Flag

Політика конфіденційності

Останнє оновлення: 24 травня 2023 р.

вступ

Ми є Caribou Contests Inc. Ми керуємо веб-сайтом Caribou Contests (cariboutests.com), і ми прагнемо зробити математику цікавою для всіх за допомогою конкурсів, ігор та інших заходів на нашій онлайн-освітній платформі. Ця сторінка використовується для інформування відвідувачів веб-сайту щодо нашої політики щодо збору, використання та розкриття особистої інформації під час використання наших продуктів і послуг на веб-сайті Caribou Contests.
Прочитайте цю Політику конфіденційності, а також наші Умови

1 Загальні принципи

Як зазначено в решті цих політик, наша кібербезпека базується на таких принципах:

  • Ми збираємо лише необхідну інформацію, достатню для підтримки наших користувачів, але не інформацію, яка не має відношення до нашого сервісу. Наприклад, нам не потрібна електронна адреса студента, поштова адреса, номер телефону чи будь-яка інша особиста інформація. Ми просимо студентів реєструватися під своїм іменем, але не вимагаємо перевірки. Студенти можуть використовувати псевдоніми та ініціали, якщо це є політикою їх школи.
  • Ми обмежуємо доступ до даних учня лише для самого учня та його вчителя, і ми навіть не надаємо доступ іншим вчителям тієї ж школи.
  • Ми не надаємо додаток. Нічого не потрібно встановлювати на телефони чи комп’ютери. Все це самостійний веб-сайт.
  • Ми публікуємо будь-які критичні повідомлення на веб-сайті, які могли б легко побачити всі студенти/вчителі, якби була причина оголосити про це. Крім того, критичні повідомлення надсилатимуться координаторам електронною поштою.
  • Виходячи з цих принципів, ми дотримуємося стандартного міжнародного законодавства щодо свободи інформації та захисту приватного життя. Конкурси Caribou, що стосуються учасників у Канаді, відповідають Закону про захист особистої інформації та електронних документів (PIPEDA), який є федеральним законом про конфіденційність для організацій приватного сектору. Що стосується студентів Онтаріо, змагання Caribou відповідають Муніципальному закону про свободу інформації та захист конфіденційності (MFIPPA). Для цілей шкіл США також дотримуються Закону про захист конфіденційності дітей в Інтернеті (COPPA) і Закону про освітні права та захист сім’ї (FERPA).
2 ЗНО

В останньому оцінюванні RiskRecon (riskrecon.com) ми досягли ідеальної оцінки 10/10 у всіх 9 категоріях: виправлення програмного забезпечення, безпека додатків, веб-шифрування, мережева фільтрація, порушення, репутація системи, безпека електронної пошти, безпека DNS і система Хостинг.
 Група кібербезпеки Educational Computing Network of Ontario (ECNO) оцінила цей сайт як дуже безпечний. Подробиці можна переглянути на сайті ECNO https://ecno.org/ 71 із 72 шкільних рад Онтаріо, які підписалися на ECNO.

3 Дані збережені

Підводячи підсумок, Caribou не зберігає жодних даних, які могли б бути використані проти студентів або координаторів (вчителів).
 Нижче наведено всі збережені дані про школи, координаторів (вчителів) і студентів. Ці дані НЕ доступні на нашому веб-сайті, окремим учням і безпосередньому координатору (вчителю) учня доступні лише результати учнів, але не інші координатори тієї самої школи.

  • Для кожної контактної особи (вчителя, бібліотекаря), окрім адреси електронної пошти та, звісно, пароля, ми зберігаємо лише загальнодоступну інформацію для її установи (школи/бібліотеки):
     - ім’я
     - адреса електронної пошти (перевірена під час входу)
     - 128-бітове хешоване кодування MD5 їхнього пароля, а не сам пароль
     - номер телефону (необов’язково)
     - будь-яка дата на їх вибір, щоб вони могли скинути їхній пароль
     - Назва закладу
     - Адреса закладу
     - Місто
     - Поштовий індекс
     - Часовий пояс
     - Шкільна дошка
  • Для кожного студента ми зберігаємо:
     - ім’я або ініціал імені чи псевдонім ім’я
     - прізвище чи ініціал прізвища чи псевдонім прізвище
     - код доступу
     - вибрані варіанти запитань конкурсу
     - рейтинг у конкурсах, у яких вони брали участь
     - надісланий код у конкурс програмування
     - права на доступ до ресурсів або участь у конкурсах на основі здійснених платежів
     - список заповнених робочих аркушів додаткового онлайн-курсу GeomeTree, щоб спростити продовження роботи в цьому міні-курсі.
  • Після конкурсу студенти можуть залишати коментарі та задавати запитання. Залишати адресу електронної пошти необов’язково, лише якщо вони хочуть отримати відповідь.
  • Ми пропонуємо послугу нагадування студентам про майбутні конкурси. Список підписаних зберігається окремо та взагалі не пов’язаний із їхнім обліковим записом, і вони можуть видалити свій запис у будь-який час.
  • Будь-які запити на допомогу електронною поштою від будь-кого, наприклад, від адміністраторів, учителів, батьків і учнів, видаляються після відповів.
  • Інформація про наших працівників, яку вимагає Канадське податкове агентство, зберігається абсолютно окремо. Вони не зберігаються на комп’ютерах, на яких розміщено веб-сайт або базу даних.

 Ми НЕ маємо підтвердженого імені студента, його номера телефону чи адреси. Ми маємо їхню електронну адресу, лише якщо вони добровільно зареєструвалися в списку підписок на нагадування про змагання або якщо вони надсилають коментарі та хочуть отримати відповідь.
 Усі дані студента доступні лише самому студенту та його єдиному координатору (вчителю), який завантажив код доступу студента. Відповідно до законодавства деяких канадських провінцій дані студентів зберігаються лише в канадського Інтернет-провайдера (vaxxine.com).
 Коди доступу студентів не зашифровані, оскільки вони потрібні одному вчителю, який їх завантажив, щоб роздавати їх своїм учням і нагадувати їм, коли вони часто забувають свій код доступу.

4 Дані не отримані, тому вони не зберігаються
  • Онлайн-платежі обробляються через PayPal, дані кредитної картки та дані облікового запису PayPal ніколи не надходять.
  • Ми не запитуємо й тому не маємо жодних даних про студента, таких як справжнє ім’я, електронна адреса, домашня адреса чи номер телефону. У нас є електронні адреси лише тих студентів, які надіслали нам запитання електронною поштою.
  • У нас немає демографічної інформації про студентів (стать, раса), окрім шкільного класу, починаючи з 2023-2024 навчального року. Ми використовуємо дані про шкільні оцінки, щоб надати додаткову статистику та допомогти учням краще побачити, як вони порівнюють себе з іншими в тому самому шкільному класі.
5 Доступ до збережених даних

Тільки «суперадміністратор» має доступ до всіх даних. Окрім Томаса Вольфа, засновника та генерального директора, єдині особи, які мають права суперадміністратора, є студентами-програмістами на час їх 4-місячної роботи. Перед початком роботи вони повинні підписати угоду про нерозголошення.
 Єдиний інший доступ полягає в тому, що студенти бачать власні результати після входу. Студенти не можуть бачити результати інших студентів. Учитель може отримати доступ лише до результатів своїх учнів, навіть не до результатів інших учнів своєї школи, тобто вчителі однієї школи не можуть бачити результати учнів один одного.
 Облікові записи учнів змінюються щороку, тобто щороку вони отримують новий доступ код. Координатори (вчителі) можуть вибрати ім’я студента та часто використовувати псевдоніми чи ініціали або загальне ім’я з цифровим індексом. Координатори можуть редагувати ці імена в будь-який час, наприклад, для друку сертифікатів, а потім змінити імена на ініціали або псевдоніми. Щоб отримати доступ до результатів для одного учня протягом кількох років, потрібно знати кілька імен користувачів і паролів, які можуть знати лише учень і вчитель.

6 Видалення даних

Дані студентів не видаляються, тому що під час подання документів до середньої школи чи університету вони регулярно запитують результати попередніх років.
 Влітку 2023 року перед початком Кубка 2023/24 буде створено систему архівування даних студентів, яка зберігається назавжди. . Мета буде подвійною: 1) зберігати менше даних на сервері, щоб у разі гіпотетичного порушення менше даних було під загрозою, 2) менша база даних працюватиме швидше та потребуватиме менше пам’яті.
 Дотримуючись правил HR Canada та CRA ми також зберігаємо необхідні дані про наших співробітників і підрядників.

7 Безпека даних

Щодня опівночі створюється резервна копія бази даних, у якій зберігаються вищевказані дані. Резервне копіювання всього веб-сайту виконується раз на тиждень.

8 Шифрування сторінки

Ми захищаємо від впровадження HTML і SQL для всіх форм на нашому веб-сайті. Ми гарантуємо, що жодні дії користувача не можуть безпосередньо вплинути на наш код, написаний для веб-сайту, що може призвести до будь-якої небажаної поведінки. Це робиться шляхом дезінфекції та перевірки введених користувачем даних, що гарантує, що передані користувачем дані не маніпулюють запитами до бази даних або сторінками.
 Конфіденційна інформація користувача, наприклад паролі, зашифрована, тому вона захищена, коли зберігається в нашій базі даних.
 З’єднання між відвідувачами та сайтом керується через Cloudflare. Стандартний метод передачі HTTPS використовує шифрування (SSL/TLS), щоб приховати запити та відповіді для всіх, крім сторін, залучених до передачі.
 Cloudflare також захищає від DDoS-атак, таких як потоки запитів і запити ботнетів.

9 Протокол реагування на порушення

Порушення безпеки, наприклад, через несанкціоновану публікацію даних студентів, не траплялося з моменту запуску Caribou у 2009 році. Тим не менш, у гіпотетичному випадку такого порушення активується наступний протокол.

9.1 Контейнмент
  • Ми миттєво зв’яжемося з нашим інтернет-провайдером Vaxxine, якщо відомо про будь-яке порушення на рівні сервера.
  • Усі паролі для всіх облікових записів співробітників і підрядників на нашому сервері буде змінено. Це можливо, тому що Caribou Contests — це невелика компанія з невеликою кількістю співробітників і підрядників, які постійно контактують один з одним.
  • Після перевірки стану нашої бази даних вирішується, чи потрібно встановлювати резервну копію, що готується щодня.
9.2 Повідомлення
  • У нас є ряд інструментів надсилання електронних листів, які дозволяють зв’язуватися з усіма координаторами або їх підгрупами. У разі порушення безпеки ми зв’яжемося з усіма координаторами постраждалих шкіл, якщо необхідно, з усіма. Ми інформуємо їх про те, що відомо про порушення, і про план усунення.
  • Залежно від характеру порушення, ми інформуємо координаторів і студентів у спливаючому вікні, коли вони входитимуть.
  • Наш третій канал зв’язку — Caribou Розділ новин на нашій головній сторінці. Ми регулярно використовуємо це для будь-яких новин і використали б це також у цьому випадку.
9.3 Плани відновлення

Ми вивчатимемо, як могло статися порушення та як цьому можна запобігти в майбутньому.
 Наведені нижче кроки дозволяють відновити безпеку та доступ до координаторів і студентів. Наші єдині дані, які можуть ідентифікувати студентів, це їхні імена (або псевдоніми) у поєднанні з кодом доступу. Школи з загальношкільним пропуском можуть завантажувати необмежену кількість нових кодів доступу, приєднувати нові імена учнів на свій вибір до нових кодів і об’єднувати результати учнівських змагань із старих кодів до нових кодів і нових імен за допомогою інструменту «Об’єднати двох учнів». Рахунки» на сторінці координатора. Це автоматично видаляє старі (зламані) коди доступу зі старим ім’ям. Школи без шкільного пропуску отримають від Caribou безкоштовний шкільний пропуск для виконання такої зміни кодів доступу.
 Все, що вчителі мали б зробити після цього, це повідомити нові імена та коди доступу своїм учням.

10 Прозорість

Коли координатор (викладач) вперше заходить в чашку (після 1 вересня), то він повинен підтвердити та, якщо необхідно, відредагувати свої особисті дані (електронну адресу, школу, номер телефону). Вони також повинні ознайомитися з Умовами використання, включаючи наші заходи конфіденційності та кібербезпеки.
 Якщо протягом року, всупереч очікуванням, виникне необхідність змінити спосіб обробки особистої інформації, користувачі отримають сповіщення, координатори електронною поштою. і студентів під час входу.
 У попередні роки ми випускали анкету в кінці чашки, щоб отримати відгук про важливі майбутні події. Ми плануємо зберегти цю практику.

11 Треті сторони

Єдині сторонні служби, які мають контакт для захисту даних, це:

  • Vaxxine (www.vaxxine.com) є нашим Інтернет-провайдером (працює як Інтернет-провайдер понад 40 років) і теоретично має доступ до всіх наших даних.
  • Cloudflare (cloundflare.com) керує Мережа доставки вмісту для швидкого охоплення користувачів, незалежно від їхнього розташування (див. розділ 8).
  • PayPal обробляє онлайн-платежі, але не має доступу до нефінансових даних.

Ці 3 служби мають еквівалентні або кращі гарантії безпеки, ніж ми пропонуємо користувачам.

12 Контакт

Будь ласка, зв’яжіться з нами за адресою [email protected], якщо у вас виникнуть запитання чи сумніви щодо змагань Caribou щодо кібербезпеки.

Слідкуйте за оновленнями або підписуйтесь на них:

Find us on YouTube    Find us on Dailymotion    Find us on Twitter    Find us on Facebook    Find us on Instagram    Receive updates by email