隐私政策

1. 数据控制者

本隐私政策由 YOUNG BIZ SDN. BHD.（马来西亚注册号 202301011255 / 1505177-X，以下简称"我们"） 作为数据控制者（Data Controller）发布。我们依据马来西亚《2010 年个人资料保护法》（Personal Data Protection Act 2010, PDPA） 以及适用的 GDPR / CCPA 标准处理您的个人数据。

2. 我们收集的信息

2.1 商户注册信息

• 公司名称、注册号、注册地址、经营范围；
• 法定代表人/董事姓名、身份证件号码、出生日期；
• 公司银行账户信息（账号、开户行）；
• 联系邮箱、电话。

2.2 终端客户支付信息

• 支付时必填的邮箱、姓名、账单地址；
• 信用卡信息 不由我们直接存储，而是通过 Stripe / iPay88 等 PCI DSS Level 1 合规的支付服务提供商处理；
• 交易金额、币种、时间戳、IP 地址、浏览器指纹（用于反欺诈）。

2.3 技术信息

• 访问日志（IP、User-Agent、访问时间、访问路径）；
• Cookies（会话标识、安全令牌、登录状态）；
• 错误日志与性能数据。

3. 数据使用目的

• 提供与维护支付服务；
• 履行 KYC/KYB、反洗钱（AML）、反欺诈义务；
• 交易对账、结算、税务申报；
• 客服支持、争议处理、拒付抗辩；
• 产品改进（匿名聚合统计）；
• 法律法规要求的合规报告与监管回复。

4. 数据共享

我们仅在以下必要情况下与第三方共享您的信息：

• 支付服务提供商（Stripe, Inc. / iPay88 (M) Sdn. Bhd. / Coinbase Commerce 等）：用于完成支付处理；
• 银行：结算、提现、退款；
• 云基础设施提供商（Cloudflare, Inc.）：用于托管服务与加速；
• 合规服务商（KYB/身份核验供应商）：用于商户认证；
• 监管机构与司法机关：依据马来西亚或商户所在地法律要求披露。

我们 不会 将您的个人数据出售给广告主或无关第三方。

5. 数据安全

• 全站 HTTPS（TLS 1.2+），所有 API 强制加密传输；
• 密码使用 PBKDF2-SHA256（10 万次迭代）+ 每用户独立 salt 存储；
• 会话令牌 HttpOnly Cookie，15 分钟失败锁定；
• Webhook 使用 HMAC-SHA256 签名验证；
• 数据库层 D1 SQLite 由 Cloudflare 全球分布式托管，物理与网络层均有安全隔离；
• 我们不直接存储信用卡号、CVV 等 PCI 敏感数据（由上游 PSP 按 PCI DSS SAQ A 范围处理）。

6. 数据保留期

• 交易记录：7 年（依据马来西亚《所得税法》及 AML 监管要求）；
• KYB 材料：账户关闭后保留 7 年；
• 登录日志：1 年；
• 营销邮件订阅：直至您退订。

7. 您的权利

在适用法律框架下，您有权：

• 访问我们持有的您的个人数据副本；
• 更正不准确的信息；
• 在法律允许的前提下要求删除（"被遗忘权"）；
• 限制或反对某些处理活动；
• 数据可携带（以结构化格式导出）。

如需行使上述权利，请联系 [email protected]， 我们将在 30 天内回复。

8. Cookies

我们使用以下类型的 Cookies：

• 必要 Cookies（session_token, csrf_token）：维持登录状态，无法关闭；
• 分析 Cookies（匿名聚合流量）：可通过浏览器设置拒绝。

9. 跨境数据传输

由于我们使用 Cloudflare 全球基础设施，您的数据可能被传输至马来西亚境外的服务器处理。 我们仅选择提供与 PDPA / GDPR 等同保护水平的服务商，并通过标准合同条款（SCC）确保合规。

10. 儿童隐私

本平台不向 18 岁以下个人提供服务，也不会故意收集此类信息。

11. 政策更新

本隐私政策有重大变更时，我们将在页面顶部注明新的"最后更新"日期，并通过邮件通知注册商户。

12. 联系数据保护官