Flag

Chính sách bảo mật

Cập nhật lần cuối: May 24, 2023

Giới thiệu

Chúng tôi là Caribou Cuộc thi Inc. Chúng tôi điều hành trang web Cuộc thi Caribou (cariboutests.com) và chúng tôi cam kết làm cho toán học trở nên thú vị cho mọi người thông qua các cuộc thi, trò chơi và các hoạt động khác trên nền tảng giáo dục trực tuyến của chúng tôi. Trang này được sử dụng để thông báo cho khách truy cập trang web về các chính sách của chúng tôi với việc thu thập, sử dụng và tiết lộ Thông tin Cá nhân khi sử dụng các sản phẩm và dịch vụ của chúng tôi trên trang web Cuộc thi Caribou.
Vui lòng đọc kỹ Chính sách bảo mật này cũng như Điều khoản &; Điều kiện của chúng tôi trước khi sử dụng trang web Cuộc thi Caribou. Vì mục đích của chính sách này, "Caribou", "Chúng tôi", "Của chúng tôi" và "Chúng tôi" đề cập đến Caribou Contests Inc. và "Bạn" và "Của bạn" đề cập đến bạn, khách hàng, khách truy cập, người dùng trang web hoặc người sử dụng trang web của chúng tôi.

1 Nguyên tắc chung

Như được nêu chi tiết trong phần còn lại của các chính sách này, an ninh mạng của chúng tôi dựa trên các triết lý sau:

  • Chúng tôi chỉ thu thập thông tin cần thiết, đủ để hỗ trợ tốt người dùng chứ không phải thông tin không liên quan đến dịch vụ của chúng tôi. Ví dụ: chúng tôi không yêu cầu địa chỉ email của học sinh, địa chỉ bưu điện, số telefone hoặc bất kỳ thông tin cá nhân nào khác. Chúng tôi yêu cầu học sinh đăng ký với tên của họ nhưng không yêu cầu xác minh. Học sinh có thể sử dụng bí danh, tên hoặc tên viết tắt nếu đó là chính sách của trường.
  • Chúng tôi hạn chế quyền truy cập vào dữ liệu học sinh, chỉ cho chính học sinh và giáo viên của họ. Chúng tôi thậm chí không cấp quyền truy cập cho các giáo viên khác cùng trường.
  • Chúng tôi không cung cấp ứng dụng. Không có gì cần phải được cài đặt trên điện thoại hoặc máy tính. Mọi thứ đều là một trang web khép kín.
  • Chúng tôi cung cấp bất kỳ thông báo quan trọng nào trên trang web mà tất cả học sinh / giáo viên sẽ dễ dàng nhìn thấy nếu có lý do để thông báo. Ngoài ra, các thông báo quan trọng sẽ được gửi đến điều phối viên qua email.
  • Dựa trên những nguyên tắc này, chúng tôi tuân thủ luật pháp quốc tế tiêu chuẩn về tự do thông tin và bảo vệ quyền riêng tư. Có liên quan đến những người tham gia ở Canada, Cuộc thi Caribou tuân thủ Đạo luật Bảo vệ Thông tin Cá nhân và Tài liệu Điện tử (PIPEDA) là luật bảo mật liên bang dành cho các tổ chức khu vực tư nhân. Liên quan đến học sinh Ontario, Cuộc thi Caribou tuân thủ Đạo luật Tự do Thông tin và Bảo vệ Quyền riêng tư của Thành phố (MFIPPA). Vì mục đích của các trường học Hoa Kỳ, Bảo vệ quyền riêng tư trực tuyến của trẻ em (COPPA) và Đạo luật bảo vệ và quyền giáo dục gia đình (FERPA) cũng được tuân thủ.
2 Đánh giá ngoài

Trong đánh giá mới nhất của RiskRecon (riskrecon.com), chúng tôi đạt điểm tuyệt đối 10/10 ở cả 9 hạng mục: Vá lỗi phần mềm, Bảo mật ứng dụng, Mã hóa web, Lọc mạng, Sự kiện vi phạm, Danh tiếng hệ thống, Bảo mật email, Bảo mật DNS và Lưu trữ hệ thống.
 Nhóm an ninh mạng Mạng máy tính giáo dục Ontario (ECNO) đánh giá trang web này rất an toàn. Chi tiết có thể được xem trên trang web ECNO https://ecno.org/ bởi 71 trong số 72 hội đồng trường học của Ontario đăng ký ECNO.

3 Dữ liệu được lưu trữ

Tóm lại, Caribou không nắm giữ bất kỳ dữ liệu nào có thể được sử dụng để chống lại học sinh hoặc điều phối viên (giáo viên).
 Sau đây là tất cả dữ liệu được lưu trữ về trường học, điều phối viên (giáo viên) và học sinh. Những dữ liệu này KHÔNG có sẵn trên trang web của chúng tôi, chỉ có kết quả của học sinh có sẵn cho từng học sinh và điều phối viên trực tiếp (giáo viên) của học sinh, nhưng không có sẵn cho các điều phối viên khác của cùng trường.

  • Đối với mỗi người liên hệ (Giáo viên, thủ thư) ngoài địa chỉ email và tất nhiên là mật khẩu của họ, chúng tôi chỉ giữ thông tin có sẵn công khai cho tổ chức của họ (trường học / thư viện):
     - tên
     - địa chỉ email (đã xác minh tại thời điểm nhập cảnh)
     - mã hóa băm MD5 128-bit của mật khẩu của họ, không phải chính mật khẩu
     - số điện thoại (tùy chọn)
     - bất kỳ ngày nào họ chọn để cho phép họ đặt lại mật khẩu
     - Tên tổ chức
     - Địa chỉ tổ chức
     - Thành phố
     - Mã bưu chính/mã zip
     - Múi giờ
     - Hội đồng trường
  • Đối với mỗi học sinh, chúng tôi lưu trữ:
     - tên hoặc tên viết tắt của tên hoặc bí danh, tên
     - họ hoặc tên viết tắt của họ hoặc bí danh, họ
     - mã truy cập
     - tùy chọn chọn câu hỏi cuộc thi
     - xếp hạng trong các cuộc thi mà họ đã tham gia
     - đã gửi mã trong cuộc thi mã hóa
     - quyền truy cập tài nguyên hoặc tham gia các cuộc thi dựa trên các khoản thanh toán được thực hiện
     - danh sách các bảng tính đã hoàn thành của khóa học trực tuyến GeomeTree tùy chọn để đơn giản hóa công việc tiếp tục trong khóa học nhỏ đó.
  • Sau cuộc thi, học sinh có thể nhận xét và đặt câu hỏi. Để lại địa chỉ email của họ chỉ là tùy chọn nếu họ muốn nhận được phản hồi.
  • Chúng tôi cung cấp dịch vụ nhắc nhở học sinh về các cuộc thi sắp tới. Danh sách người đăng ký được lưu trữ riêng biệt và hoàn toàn không được liên kết với tài khoản của họ và họ có thể xóa mục nhập của mình bất cứ lúc nào.
  • Bất kỳ yêu cầu trợ giúp email nào từ bất kỳ ai, ví dụ, từ quản trị viên, giáo viên, phụ huynh và học sinh, sẽ bị xóa sau khi được trả lời.
  • Thông tin về nhân viên của chúng tôi theo yêu cầu của Cơ quan Thuế vụ Canada được lưu trữ hoàn toàn riêng biệt. Chúng không được lưu trữ trên các máy tính lưu trữ trang web hoặc cơ sở dữ liệu.

 Chúng tôi KHÔNG có tên được xác nhận của học sinh, số điện thoại hoặc địa chỉ của họ. Chúng tôi chỉ có địa chỉ email của họ nếu họ tự nguyện đăng ký vào danh sách đăng ký để được nhắc nhở cuộc thi hoặc nếu họ gửi nhận xét và muốn trả lời.
 Tất cả dữ liệu học sinh chỉ có thể truy cập được bởi chính học sinh và điều phối viên (giáo viên) duy nhất của họ, người đã tải xuống mã truy cập của học sinh. Theo luật ở một số tỉnh của Canada, dữ liệu học sinh chỉ được lưu trữ tại một nhà cung cấp Internet Canada (vaxxine.com).
 Mã truy cập của học sinh không được mã hóa vì chúng chỉ được cần bởi một giáo viên duy nhất đã tải chúng xuống, để phát chúng cho học sinh của họ và nhắc nhở họ khi họ thường xuyên quên mã truy cập của mình.

4 Dữ liệu không bao giờ thu được và do đó không được lưu trữ
  • Thanh toán trực tuyến được xử lý bởi PayPal, không có chi tiết thẻ tín dụng và không có chi tiết tài khoản PayPal nào được nhận.
  • Chúng tôi không yêu cầu và do đó không có bất kỳ chi tiết nào của học sinh như tên thật, địa chỉ email, địa chỉ nhà hoặc số điện thoại. Chúng tôi chỉ có địa chỉ email của những học sinh đã gửi câu hỏi cho chúng tôi để được trả lời qua email.
  • Chúng tôi không có thông tin nhân khẩu học về học sinh (giới tính, chủng tộc) ngoài điểm học, bắt đầu từ năm học 2023-2024. Chúng tôi sử dụng dữ liệu điểm trường để cung cấp một thống kê bổ sung và để học sinh thấy rõ hơn cách họ so sánh với những người khác trong cùng một lớp.
5 Truy cập vào dữ liệu được lưu trữ

Chỉ 'siêu quản trị viên' mới có quyền truy cập vào tất cả dữ liệu. Ngoài Thomas Wolf, người sáng lập và CEO, những người duy nhất khác có đặc quyền siêu quản trị viên là các lập trình viên sinh viên coop trong thời gian làm việc 4 tháng của họ. Họ phải ký một thỏa thuận không tiết lộ trước khi bắt đầu làm việc.
 Quyền truy cập duy nhất khác bao gồm việc học sinh nhìn thấy kết quả của chính họ sau khi đăng nhập. Học sinh không thể xem kết quả của học sinh khác. Một giáo viên chỉ có thể truy cập kết quả học sinh của chính họ, thậm chí không thể truy cập kết quả của các học sinh khác trong trường của họ, tức là giáo viên của một trường không thể nhìn thấy kết quả học sinh của nhau.
 Tài khoản học sinh thay đổi hàng năm, tức là mỗi năm họ nhận được một mã truy cập mới. Điều phối viên (giáo viên) có thể chọn tên học sinh và thường sử dụng tên bí danh hoặc tên viết tắt hoặc tên chung với chỉ mục số. Điều phối viên có thể chỉnh sửa các tên này bất cứ lúc nào, ví dụ: cho mục đích in chứng chỉ và sau đó thay đổi tên trở lại tên viết tắt hoặc tên bí danh. Truy cập vào kết quả cho một học sinh trong nhiều năm sẽ yêu cầu biết nhiều tên người dùng và mật khẩu mà chỉ học sinh và giáo viên mới có thể biết.

6 Xóa dữ liệu

Dữ liệu học sinh không bị xóa vì họ thường xuyên hỏi kết quả năm trước khi nộp đơn vào trường trung học hoặc đại học.
 Vào mùa hè 2023, trước khi bắt đầu Cup 2023/24, một hệ thống lưu trữ sẽ được thiết lập cho dữ liệu học sinh được duy trì vĩnh viễn. Mục đích sẽ có hai mặt: 1) lưu trữ ít dữ liệu hơn trên máy chủ để trong trường hợp vi phạm giả định, ít dữ liệu có nguy cơ hơn, 2) cơ sở dữ liệu nhỏ hơn sẽ hoạt động nhanh hơn và đòi hỏi ít bộ nhớ hơn.
 Theo các quy tắc của HR Canada và CRA, chúng tôi cũng giữ dữ liệu cần thiết về nhân viên và nhà thầu của chúng tôi.

7 An toàn dữ liệu

Cơ sở dữ liệu lưu trữ dữ liệu trên được sao lưu mỗi ngày vào lúc nửa đêm. Toàn bộ trang web được sao lưu mỗi tuần một lần.

8 Mã hóa giao tiếp trang

Chúng tôi bảo vệ chống lại việc tiêm HTML và SQL cho tất cả các biểu mẫu trên trang web của chúng tôi. Chúng tôi đảm bảo rằng không có đầu vào nào của người dùng có thể ảnh hưởng trực tiếp đến mã của chúng tôi được viết cho trang web có thể dẫn đến bất kỳ hành vi không mong muốn nào. Điều này được thực hiện bằng cách vệ sinh và xác thực đầu vào của người dùng, đảm bảo dữ liệu người dùng được truyền không thao túng các truy vấn hoặc trang cơ sở dữ liệu.
 Thông tin người dùng nhạy cảm như mật khẩu được mã hóa, vì vậy chúng được bảo mật ở trạng thái lưu trữ khi được lưu trữ trong cơ sở dữ liệu của chúng tôi.
 Kết nối giữa khách truy cập và trang web được quản lý thông qua Cloudflare. Phương pháp truyền HTTPS mặc định sử dụng mã hóa (SSL / TLS) để ngụy trang các yêu cầu và phản hồi cho mọi người ngoại trừ các bên liên quan đến việc chuyển.
 Cloudflare cũng bảo vệ chống lại các cuộc tấn công DDoS, chẳng hạn như lũ yêu cầu và yêu cầu botnet.

9 Giao thức phản hồi vi phạm

Ví dụ, vi phạm an ninh thông qua việc xuất bản trái phép dữ liệu học sinh đã không xảy ra kể từ khi Caribou bắt đầu vào năm 2009. Tuy nhiên, trong trường hợp giả định về vi phạm như vậy, protokoll sau đây được kích hoạt.

9.1 Ngăn chặn
  • Chúng tôi sẽ ngay lập tức liên hệ với nhà cung cấp Internet Vaxxine của chúng tôi cho dù có bất kỳ vi phạm nào được biết ở cấp độ máy chủ hay không.
  • Tất cả mật khẩu trên tất cả các tài khoản của nhân viên và nhà thầu trên máy chủ của chúng tôi sẽ được thay đổi. Điều này là có thể bởi vì Caribou Contests là một công ty nhỏ với rất ít nhân viên và nhà thầu thường xuyên liên lạc với nhau.
  • Sau khi kiểm tra trạng thái cơ sở dữ liệu của chúng tôi, người ta quyết định xem có cần cài đặt bản sao lưu được chuẩn bị hàng ngày hay không.
9.2 Thông báo
  • Chúng tôi có một số công cụ gửi email cho phép liên hệ với tất cả các điều phối viên hoặc nhóm con của họ. Trong trường hợp vi phạm an ninh, chúng tôi sẽ liên hệ với tất cả các điều phối viên của các trường bị ảnh hưởng, nếu cần thiết. Chúng tôi sẽ thông báo cho họ về những gì được biết về vi phạm và về kế hoạch khắc phục
  • Tùy thuộc vào bản chất của vi phạm, chúng tôi sẽ thông báo cho điều phối viên và học sinh bằng cửa sổ bật lên khi họ đăng nhập.
  • Kênh liên lạc thứ 3 của chúng tôi là phần Tin tức Caribou trên trang chủ của chúng tôi. Chúng tôi sử dụng nó thường xuyên cho bất kỳ loại tin tức nào và cũng sẽ sử dụng nó trong trường hợp này.
9.3 Kế hoạch khắc phục

Chúng tôi sẽ nghiên cứu làm thế nào vi phạm có thể xảy ra và làm thế nào nó có thể được ngăn chặn trong tương lai.
 Các bước sau đây cho phép khôi phục an ninh và quyền truy cập cho điều phối viên và học sinh. Dữ liệu duy nhất của chúng tôi có thể xác định học sinh là tên của họ (hoặc tên bí danh) kết hợp với mã truy cập của họ. Các trường có thẻ thông hành toàn trường có thể tải xuống số lượng mã truy cập mới không giới hạn, đính kèm tên học sinh mới mà họ chọn vào mã mới và hợp nhất kết quả cuộc thi của học sinh từ mã cũ sang mã mới và tên mới bằng công cụ 'Hợp nhất hai tài khoản học sinh' trên trang điều phối viên. Thao tác này sẽ tự động xóa mã truy cập cũ (bị xâm phạm) có tên đính kèm cũ. Các trường không có thẻ thông hành toàn trường sẽ nhận được thẻ toàn trường miễn phí từ Caribou để thực hiện thay đổi mã truy cập đó.
 Tất cả những gì giáo viên sẽ phải làm sau đó là truyền đạt tên mới và mã truy cập cho học sinh của họ.

10 Tính minh bạch

Khi một điều phối viên (giáo viên) đăng nhập lần đầu tiên trong một cốc (sau ngày 1 tháng Chín), sau đó họ phải xác nhận và nếu cần chỉnh sửa chi tiết tài khoản cá nhân của họ (địa chỉ email, trường học, số điện thoại). Họ cũng phải thừa nhận các Điều khoản và Điều kiện bao gồm các biện pháp Quyền riêng tư và An ninh mạng của chúng tôi.
 Nếu, trái với mong đợi, trong năm cần phải thay đổi cách xử lý thông tin cá nhân thì người dùng sẽ được thông báo, điều phối viên qua email và học sinh khi đăng nhập.
 Trong những năm trước, chúng tôi đã phát hành một bảng câu hỏi vào cuối cốc để nhận phản hồi về những phát triển quan trọng trong tương lai. Chúng tôi dự định sẽ tiếp tục thực hành đó.

11 Bên thứ ba

Các dịch vụ của bên thứ ba duy nhất có liên hệ để bảo mật dữ liệu là:

  • Vaxxine (www.vaxxine.com) là nhà cung cấp Internet của chúng tôi (hoạt động với tư cách là nhà cung cấp Internet trong hơn 40 năm) và về lý thuyết có quyền truy cập vào tất cả dữ liệu của chúng tôi.
  • Cloudflare (cloundflare.com) vận hành Mạng phân phối nội dung để tiếp cận người dùng nhanh chóng bất kể vị trí của họ (xem phần 8).
  • PayPal xử lý các khoản thanh toán trực tuyến nhưng không có quyền truy cập vào bất kỳ dữ liệu phi tài chính nào.

3 dịch vụ này có các biện pháp bảo vệ an ninh tương đương hoặc tốt hơn so với những gì chúng tôi cung cấp cho người dùng.

12 Liên hệ

Vui lòng liên hệ với chúng tôi theo mục [email protected] nếu bạn có bất kỳ câu hỏi hoặc thắc mắc nào về An ninh mạng của Cuộc thi Caribou.