Authagonal

隐私政策

最后更新:2026 年 4 月 8 日

Authagonal(「我们」)由 Sam Critchley(ABN 69 472 204 717)——一名澳大利亚个体经营者运营。本政策描述了我们如何根据《1988 年隐私法》(联邦)下的澳大利亚隐私原则(APPs)收集、使用、存储和披露个人信息。

1. 我们收集的信息

我们收集以下类别的个人信息:

  • 账户信息——当您注册为租户所有者或门户管理员时的姓名、电子邮箱和密码哈希。
  • 终端用户身份验证数据——通过您的租户进行身份验证的用户的电子邮箱、密码哈希、MFA 凭证、会话元数据和登录时间戳。此数据作为数据处理者代表您处理。
  • 计费信息——我们收集您的电子邮箱和租户名称用于 Stripe 结算。支付卡信息完全由 Stripe 处理,绝不会接触我们的服务器。
  • 使用数据——按租户收集的聚合指标(登录次数、令牌签发率、API 调用量)用于仪表板分析。这些不包含个人信息。
  • 技术数据——服务器日志中的 IP 地址、用户代理字符串和请求元数据。日志保留 30 天。

2. 我们如何使用您的信息

  • 提供和运营 Authagonal 身份验证服务。
  • 验证用户身份、签发令牌并执行租户管理员配置的安全策略。
  • 通过 Stripe 处理付款和管理您的订阅。
  • 发送事务性电子邮件(账户确认、密码重置)。我们不发送营销邮件。
  • 监控服务健康状况、检测滥用行为并执行速率限制。
  • 响应支持请求。

3. 数据处理者角色

当您的终端用户通过 Authagonal 进行身份验证时,我们代表您充当数据处理者。您(租户)是数据控制者,决定收集哪些数据以及如何使用。我们仅根据您的配置处理终端用户数据以提供身份验证服务。

4. 我们如何存储和保护数据

  • 所有数据存储在 Microsoft Azure 数据中心。租户数据存储在 Azure Table Storage 中,按租户隔离(每个分片使用单独的表前缀)。
  • 所有连接使用 TLS 1.2 或更高版本。静态数据通过 Azure Storage Service Encryption 加密。
  • 密码使用 bcrypt 哈希。我们绝不存储明文密码。
  • 访问生产基础设施需要多因素身份验证,并且仅限授权人员。
  • 签名密钥自动轮换,加密存储在 Azure Key Vault 中。

5. 信息披露

我们不出售个人信息。我们可能向以下方披露个人信息:

  • Stripe——用于支付处理。
  • Microsoft Azure——作为我们的基础设施提供商。
  • 执法机构——在澳大利亚法律或有效法院命令要求的情况下。

6. 跨境数据传输

我们的 Azure 基础设施托管在澳大利亚(测试期间为美国中部)。部分数据可能由我们的子处理者(Stripe、Microsoft)在其他司法管辖区处理。我们采取合理措施确保这些方遵守与 APPs 相当的隐私义务。

7. 数据保留

  • 租户数据在您的订阅期间保留。取消后,数据保留 30 天,然后永久删除。
  • 租户管理员可以配置用户保留策略(不活跃一段时间后自动停用和删除)。
  • 服务器日志保留 30 天。
  • 备份保留 90 天。

8. 您的权利

根据 APPs,您有权:

  • 访问我们持有的关于您的个人信息。
  • 要求更正不准确的信息。
  • 要求删除您的账户和相关数据。
  • 如果您认为我们违反了 APPs,可以向澳大利亚信息专员办公室(OAIC)提出投诉。

租户管理员可以随时通过租户门户或 SCIM API 访问、导出和删除终端用户数据。

9. Cookie

Authagonal 仅使用会话 Cookie 用于身份验证目的。我们不使用跟踪 Cookie、分析 Cookie 或第三方广告 Cookie。租户门户使用 sessionStorage 进行 OIDC 状态管理。

10. 政策变更

我们可能会不时更新本政策。重大变更将通过与您的租户账户关联的电子邮箱通知。本页顶部的「最后更新」日期表示最近一次修订。

11. 联系方式

如有隐私咨询或行使您的权利,请通过 privacy@authagonal.io 联系我们。