Ultima actualizare: 2025/12/16

1. Dispoziții generale

【Scopul Politicii】 Această politică de securitate a informațiilor urmărește să stabilească un sistem de management al securității informațiilor pentru magazinele Vevoxira (denumite în continuare "magazine") sub CompanieYuxi Shanqukui Trading Co., Ltd. (denumită în continuare "Compania"), să standardizeze procesul de protecție a securității informațiilor personale, datelor tranzacțiilor, resurselor sistemului etc. ale utilizatorilor, să prevină riscuri precum scurgerile, manipularea și pierderea informațiilor și să protejeze drepturile și interesele legitime ale utilizatorilor și securitatea operațiunilor magazinelor.

【Domeniul de aplicare】Această politică se aplică întregului proces de operare a magazinului (inclusiv înregistrarea utilizatorilor, plata comenzilor, procesarea comenzilor, logistica și distribuția, serviciul post-vânzare etc.), acoperind angajații magazinelor, furnizorii terți de servicii (instituții de plată, furnizori de logistică, furnizori de servicii tehnice etc.) și tuturor utilizatorilor români (denumiți în continuare "utilizatori").

Baza de conformitate: Respectă strict legile și reglementările relevante, cum ar fi Regulamentul General privind Protecția Datelor (GDPR) al Uniunii Europene, Legea României privind Protecția Datelor Personale și Legea Securității Cibernetice, pentru a asigura conformitatea legală în managementul securității informațiilor.

Principii de securitate: Urmează principiul de securitate "minim necesar, criptare completă, protecție ierarhică și responsabilitate față de persoane", colectează doar informațiile minime necesare pentru a realiza serviciul, criptează și procesează date sensibile pe tot parcursul procesului și controlează-le în funcție de importanța datelor și clarifică responsabilitățile de securitate ale fiecărei legături.

2. Domeniul managementului securității informațiilor

(1) Tipuri de date de protecție de bază

Informații personale sensibile: nume de utilizator, număr de identificare (dacă este necesar), număr de contact, adresă de livrare, adresă de email, număr de card de credit (stocare desensibilizată), cod de securitate a plăților etc.;

Date de tranzacție: numărul comenzii, înregistrarea plății, informații despre urmărirea logisticii, vouchere de retur și schimb, informații despre facturi etc.;

Resurse de sistem: stocarea codului programului site/platformei, configurarea serverului, baza de date, echipamentele de rețea, sistemul de protecție a securității etc.;

Secrete comerciale: informații despre lanțul de aprovizionare, strategii de stabilire a prețurilor, agregarea datelor clienților, planuri de protecție a securității etc.

(2) Controlul securității ciclului de viață al datelor

Etapa de colectare a datelor: colectarea informațiilor utilizatorilor prin canale criptate, informarea clară asupra scopului și amploarea colectării și colectarea datelor necesare doar după obținerea autorizării utilizatorului, fără a impune informațiile irelevante;

Etapa de stocare a datelor: stocare criptată AES-256 a datelor sensibile ale utilizatorilor, implementare a unei baze de date în UE conform cerințelor GDPR, backup regulat al datelor (local + backup dublu off-site);

Etapa de transmitere a datelor: Toată transmiterea datelor adoptă protocolul de criptare SSL/TLS 1.3, iar transmiterea datelor de plată respectă PCI DSS (Payment Card Industry Data Security Standard) pentru a preveni furtul sau manipularea în timpul transmisiei.

Etapa de utilizare a datelor: Doar personalul autorizat poate accesa datele în cadrul domeniului necesar, iar urmele rămân pe tot parcursul comportamentului de acces, fiind strict interzis utilizarea sau scurgerile datelor utilizatorilor dincolo de domeniu.

Etapa de distrugere a datelor: După expirarea perioadei de stocare a datelor, metoda "ștergere fizică + suprascriere logică" este folosită pentru a le distruge complet și a se asigura că nu pot fi recuperate. După ce utilizatorul s-a deconectat din cont, informațiile personale vor fi șterse sau anonimizate conform cerințelor GDPR.

3. Măsuri tehnice de protecție a siguranței

(1) Protecția securității sistemului

Implementați firewall-uri, sisteme de detectare a intruziunilor (IDS) și sisteme de prevenire a intruziunilor (IPS) pentru a bloca atacurile malițioase, accesul ilegal și alte riscuri în timp real.

Efectuați regulat scanări de vulnerabilități de securitate (cel puțin o dată pe lună) și teste de penetrare (cel puțin o dată pe trimestru) pe servere și baze de date pentru a corecta vulnerabilitățile în timp util.

Se adoptă schema distribuită de protecție împotriva negării serviciului (DDoS) pentru a asigura funcționarea stabilă a sistemelor de stocare în situații de concurență mare sau atacuri.

Stabiliți un mecanism de audit al jurnalelor de securitate al sistemului pentru a înregistra toate operațiunile (inclusiv autentificare, acces la date, modificări etc.) și păstrați jurnalele cel puțin 6 luni pentru a facilita trasabilitatea evenimentelor de securitate.

(2) Protecția securității plăților

Canalul de plată adoptă serviciul de criptare al unei instituții de plată terțe conforme, iar magazinul nu stochează informații sensibile de bază, cum ar fi numărul cardului de credit al utilizatorului și codul de securitate;

Stabiliți un sistem de monitorizare a riscului de plată pentru a monitoriza comportamentele anormale de plată în timp real (cum ar fi plăți multiple într-o perioadă scurtă pentru același cont, plăți în locuri diferite etc.) și declanșați verificarea secundară sau suspendarea plății dacă este necesar.

Respectați strict standardele PCI DSS și efectuați regulat evaluări de conformitate a securității de către instituțiile de plată pentru a asigura securitatea și conformitatea proceselor de plată.

(3) Securitatea terminalelor și accesului

Instalați software antivirus și sistem de management al securității terminalelor pe terminalele interne ale biroului angajaților, activați forțat funcțiile de protecție prin parolă și blocare a ecranului și interzicereți strict utilizarea rețelelor publice pentru procesarea datelor sensibile.

Parola trebuie să îndeplinească cerințele de complexitate (≥ 8 cifre, inclusiv litere mari și mici, numere și caractere speciale) și să fie schimbată regulat (la fiecare 90 de zile).

Atribuiți drepturi de acces la sistem conform principiului "privilegiului minim" și anulați imediat toate conturile și permisiunile angajaților după părăsirea companiei, pentru a evita abuzul de permisiuni.

4. Managementul securității de către terți

Magazinul efectuează audituri de calificare a securității asupra furnizorilor de servicii terți cooperanți (instituții de plăți, furnizori de logistică, furnizori de servicii tehnice etc.), semnează acorduri de securitate și confidențialitate și clarifică responsabilitățile privind securitatea datelor;

Restricționează aria de acces la date a furnizorilor terți, furnizează doar datele minime necesare pentru performanța serviciilor lor și interzice strict terților să folosească datele utilizatorilor în alte scopuri;

Verificați regulat conformitatea de securitate a furnizorilor terți de servicii și, dacă apar potențiale pericole pentru siguranță, rectificarea este necesară într-un termen limită, iar cooperarea este întreruptă dacă rectificarea nu este calificată.

5. Răspunsul și gestionarea incidentelor de securitate

Clasificarea evenimentelor: Evenimentele de securitate a informațiilor sunt clasificate ca evenimente generale (cum ar fi scurgerea de informații pentru un singur utilizator), evenimente majore (cum ar fi scurgeri de date în masă, defectarea sistemului) și evenimente în special majore (cum ar fi furtul de date de bază sau întreruperea serviciilor la scară largă cauzată de atacuri malițioase).

【Procesul de răspuns】

Monitorizare și avertizare timpurie: monitorizarea în timp real a comportamentului anormal prin sistemul de monitorizare a securității și avertizare timpurie imediată după detectarea incidentelor de securitate;

Răspuns de urgență: să răspundă la incidente generale în 2 ore și să le gestioneze în 24 de ore; Să răspundă la incidente majore în decurs de 1 oră și să controleze riscurile în 12 ore; să răspundă la incidente deosebit de grave în 30 de minute, să controleze riscurile în 6 ore și să înființeze o echipă de urgență pentru a le gestiona;

Notificare și escaladare: În cazul unui incident de securitate care implică drepturile utilizatorilor (cum ar fi breșa de date), utilizatorul afectat va fi notificat prin email, SMS etc. în termen de 72 de ore și raportat autorității de reglementare pentru protecția datelor din România, conform GDPR.

Trasabilitate și rectificare: După ce incidentul este gestionat, cauza incidentului este urmărită și analizată, iar măsurile de protecție a siguranței sunt îmbunătățite pentru a preveni repetarea incidentelor similare.

Responsabilitate: Angajații interni sau partenerii terți care provoacă incidente de siguranță din cauza neglijenței intenționate sau grave vor fi investigați pentru răspundere legală în conformitate cu legea.

6. Responsabilitatea pentru securitatea informațiilor utilizatorilor

Utilizatorii ar trebui să păstreze corect informații sensibile, cum ar fi parolele conturilor, parolele de plată și codurile de verificare, să evite folosirea parolelor simple și să nu le dezvăluie altora.

Dacă descoperiți că contul dumneavoastră a fost furat, autentificare anormală, scurgeri de informații etc., trebuie să contactați imediat serviciul clienți al magazinului (Tel: 19224683504 / Email:service@mail.vevoxira.com ), iar magazinul vă va ajuta să luați măsuri de urgență, cum ar fi înghețarea contului și schimbarea parolei;

Utilizatorii nu trebuie să folosească serviciile de magazin pentru a comite acte ilegale, cum ar fi atacarea sistemelor de magazin, furtul de informații ale altor persoane sau răspândirea de malware, altfel vor avea responsabilități legale corespunzătoare.

7. Actualizări de politici și instruire

Magazinul va actualiza regulat această politică în funcție de modificările legilor și reglementărilor, dezvoltării tehnologice, ajustărilor de afaceri etc., și te va notifica cu 3 zile lucrătoare înainte prin anunțul magazinului sau adresa de email rezervată a utilizatorului după actualizare.

Desfășurați instruire regulată în securitatea informațiilor pentru angajații interni (cel puțin o dată la șase luni), inclusiv politici de securitate, specificații de protecție a datelor, proceduri de răspuns la situații de urgență etc., pentru a asigura că angajații au conștientizare și capacități corespunzătoare privind protecția securității.

8. Informații de contact

Dacă utilizatorii descoperă potențiale riscuri pentru securitatea informațiilor, suspiciuni de scurgeri de date sau au întrebări sau plângeri conexe, îi pot contacta prin următoarele canale:

Numele companiei: Yuxi Shanqukui Trading Co., Ltd.

Număr de contact: 19224683504

Email de contact: service@mail.vevoxira.com

Adresa companiei: 305-74, etajul 3, clădirea 3, strada Qinghua, intersecția bulevarului Hongta nr. 95 și șoseaua Ruifeng, Comitetul de vecinătate al comunității Wabu, biroul strada Fengsheng, districtul Hongta, orașul Yuxi, provincia Yunnan

Programul Serviciului Clienți Online: de luni până vineri, 9:00 - 18:00 (Închis în weekenduri și sărbători)

9. Dispoziții suplimentare

Această politică va intra în vigoare începând cu 11 noiembrie 2025 și va avea același efect legal ca Politica de Confidențialitate, Termenii de Utilizare și alte documente.

Disputele care decurg din această politică vor fi rezolvate prin negocieri prietenoase. Dacă negocierea eșuează, aceasta va fi gestionată conform metodei de soluționare a disputelor stabilită în Termenii de utilizare.