隐私政策
最后更新: 2023 年 5 月 24 日
我们是驯鹿公司(Caribou Contests Inc.)。我们运营驯鹿比赛网站(cariboutests.com),我们致力于通过在线教育平台上的比赛、游戏和其他活动让每个人都能享受数学的乐趣。此页面用于告知网站访问者在驯鹿比赛网站上使用产品和服务时,关于我们收集、使用和披露个人信息的政策。
在使用驯鹿比赛网站之前,请仔细阅读本隐私政策以及我们的条款和条件。对于该政策,“驯鹿”、“我们”、“我们的”是指驯鹿公司(Caribou Contests Inc.),“您”和“您的”是指您、客户、访问者、网站用户或使用我们网站的人。
正如这些政策的其余部分所述,我们的网络安全基于以下理念:
- 我们只收集足以支持我们用户的必要信息,但不收集与我们的服务无关的信息。例如,我们不需要学生的电子邮件地址、邮政地址、电话号码或任何其他个人信息。我们要求学生使用他们的名字注册,但不需要验证。如果这是学校的政策,学生可以使用别名或姓名首字母缩写。
- 我们将对学生数据的访问限制为仅学生本人及其老师,甚至不向同一学校的其他教师提供访问权限。
- 我们不提供应用程序。不需要在手机或计算机上安装任何东西,只有一个独立的网站。
- 我们会在网站上提供任何重要通知,所有学生/教师都容易获取。此外,将通过电子邮件向协调员发送重要通知。
- 基于这些原则,我们遵守有关信息自由和保护隐私的标准国际立法。对于加拿大的参与者,驯鹿比赛遵守《个人信息保护和电子文件法》(PIPEDA),这是针对私营部门组织的联邦隐私法。对于安大略省学生,驯鹿比赛符合《市政信息自由和隐私保护法》(MFIPPA)。对于美国学校,我们也遵守《儿童在线隐私保护》(COPPA)和《家庭教育权利与保护法》(FERPA)。
在对 RiskRecon (riskrecon.com) 的最新评估中,我们在所有 9 个类别的评估中都获得了 10/10 的满分:软件修补、应用程序安全、网络加密、网络过滤、违规事件、系统信誉、电子邮件安全、DNS 安全和承载系统。
安大略省教育计算网络(ECNO)网络安全小组评估该网站为非常安全。详细信息可以在 ECNO 网站https://ecno.org/上查看,安大略省 72 个学校董事会中的 71 个签署了 ECNO。
总之,驯鹿没有持有任何可用于不利学生或协调员(教师)的数据。
以下是存储的有关学校,协调员(教师)和学生的所有数据。这些数据在我们的网站上不可用,只有学生成绩可供学生个人和学生的协调员(老师)使用,但不适用于同一学校的其他协调员。
- 对于每个联系人(教师,图书馆员),除了他们的电子邮件地址和密码,我们只保留其机构(学校/图书馆)的公开信息:
- 姓名
- 电子邮件地址(在输入时验证)
- 密码的 128 位 MD5 散列码,而不是密码
- 电话号码(可选)
- 选择可以重置密码的日期
- 机构名称
- 机构地址
- 城市
- 邮政/邮政编码
- 时区
- 学校董事会 - 对于我们存储的每位学生:
- 名或者名的首字母或者别名名字
- 姓氏或者姓氏首字母或者别名姓氏
- 考试码
- 比赛问题的选定选项
- 已参加比赛中的排名
- 编程比赛中提交的代码
- 访问付款的资源或参加比赛的权利
- 可选 GeomeTree 在线课程的已完成列表,简化迷你课程的后续学习。 - 比赛结束后,学生可以发表评论和提出问题。只有如果学生想要得到回复,可以选择留下电子邮件地址。
- 我们提供提醒学生即将举行的比赛的服务。订阅者列表单独存储,不链接到学生的帐户,学生可以随时删除条目。
- 来自任何人(例如,来自管理员、教师、家长和学生)的任何电子邮件帮助请求在得到答复后都将被删除。
- 加拿大税务局要求的有关员工的信息完全单独存储,不存储在承载网站或数据库的计算机上。
我们没有学生已确认的姓名、电话号码或地址。只有当他们自愿注册了比赛提醒的订阅列表,或者发送评论并希望得到回复时,才有他们的电子邮件地址。
所有学生数据只能由学生自己和下载学生考试码的协调员(教师)访问。根据加拿大一些省份的法律,学生数据仅存储在加拿大互联网提供商(vaxxine.com)。
学生考试码未加密,因为教师需要下载考试码,分发给学生,以及提醒学生考试码。
- 在线支付由 PayPal 处理,不会获取信用卡详细信息和 PayPal 帐户详细信息。
- 我们不要求,因此没有任何学生详细信息,如真实姓名、电子邮件地址、家庭住址或电话号码。我们只有发送问题学生的电子邮件地址,以便通过电子邮件回答。
- 从 2023-2024 学年开始,除了学校年级之外,我们没有关于学生的统计信息(性别、种族)。我们使用学校年级数据提供额外的统计数据,让学生更好了解他们与同一年级其他学生的比较情况。
只有“超级用户”才能访问所有数据。除了创始人兼首席执行官 Thomas Wolf 之外,唯一拥有超级管理员特权是 4 个月的工作时间内的合作学生程序员。他们必须在开始工作之前签署保密协议。
唯一的其他访问权限包括学生在登录后查看考试成绩,但无法看到其他学生的成绩。教师只能访问自己学生的成绩,不能访问本校其他学生的成绩,即一所学校的教师无法看到对方的学生成绩。
学生帐户每年都在变化,即每年他们都会获得一个新的考试码。协调员(教师)可以选择学生姓名,并经常使用别名或首字母缩写或带有数字索引的通用名。协调员可以随时编辑这些名称,例如,为了打印证书,然后将名称更改回首字母缩写或别名。访问一个学生多年的考试结果需要只有学生和老师才能知道的多个用户名和密码。
学生数据不会被删除,因为他们在申请高中或大学时经常询问前几年的成绩。
在 2023 年夏季,在2023/24 驯鹿杯开始之前,将建立一个永久保存的学生数据的档案系统。目的有两个:1)在服务器上存储更少的数据,减少数据可能面临的风险,2)较小的数据库将运行得更快,需要内存更少。
根据加拿大人力资源部和 CRA 的规定,我们还保留有关员工和承包商的所需数据。
存储上述数据的数据库每天午夜备份。整个网站每周备份一次。
8 页面通信加密我们防止网站上所有表单的 HTML 和 SQL 注入。确保任何用户输入都不会直接影响我们为网站编写的代码,而导致任何不良的行为。这是通过清理和验证用户输入来完成的,这可确保传递的用户数据不会操纵数据库查询或页面。
敏感的用户信息(如密码)是加密的,因此它们存储在我们的数据库中时是静态保护的。
访问者和网站之间的连接通过 Cloudflare 进行管理。HTTPS 传输的默认方法使用 (SSL/TLS) 加密来伪装对除传输中涉及的各方之外的所有人的请求和响应。
Cloudflare 还可以抵御 DDoS 攻击,例如请求过度和僵尸网络请求。
例如,自 2009 年驯鹿成立以来,未经授权发布学生数据的安全漏洞从未发生过。假设违规情况发生,以下会被激活。
9.1 遏制- 我们将立即联系互联网提供商 Vaxxine,是否服务器有任何违规行为。
- 我们服务器上员工和承包商的所有帐户的所有密码都将更改。因为驯鹿比赛是一家小公司,很少有员工和承包商经常相互联系。
- 在检查数据库的状态后,决定是否需要安装每日准备的备份副本。
- 我们有许多电子邮件发送工具,可以联系所有协调员或其子组。如果发生安全漏洞,我们将联系受影响学校的所有协调员,如有必要。我们会告知他们有关违规行为的已知情况以及补救计划。
- 根据违规的性质,我们会在协调员和学生登录时通过弹出窗口通知他们。
- 我们的第三个沟通渠道是我们主页上的驯鹿新闻部分。我们经常将其用于任何类型的新闻,在这种情况下也会使用它。
我们将研究违规行为是如何发生的,以及将来如何防止。
以下步骤允许恢复协调员和学生的安全性和访问权限。我们唯一可以识别学生的数据是他们的姓名(或别名)以及他们的考试码。拥有全校通行的学校可以下载无限数量的新考试码,将他们选择的新学生姓名附加到新考试码中,并使用协调员页面上的“合并两个学生帐户”工具将旧考试码的学生比赛成绩合并到新考试码和新名字。这会自动删除带有旧名字的旧(已泄露)考试码。没有全校通行的学校将免费从驯鹿那里获得全校通行,以执行考试码的更改。
之后,教师所要做的就是将新名字和考试码传达给学生。
当协调员(教师)首次登录驯鹿杯时(9月1日之后),他们必须确认并在必要时编辑其个人帐户详细信息(电子邮件地址,学校,电话号码)。必须同意条款和条件,包括我们的隐私和网络安全措施。
如果与预期不符,在这一年中需要改变处理个人信息的方式,那么会通知用户,通过电子邮件通知协调员和登录时通知学生。
在前几年,在驯鹿杯结束时发布了一份问卷,来获取对未来重要发展的反馈。我们计划保持该做法。
唯一与保护数据有联系的第三方服务是:
- Vaxxine (www.vaxxine.com) 是我们的互联网提供商(作为互联网提供商 40 多年),可以访问我们的所有数据。
- Cloudflare (cloundflare.com) 运营内容分发网络,无论用户身在何处,都可以快速到达用户(参见第 8 节)。
- PayPal 处理在线支付,但无法访问任何非财务数据。
这 3 项服务具有与我们为用户提供的服务相同或更好的安全保障措施。
12 联系方式如果您对驯鹿比赛的网络安全有任何疑问或疑虑,请通过 [email protected] 与我们联系。
关注或订阅更新: