隐私政策
Axiom Global Holdings Limited(以下简称"本平台")重视每位用户的数据安全与隐私权利。本政策说明我们如何收集、使用、存储和保护您的个人信息。
本平台仅为机构用户提供技术接入服务,不面向一般消费者。使用本平台即表示您确认具备相应的机构资质及法律行为能力。
1. 数据控制方
本平台的数据控制方为 Axiom Global Holdings Limited,注册于新加坡。如您对本政策有任何疑问,请通过本政策末尾的联系方式与我们沟通。
2. 我们收集的信息
账号注册信息:电子邮件地址、显示名称、所属公司名称、所在国家或地区、首选语言。
身份验证信息:密码(仅存储加密哈希值,从不记录明文)、一次性验证码(OTP)、登录挑战凭据,以及 API Key 的元数据(Key ID、标签、创建时间、最后使用时间)。
API 密钥信息:平台为用户签发的 API Key 仅存储其 ID 与元数据,API Secret 原文在签发后不再被平台持久化。
使用与审计数据:请求日志(包含 trace_id、时间戳、HTTP 方法与路径、响应状态码)、操作事件(如登录、API Key 创建/吊销、连接器状态变更)、IP 地址及客户端 User-Agent 信息。
通信数据:您通过支持工单、电子邮件或平台内消息与我们的沟通记录。
3. 信息使用方式
我们收集的信息用于以下目的:
- 提供、运营和维护平台服务,包括账号管理、API 接入认证及连接器编排。
- 执行身份验证、会话管理和 API Key 生命周期管控,保障账号与数据安全。
- 生成合规审计日志,支持内部操作审查、监管核查及安全事件溯源。
- 通过 SMTP 发送系统通知,包括账号验证邮件、安全警报及服务状态更新。
- 分析平台使用趋势,用于产品改进、容量规划和运营优化,分析过程中数据将聚合脱敏。
- 遵守适用法律法规,响应主管机构的合法信息请求。
- 调查、预防和应对欺诈、滥用及安全威胁。
4. 数据共享与第三方
我们不向第三方出售或出租您的个人信息。我们可能在以下情形中共享数据:
- 基础设施服务商:用于托管、数据库和 SMTP 邮件投递的服务商,须受保密协议约束,仅限于提供技术服务所必要的数据访问。
- 法律合规要求:在法院命令、监管机关合法指令或适用法律明确要求时,我们将依法披露必要信息。
- 企业变更:如发生合并、收购或资产出售,您的信息可能作为业务资产转让,届时新的数据控制方须受本政策同等约束。
- 安全防护:为保护本平台、用户及公众免受欺诈、非法活动或安全威胁,我们可能与执法机构共享必要信息。
5. 数据安全措施
- 所有传输中的数据均通过 TLS 1.2 及以上版本加密。
- 密码采用单向哈希算法存储,API Secret 在签发后不再持久化明文。
- 审计事件包含 trace_id、操作主体(actor)、操作类型(action)及时间戳,用于全面的合规追溯。
- 遵循最小权限原则,严格的基于角色的访问控制(RBAC)限制内部系统访问范围。
- 高危操作实施双人复核机制。
- 定期开展安全审查、漏洞评估及灾备演练。
- 发生安全事件时,将及时通知受影响用户,并根据适用法规要求向监管机构报告。
6. 数据保留期限
我们依据以下原则确定数据保留期限:
- 账号数据:在账号有效期内及账号注销后 90 天内保留,用于支持数据导出请求处理。
- 审计日志:自事件产生之日起保留至少 12 个月,以满足合规与监管要求。
- 已吊销 API Key 元数据:自吊销之日起保留 180 天,用于安全审计。
- 支持工单:自问题解决之日起保留 24 个月。
- 当法律义务或合法争议解决需要时,相关数据的保留期限可能相应延长。
7. 您的权利
根据适用的数据保护法律,您享有以下权利(具体权利范围因所在司法辖区而异):
- 访问权:请求获取我们持有的与您相关的个人数据副本。
- 更正权:要求更正不准确或不完整的个人信息。
- 删除权:在满足法律保留要求的前提下,请求删除您的个人数据。
- 可携带权:以机器可读格式接收您的个人数据。
- 限制处理权:在特定情形下,请求限制我们处理您的个人数据。
- 反对权:反对基于合法利益为由对您数据的处理。
如需行使上述权利,请通过工单系统提交请求,我们将在 30 个工作日内予以回复。
8. Cookie 与追踪技术
本平台仅为机构用户提供 API 接入服务,不使用第三方广告追踪 Cookie。我们可能使用以下技术:
- 会话存储(localStorage):用于在用户浏览器端存储身份验证令牌和会话状态,以实现免重复登录功能。
- 功能性 Cookie:用于记住语言偏好等用户界面设置。
上述技术对平台正常功能不可或缺。如您清除浏览器存储数据,您的会话将自动终止。
9. 跨境数据传输
本平台基础设施可能部署于多个司法辖区。当您的数据传输至本平台注册地(新加坡)以外的区域时,我们将通过标准合同条款、充分性决定或其他适当的法律机制,确保数据传输符合适用的数据保护法规要求,并提供与原始收集地同等水平的数据保护。
10. 未成年人保护
本平台专为具备相应资质的机构用户设计,不向 18 岁以下的未成年人提供服务。如我们发现意外收集了未成年人的个人信息,将立即予以删除。若您认为我们可能持有未成年人数据,请立即通过本政策末尾的联系方式告知我们。
11. 政策变更
我们可能不定期更新本隐私政策。如发生重大变更,我们将提前至少 30 天通过电子邮件或平台内显著提示通知您。您在变更生效后继续使用本平台,即视为接受更新后的政策。我们建议您定期查阅本政策,以了解最新内容。
12. 联系我们
如您对本隐私政策有任何疑问、建议或需要行使数据主体权利,请通过以下方式联系我们:
- 电子邮件:[email protected]
- 工单系统:通过用户工作台提交支持工单
- 书面联系:Axiom Global Holdings Limited,数据保护专员,新加坡
Privacy Policy
Axiom Global Holdings Limited ("the Platform") is committed to protecting the privacy and security of institutional users' data. This policy explains how we collect, use, store, and protect your personal information.
This Platform is designed exclusively for institutional users with the appropriate qualifications and legal capacity. By using the Platform you confirm that you meet these requirements.
1. Data Controller
The data controller for this Platform is Axiom Global Holdings Limited, incorporated in Singapore. If you have any questions about this policy or our data practices, please contact us using the details at the end of this document.
2. Information We Collect
Account Registration: Email address, display name, company name, country or region, and preferred language.
Authentication Data: Password (stored only as an encrypted hash — never in plaintext), one-time passcodes (OTP), login challenge credentials, and API Key metadata (Key ID, label, creation date, last-used timestamp).
API Key Data: The Platform issues API Keys and stores only their ID and metadata. The API Secret is never persisted by the Platform after initial issuance.
Usage and Audit Data: Request logs (trace_id, timestamp, HTTP method and path, response status code), operational events (login, API Key create/revoke, connector state changes), IP addresses, and client User-Agent strings.
Communications: Records of communications you send us through support tickets, email, or in-platform messaging.
3. How We Use Your Information
- To provide, operate, and maintain Platform services including account management, API authentication, and connector orchestration.
- To perform identity verification, session management, and API Key lifecycle control to protect account and data security.
- To generate compliance audit logs supporting internal operational review, regulatory inspection, and security incident tracing.
- To send system notifications via SMTP including account verification emails, security alerts, and service status updates.
- To analyze aggregated and anonymized Platform usage trends for product improvement, capacity planning, and operational optimization.
- To comply with applicable laws and regulations and to respond to lawful requests from competent authorities.
- To investigate, prevent, and respond to fraud, abuse, and security threats.
4. Data Sharing and Third Parties
We do not sell or rent your personal information to third parties. We may share data in the following circumstances:
- Infrastructure Providers: Hosting, database, and SMTP email providers bound by confidentiality agreements with access limited to what is necessary to provide technical services.
- Legal Compliance: When required by court order, lawful regulatory directive, or applicable law, we will disclose necessary information in accordance with legal requirements.
- Business Transactions: In the event of a merger, acquisition, or asset sale, your information may be transferred as a business asset, subject to the same privacy protections as set out in this policy.
- Security and Protection: To protect the Platform, users, and the public from fraud, illegal activity, or security threats, we may share necessary information with law enforcement agencies.
5. Security Measures
- All data in transit is encrypted using TLS 1.2 or higher.
- Passwords are stored using one-way hashing algorithms. API Secrets are not persisted in plaintext after issuance.
- Audit events include trace_id, actor, action type, and timestamp to support comprehensive compliance tracing.
- Strict role-based access control (RBAC) following the principle of least privilege limits internal system access.
- High-risk administrative operations require two-person review.
- Regular security reviews, vulnerability assessments, and disaster recovery exercises are conducted.
- In the event of a security incident, affected users will be notified promptly and regulators will be informed as required by applicable regulations.
6. Data Retention
- Account Data: Retained for the life of the account and 90 days after account closure to support data export requests.
- Audit Logs: Retained for a minimum of 12 months from the date of the event to satisfy compliance and regulatory requirements.
- Revoked API Key Metadata: Retained for 180 days from the date of revocation for security audit purposes.
- Support Tickets: Retained for 24 months from the date of resolution.
- Retention periods may be extended where required by legal obligation or legitimate dispute resolution needs.
7. Your Rights
Subject to applicable data protection laws, you may have the following rights (the specific rights available to you depend on your jurisdiction):
- Right of Access: Request a copy of the personal data we hold about you.
- Right to Rectification: Request correction of inaccurate or incomplete personal information.
- Right to Erasure: Request deletion of your personal data subject to applicable legal retention requirements.
- Right to Data Portability: Receive your personal data in a machine-readable format.
- Right to Restrict Processing: Request that we restrict processing of your personal data in certain circumstances.
- Right to Object: Object to processing of your personal data on the basis of legitimate interests.
To exercise any of these rights, please submit a request through the support ticket system. We will respond within 30 business days.
8. Cookies and Tracking
This Platform is an institutional API access service and does not use third-party advertising or tracking cookies. We may use the following technologies:
- Session Storage (localStorage): Used to store authentication tokens and session state in your browser to enable seamless re-authentication.
- Functional Cookies: Used to remember user interface preferences such as language selection.
These technologies are essential to the normal functioning of the Platform. Clearing your browser storage will terminate your active session.
9. International Data Transfers
The Platform's infrastructure may be deployed across multiple jurisdictions. When your data is transferred outside Singapore (our place of incorporation), we ensure such transfers comply with applicable data protection regulations through standard contractual clauses, adequacy decisions, or other appropriate legal mechanisms, providing a level of protection equivalent to that in the original jurisdiction of collection.
10. Children's Privacy
This Platform is designed exclusively for qualified institutional users and is not directed at individuals under the age of 18. If we discover that we have inadvertently collected personal information from a minor, we will delete it immediately. If you believe we may hold data relating to a minor, please contact us immediately using the details below.
11. Changes to This Policy
We may update this Privacy Policy from time to time. For material changes, we will provide at least 30 days' advance notice via email or prominent in-platform notification. Your continued use of the Platform after the effective date of changes constitutes your acceptance of the updated policy. We encourage you to review this policy periodically.
12. Contact Us
For questions, suggestions, or to exercise your data subject rights, please contact us through:
- Email: [email protected]
- Support Tickets: Submit via the User Workspace portal
- Postal: Axiom Global Holdings Limited, Data Protection Officer, Singapore
プライバシーポリシー
Axiom Global Holdings Limited(以下「本プラットフォーム」)は、機関利用者のデータセキュリティとプライバシーの権利を重視します。本ポリシーは、お客様の個人情報をどのように収集、利用、保存、保護するかを説明します。
本プラットフォームは適切な資格を持つ機関利用者専用です。利用を開始することで、お客様は必要な資格および法的能力を有することを確認するものとします。
1. データ管理者
本プラットフォームのデータ管理者は、シンガポールに設立されたAxiom Global Holdings Limitedです。本ポリシーまたは当社のデータ取り扱いについてご質問がある場合は、本ドキュメント末尾の連絡先をご利用ください。
2. 収集する情報
アカウント登録情報:メールアドレス、表示名、会社名、国または地域、希望言語。
認証データ:パスワード(暗号化ハッシュのみ保存 — 平文は保存しません)、ワンタイムパスコード(OTP)、ログインチャレンジ認証情報、APIキーのメタデータ(キーID、ラベル、作成日、最終使用タイムスタンプ)。
APIキーデータ:プラットフォームはAPIキーを発行し、そのIDとメタデータのみを保存します。APIシークレットは発行後にプラットフォームによって平文で保存されることはありません。
利用・監査データ:リクエストログ(trace_id、タイムスタンプ、HTTPメソッドとパス、レスポンスステータスコード)、操作イベント(ログイン、APIキーの作成/失効、コネクタ状態変更)、IPアドレス、クライアントUser-Agent文字列。
通信記録:サポートチケット、メール、またはプラットフォーム内メッセージを通じてお客様から受け取った通信の記録。
3. 情報の利用方法
- アカウント管理、API認証、コネクタオーケストレーションを含むプラットフォームサービスの提供、運営、維持。
- アカウントとデータのセキュリティを保護するための本人確認、セッション管理、APIキーライフサイクル管理の実施。
- 内部の運用レビュー、規制検査、セキュリティインシデント追跡を支援するコンプライアンス監査ログの生成。
- アカウント確認メール、セキュリティアラート、サービス状態更新を含むシステム通知のSMTPによる送信。
- 製品改善、キャパシティプランニング、運用最適化のための匿名化・集計されたプラットフォーム利用傾向の分析。
- 適用法令の遵守および権限ある当局からの適法な要請への対応。
- 不正行為、悪用、セキュリティ脅威の調査、防止、対応。
4. データの共有と第三者
当社はお客様の個人情報を第三者に販売または貸与しません。以下の状況においてデータを共有する場合があります:
- インフラストラクチャプロバイダー:技術サービスの提供に必要な範囲でのアクセスに限定し、機密保持契約に拘束されたホスティング、データベース、SMTPメールプロバイダー。
- 法令遵守:裁判所命令、規制当局の適法な指令、または適用法によって要求される場合、法的要件に従い必要な情報を開示します。
- 事業取引:合併、買収、または資産売却の場合、お客様の情報は事業資産として移転される可能性があり、本ポリシーと同等のプライバシー保護の対象となります。
- セキュリティと保護:不正行為、違法行為、またはセキュリティ脅威からプラットフォーム、利用者、および公衆を保護するために、法執行機関と必要な情報を共有する場合があります。
5. セキュリティ対策
- 転送中のすべてのデータはTLS 1.2以上を使用して暗号化されます。
- パスワードは一方向ハッシュアルゴリズムを使用して保存されます。APIシークレットは発行後に平文で保存されません。
- 監査イベントには、包括的なコンプライアンス追跡を支援するtrace_id、アクター、アクションタイプ、タイムスタンプが含まれます。
- 最小権限の原則に従った厳格なロールベースのアクセス制御(RBAC)により、内部システムアクセスを制限します。
- 高リスクの管理操作には二者確認が必要です。
- 定期的なセキュリティレビュー、脆弱性評価、ディザスタリカバリ演習を実施します。
- セキュリティインシデントが発生した場合、影響を受けるユーザーに速やかに通知し、適用規制の要件に従って規制当局に報告します。
6. データ保持期間
- アカウントデータ:アカウントの有効期間中およびアカウント閉鎖後90日間、データエクスポートリクエストのサポートのために保持します。
- 監査ログ:コンプライアンスおよび規制要件を満たすため、イベント発生日から最低12ヶ月間保持します。
- 失効したAPIキーのメタデータ:セキュリティ監査目的のため、失効日から180日間保持します。
- サポートチケット:解決日から24ヶ月間保持します。
- 法的義務または正当な紛争解決の必要性がある場合、保持期間が延長される場合があります。
7. お客様の権利
適用されるデータ保護法に基づき、以下の権利を持つ場合があります(具体的な権利は管轄区域によって異なります):
- アクセス権:当社が保有するお客様に関する個人データのコピーを要求する権利。
- 訂正権:不正確または不完全な個人情報の訂正を要求する権利。
- 消去権:適用される法的保持要件に従い、個人データの削除を要求する権利。
- データポータビリティ権:機械可読形式でお客様の個人データを受け取る権利。
- 処理制限権:特定の状況において個人データの処理制限を要求する権利。
- 異議申し立て権:正当な利益を根拠とした個人データの処理に異議を申し立てる権利。
これらの権利を行使するには、サポートチケットシステムを通じてリクエストを送信してください。30営業日以内に回答いたします。
8. Cookieと追跡技術
本プラットフォームは機関向けAPIアクセスサービスであり、第三者の広告または追跡Cookieは使用しません。以下の技術を使用する場合があります:
- セッションストレージ(localStorage):シームレスな再認証を可能にするために、ブラウザに認証トークンとセッション状態を保存するために使用します。
- 機能的Cookie:言語選択などのユーザーインターフェース設定を記憶するために使用します。
これらの技術はプラットフォームの正常な機能に不可欠です。ブラウザストレージをクリアすると、アクティブなセッションが終了します。
9. 国際データ転送
本プラットフォームのインフラストラクチャは複数の管轄区域に展開される場合があります。お客様のデータが設立地(シンガポール)外に転送される場合、標準契約条項、十分性決定、またはその他の適切な法的メカニズムを通じて、適用されるデータ保護規制への準拠を確保し、元の収集地域と同等レベルの保護を提供します。
10. 未成年者の保護
本プラットフォームは資格を持つ機関利用者専用であり、18歳未満の未成年者を対象としていません。未成年者の個人情報を誤って収集したことが判明した場合、直ちに削除します。未成年者に関するデータを当社が保有している可能性があると思われる場合は、下記の連絡先を通じて直ちにご連絡ください。
11. ポリシーの変更
本プライバシーポリシーは随時更新される場合があります。重要な変更については、メールまたはプラットフォーム内の目立つ通知を通じて、少なくとも30日前に事前通知します。変更の発効後も本プラットフォームを引き続き使用することは、更新されたポリシーへの同意を意味します。定期的に本ポリシーをご確認されることをお勧めします。
12. お問い合わせ
本プライバシーポリシーに関するご質問、ご意見、またはデータ主体の権利を行使するには、以下の方法でお問い合わせください:
- メール:[email protected]
- サポートチケット:ユーザーワークスペースポータルから送信
- 郵便:Axiom Global Holdings Limited、データ保護責任者、シンガポール