具帮助教会响应数据主体请求:
- 访问权(第15条) — 成员可以通过会员门户使用"下载我的数据"按钮下载其所有个人数据。管理员也可以从人员详情页面导出任何人的数据。
- 删除权(第17条) — 成员可以通过会员门户删除自己的账户。管理员可以跨所有模块匿名化或彻底删除某人的数据。匿名化会将个人信息替换为通用值,同时保留教会财务报告所需的汇总记录(捐款总额、出席次数)。
- 限制处理权(第18条) — 成员可以限制其数据的处理,包括选择退出通讯。
- 数据可携带权(第20条) — 数据导出功能以结构化、机器可读的 JSON 格式提供所有个人数据。
数据处理
ChurchApps 作为数据处理者代表您的教会(数据控制者)行事。我们的数据处理协议概述了各方的责任,包括子处理者的使用、违规通知程序以及终止时的数据处理。
国际数据传输
ChurchApps 数据托管在美国的 Amazon Web Services (AWS) 上。从英国/欧盟的国际数据传输由 AWS 的标准合同条款 (SCCs) 覆盖,详见 AWS 数据处理附录。当适当的传输机制(如 SCCs)到位时,不需要基于欧盟的托管。
子处理者
- Amazon Web Services (AWS) — 基础设施托管、数据存储和内容分发
- Stripe — 捐款支付处理(ChurchApps 不存储任何卡片数据)
有关我们如何处理个人数据的完整详情,请参阅我们的隐私政策和服务条款。如果您对 GDPR 合规有疑问,请通过 support@churchapps.org 联系我们。