Flag

Политика конфиденциальности

Последнее обновление: 24 мая 2023 г.

Знакомство

Юридическое наименование нашей организации - "Caribou Contests Inc". Мы управляем веб-сайтом олимпиады Карибу (cariboutests.com) и стремимся сделать математику увлекательной для всех с помощью олимпиад, игр и других мероприятий на нашей платформе онлайн-образования. Эта страница используется для информирования посетителей веб-сайта о нашей политике в отношении сбора, использования и раскрытия личной информации при использовании наших продуктов и услуг на веб-сайте олимпиады Карибу.
Пожалуйста, внимательно прочтите настоящую Политику конфиденциальности, а также наши Правила и условия, прежде чем использовать веб-сайт олимпиады Карибу. Для целей настоящей политики термины «Карибу», «Нас», «Наш» и «Мы» относятся к Caribou Contests Inc., а «Вы» и «Ваш» относятся к Вам, клиенту, посетителю, пользователю веб-сайта или лицу, использующему наш веб-сайт.

1 Общие принципы

Как подробно описано в остальной части этих политик, наша кибербезопасность основывается на следующих принципах:

  • Мы собираем только необходимую информацию, достаточную для поддержки наших пользователей, но не информацию, которая не имеет отношения к нашему сервису. Например, мы не требуем адрес электронной почты ученика, почтовый адрес, номер телефона или любую другую личную информацию. Мы просим учеников регистрироваться под своим именем, но не требуем верификации. Учащиеся могут использовать псевдонимы, имена или инициалы, если это является политикой их учебного заведения.
  • Мы ограничиваем доступ к данным ученика только самим учеником и его учителем, и даже не даем доступ другим учителям той же школы.
  • Мы не предоставляем приложение. Ничего не нужно устанавливать на телефоны или компьютеры. Все является самодостаточным веб-сайтом.
  • Мы размещаем любые критические уведомления на веб-сайте, которые были бы легко видны всем ученикам/преподавателям, если бы была причина объявить об этом. Кроме того, критические уведомления будут рассылаться координаторам по электронной почте.
  • Основываясь на этих принципах, мы придерживаемся стандартного международного законодательства о свободе информации и защите частной жизни. Олимпиады Кариубу, актуальные для участников из Канады, соответствуют Закону о защите личной информации и электронных документов (PIPEDA), который является федеральным законом о конфиденциальности для организаций частного сектора. Для учеников Онтарио олимпиады Карибу соответствуют Муниципальному закону о свободе информации и защите конфиденциальности (MFIPPA). В школах США также соблюдаются Закон о защите конфиденциальности детей в Интернете (COPPA) и Закон о правах и защите семьи на образование (FERPA).
2 Внешние оценки

В последней оценке "RiskRecon" (riskrecon.com) мы получили высший балл 10/10 во всех 9 категориях: Исправление программного обеспечения, Безопасность приложений, Веб-шифрование, Сетевая фильтрация, События утечки, Репутация системы, Безопасность электронной почты, Безопасность DNS и Системный хостинг.
 Группа кибербезопасности "Educational Computing Network of Ontario" (ECNO) оценила этот сайт как очень безопасный. Подробную информацию можно увидеть на сайте ECNO https://ecno.org/ 71 из 72 школьных советов Онтарио, которые подписаны на ECNO.

3 Хранимые данные

Подводя итог, можно сказать, что Карибу не хранит никаких данных, которые могли бы быть использованы против учеников или координаторов (учителей).
 Ниже приведены все хранящиеся данные о школах, координаторах (учителях) и учениках. Эти данные НЕ доступны на нашем сайте, только результаты учеников доступны отдельному ученику и непосредственному координатору (учителю) ученика, но не другим координаторам той же школы.

  • Для каждого контактного лица (учителя, библиотекаря), кроме адреса электронной почты и, конечно же, пароля, мы храним в открытом доступе только информацию об их учреждении (школе/библиотеке):
     - name
     - адрес электронной почты (проверенный на момент ввода)
     - 128-битная хешированная кодировка MD5 пароля, а не сам пароль
     - номер телефона (необязательно)
     - любая дата по их выбору, чтобы они могли сбросить свой пароль
     - Название учреждения
     - Адрес учреждения
     - Город
     - Почтовый индекс
     - Часовой пояс
     - Школьная доска
  • Для каждого ученика мы храним:
     - имя или инициал имени или псевдоним имя
     - фамилия или инициал фамилии или псевдоним фамилия
     - код доступа
     - выбранные варианты олимпиадных вопросов
     - ранг в олимпиадах, в которых они участвовали
     - представленный код на олимпиаде по программированию
     - права на доступ к ресурсам или на участие в олимпиадах на основе произведенных платежей
     - список заполненных рабочих листов факультативного онлайн-курса GeomeTree для упрощения продолжения работы над этим мини-курсом.
  • После олимпиады ученики могут высказывать свои замечания и задавать вопросы. Оставлять свой адрес электронной почты необязательно только в том случае, если он хочет получить ответ.
  • Мы предлагаем услугу напоминания ученикам о предстоящих олимпиадах. Список подписчиков хранится отдельно и вообще не привязан к их аккаунту, и они могут удалить свою запись в любой момент.
  • Любой запрос помощи по электронной почте от кого бы то ни было, например, от администраторов, учителей, родителей и учеников, удаляется после ответа.
  • Информация о наших сотрудниках, требуемая Налоговым агентством Канады, хранится совершенно отдельно. Они не хранятся на компьютерах, на которых размещен веб-сайт или база данных.

 У нас НЕТ подтвержденного имени ученика, его номера телефона или адреса. У нас есть их адрес электронной почты только в том случае, если они добровольно подписались на подписку на напоминания об олимпиадах или если они отправляют комментарии и хотят получить ответ.
 Все данные ученика доступны только самому ученику и его единственному координатору (преподавателю), который загрузил код доступа ученика. В соответствии с законодательством некоторых канадских провинций, данные учащихся хранятся только у канадского интернет-провайдера (vaxxine.com).
 Коды доступа учащихся не шифруются, потому что они нужны одному учителю, который их скачал, чтобы раздать их своим ученикам и напомнить им, когда они часто забывают свой код доступа.

4 Данные не получены и, следовательно, не хранятся
  • Онлайн-платежи обрабатываются PayPal, данные кредитной карты и данные учетной записи PayPal никогда не поступают.
  • Мы не запрашиваем и, следовательно, не располагаем какими-либо сведениями об ученике, такими как настоящее имя, адрес электронной почты, домашний адрес или номер телефона. У нас есть адреса электронной почты только тех учеников, которые прислали нам вопросы, на которые можно ответить по электронной почте.
  • У нас нет демографической информации об учащихся (пол, раса), кроме школьных оценок, начиная с 2023-2024 учебного года. Мы используем данные школьных оценок для предоставления дополнительной статистики и для того, чтобы учащиеся могли лучше сравнивать их с другими учениками в том же классе.
5 Доступ к хранимым данным

Только суперадминистратор имеет доступ ко всем данным. Помимо Томаса Вульфа, основателя и генерального директора, единственными людьми, имеющими привилегии суперадминистратора, являются ученики-программисты на время их 4-месячной работы. Они должны подписать соглашение о неразглашении до начала работы.
 Единственный другой доступ заключается в том, что учащиеся видят свои собственные результаты после входа в систему. Учащиеся не могут видеть результаты других учеников. Учитель может получить доступ только к результатам своих учеников, даже не к результатам других учеников своей школы, т.е. учителя одной школы не могут видеть результаты учеников друг друга.
 Учетные записи учеников меняются каждый год, т.е. каждый год они получают новый код доступа. Координаторы (преподаватели) могут выбрать имя ученика и часто использовать псевдоним или инициалы или общее имя с числовым индексом. Координаторы могут в любое время отредактировать эти имена, например, с целью печати сертификатов, а затем изменить имена обратно на инициалы или псевдонимы. Доступ к результатам одного учащегося в течение нескольких лет потребует знания нескольких имен пользователей и паролей, которые могут знать только ученик и учитель.

6 Удаление данных

Данные учащихся не удаляются, потому что они регулярно запрашивают результаты своих предыдущих лет при поступлении в среднюю школу или университет.
 Летом 2023 года, перед началом Кубка 2023/24, будет создана система архивирования данных учащихся, которая будет храниться бессрочно. Цель будет двоякой: 1) хранить меньше данных на сервере, чтобы в случае гипотетического взлома меньше данных подвергалось риску, 2) меньшая база данных будет работать быстрее и требует меньше памяти.
 Следуя правилам HR Canada и CRA, мы также храним необходимые данные о наших сотрудниках и подрядчиках.

7 Безопасность данных

Резервное копирование базы данных, в которой хранятся вышеуказанные данные, выполняется каждый день в полночь. Резервное копирование всего веб-сайта выполняется раз в неделю.

8 Шифрование сообщений о страницах

Мы защищаем от внедрения HTML и SQL для всех форм на нашем сайте. Мы гарантируем, что никакие пользовательские вводы не могут напрямую повлиять на наш код, написанный для веб-сайта, что может привести к нежелательному поведению. Это делается путем очистки и проверки вводимых пользователем данных, что гарантирует, что переданные пользовательские данные не будут манипулировать запросами или страницами базы данных.
 Конфиденциальная информация пользователей, такая как пароли, шифруется, поэтому она защищена при хранении в нашей базе данных.
 Соединения между посетителями и сайтом управляются через Cloudflare. Метод передачи по протоколу HTTPS по умолчанию использует шифрование (SSL/TLS) для маскировки запросов и ответов всем, кроме сторон, участвующих в передаче.
 Cloudflare также защищает от DDoS-атак, таких как флуд запросов и запросы ботнетов.

9 Протокол реагирования на нарушения

Нарушение безопасности, например, из-за несанкционированной публикации данных учащихся не происходило с момента основания Карибу в 2009 году. Тем не менее, в гипотетическом случае такого нарушения активируется следующий протоколл.

9.1 Содержание
  • Мы немедленно свяжемся с нашим интернет-провайдером Vaxxine, если станет известно о каком-либо нарушении на уровне сервера.
  • Все пароли на всех учетных записях сотрудников и подрядчиков на нашем сервере будут изменены. Это возможно благодаря тому, что олимпиады Карибу — небольшая компания с очень небольшим количеством сотрудников и подрядчиков, которые находятся в постоянном контакте друг с другом.
  • После проверки состояния нашей базы данных решается, нужно ли устанавливать ежедневно подготавливаемую резервную копию.
9.2 Уведомление
  • У нас есть ряд инструментов для отправки электронных писем, которые позволяют связаться со всеми координаторами или их подгруппами. В случае нарушения безопасности мы свяжемся со всеми координаторами школ, которые пострадали, при необходимости со всеми. Мы проинформируем их о том, что известно о нарушении, и о плане устранения нарушений.
  • В зависимости от характера нарушения мы будем информировать координаторов и учеников во всплывающем окне, когда они войдут в систему.
  • Наш 3-й канал коммуникации - это раздел "Новости Карибу" на нашей домашней странице. Мы используем его регулярно для любых новостей и будем использовать его и в этом случае.
9.3 Планы исправления

Мы будем изучать, как могло произойти нарушение и как его можно предотвратить в будущем.
 Следующие шаги позволяют восстановить безопасность и доступ координаторов и учеников. Наши единственные данные, которые могут идентифицировать учащихся, — это их имена (или псевдонимы) в сочетании с кодом доступа. Школы с общешкольным пропуском могут загружать неограниченное количество новых кодов доступа, прикреплять новые имена учеников по своему выбору к новым кодам и объединять результаты ученических олимпиад со старых кодов с новыми кодами и новыми именами с помощью инструмента «Объединить две учетные записи учащихся» на странице координатора. При этом автоматически удаляются старые (скомпрометированные) коды доступа со старым прикрепленным именем. Школы, не имеющие общешкольного пропуска, получат общешкольный пропуск бесплатно от Карибу для выполнения этой смены кодов доступа.
 Все, что учителя должны будут сделать после этого, это сообщить новые имена и коды доступа своим ученикам.

10 Прозрачность

Когда координатор (преподаватель) впервые заходит в чашку (после 1 сентября), то он должен подтвердить и при необходимости отредактировать данные своего личного кабинета (адрес электронной почты, школа, номер телефона). Они также должны ознакомиться с Условиями и положениями, включая наши меры по обеспечению конфиденциальности и кибербезопасности.
 Если, вопреки ожиданиям, в течение года возникнет необходимость изменить способ обработки персональных данных, то при входе в систему будут уведомлены пользователи, координаторы по электронной почте и учащиеся.
 В прошлые годы мы выпускали анкету в конце чашки, чтобы получить обратную связь о важных будущих разработках. Мы планируем сохранить эту практику.

11 Третьи лица

Единственными сторонними сервисами, которые имеют контакт для защиты данных, являются:

  • Vaxxine (www.vaxxine.com) является нашим интернет-провайдером (работает в качестве интернет-провайдера более 40 лет) и теоретически имеет доступ ко всем нашим данным.
  • Cloudflare (cloundflare.com) управляет сетью доставки контента для быстрого доступа к пользователям независимо от того, где они находятся (см. раздел 8).
  • PayPal обрабатывает онлайн-платежи, но не имеет доступа к каким-либо нефинансовым данным.

Эти 3 сервиса имеют эквивалентные или лучшие меры безопасности, чем те, которые мы предлагаем пользователям.

12 Контакты

Пожалуйста, свяжитесь с нами по адресу [email protected], если у вас есть какие-либо вопросы или опасения по поводу олимпиад по кибербезопасности Карибу.

Следите за обновлениями или подписывайтесь на них:

Find us on YouTube    Find us on Dailymotion    Find us on Twitter    Find us on Facebook    Find us on Instagram    Receive updates by email