跳到主要内容

传输风险评估

本文档记录了 ChurchApps 对与国际数据从英国/欧洲经济区传输到美国相关风险的评估,如英国 GDPR 和欧盟 GDPR 所要求。这是 ChurchApps 作为数据处理器维护的内部合规记录。

最后审查: 2026 年 4 月

1. 传输详情

项目详情
数据导出者位于英国/欧洲经济区的使用 ChurchApps 的教会(数据控制者)
数据导入者ChurchApps(数据处理器),在美国运营
数据主体的类别教会成员、与会者、访客、捐献者、志愿者、儿童(由家长/管理员管理)
个人数据的类别名字、电子邮件地址、电话号码、邮寄地址、出生日期、性别、婚姻状况、个人资料照片、捐献记录、出席记录、小组成员资格、志愿者分配、消息历史
敏感数据无意图收集。不存储任何健康数据、生物识别数据或犯罪记录。财务账户详细信息(信用卡、银行账户)永远不会由 ChurchApps 存储 -- 这些由 Stripe 直接处理。
传输目的提供教会管理软件服务(成员管理、捐献、出席跟踪、沟通、志愿者安排、事件注册)
目的地国家美国
传输机制欧盟标准合同条款 (SCC) 和英国国际数据传输附录 (IDTA),通过 AWS 数据处理附录合并

2. 子处理者

子处理者角色位置传输机制
Amazon Web Services (AWS)基础设施托管、数据存储、内容传输(us-east-2 区域)美国AWS DPA 与 SCC(自动包含在 AWS 服务条款中)
Stripe捐献的支付处理美国Stripe DPA 与 SCC

信用卡和银行账户数据从用户的浏览器直接传输到 Stripe,永远不会存储在或传输通过 ChurchApps 服务器。

3. 风险评估

3.1 加密

  • 传输中: 所有数据都使用 TLS/HTTPS 加密以保护用户和 ChurchApps 服务器之间的所有通信。
  • 静止时: 存储在 AWS 上的数据使用 AWS 管理的加密进行加密。

3.2 访问控制

  • 生产服务器访问仅限于两个是 ChurchApps 董事会成员的个人。
  • 开发人员、志愿者和其他董事会成员无法访问生产服务器或数据库。
  • 数据库服务器在防火墙后,无法从互联网直接访问。
  • 教会数据在逻辑上分离 -- 每个教会只能通过应用级访问控制访问其自己的数据。

3.3 数据分离

数据分布在六个独立的数据库中(成员、捐献、出席、消息、服务、内容)。一个数据库的泄露不会暴露其他数据库中的数据。例如,捐献数据库包含捐献金额和日期,但不包含捐献者的名字或联系信息(存储在成员中)。

3.4 数据最小化

  • 不存储信用卡或银行账户信息(由 Stripe 处理)。
  • 密码使用单向哈希存储,无法检索。
  • 教会控制从其成员收集的数据。

3.5 数据主体权利

ChurchApps 提供技术工具,使教会能够履行数据主体请求:

  • 访问与可移植性: 完整数据导出为机器可读的 JSON 格式。
  • 删除: 所有六个数据库中的匿名化,用通用值替换个人数据,同时保留财务报告所需的聚合记录。
  • 限制: 非活跃成员资格状态从搜索、目录、报告和消息中排除个人,同时保留其记录。
  • 更正: 成员和管理员可以通过应用编辑个人信息。

3.6 违规通知

ChurchApps 承诺在成为个人数据违规的意识后的 72 小时内通知受影响的教会,如 服务条款(第 11.6 节)中所述。

3.7 美国政府访问风险

与美国托管数据相关的主要风险是美国政府当局可能根据 FISA 第 702 条或行政命令 12333 进行访问。出于以下原因,该风险评估为

  • ChurchApps 处理教会成员和出席数据,而不是具有情报价值的数据。
  • 数据主体是教会成员和与会者 -- 不是通常被监视计划目标的类别。
  • 不存储任何敏感个人数据(健康、财务账户、政治观点)。
  • AWS 的 DPA 包括关于政府访问请求和透明度报告的承诺。
  • 欧美数据隐私框架(建立于 2023 年)为向经认证的美国组织的数据传输提供了额外的保障。

4. 总体风险结论

该国际数据传输对数据主体的风险评估为 。以下组合:

  • 标准合同条款作为合法传输机制
  • 传输中和静止时的加密
  • 仅两个授权个人的严格访问控制
  • 独立数据库中的数据分离
  • 无财务账户详细信息的存储
  • 所处理数据的低敏感性和低情报价值
  • 行使所有数据主体权利的技术工具

提供了足够的补充措施,以确保传输的数据在英国/欧洲经济区内保证的保护水平基本等同。

5. 审查计划

当数据处理、子处理者或管理国际数据传输的法律框架发生重大变化时,本评估将每年审查一次或在任何其他重大变化时进行审查。