隐私政策
最后更新: 2026年4月8日 · 版本 1.1
1. 我们是谁
Vale Park("Vale"、"我们")是一个B2B智能停车管理平台。我们为企业("客户")及其客户("最终用户")提供停车位管理、预订和物联网门禁控制服务。本隐私政策应与我们的 服务条款.
运营商: Dev24, eenmanszaak(个人独资企业)
KVK: 85182427
地址: Pepermuntstraat 12, 3544CC Utrecht, 荷兰
电子邮件: privacy@valepark.org
根据GDPR第37条,我们已确定不需要数据保护官。如有隐私问题,请联系 privacy@valepark.org.
当客户使用我们的平台为其客户管理停车时,我们作为 数据处理者 代表客户(数据控制者)行事。 当我们管理平台和处理支付时,我们作为 数据控制者.
2. 我们收集的数据
注册用户账户
由客户管理员创建:
- 电子邮件地址、全名、电话号码(可选)
- 密码(bcrypt哈希,从不以明文存储)
- 语言偏好、位置(可选)、通知偏好
预订
- 客户姓名、电子邮件、电话(可选)
- 车牌号(可选)、预订时间和地点
访客预订(通过小部件)
访客姓名、电子邮件和电话在静态时加密(AES-256-GCM)。我们还收集IP地址、浏览器用户代理和GDPR同意记录。
支付数据
我们不存储卡号或CVV。所有支付处理由Stripe完成(PCI DSS一级)。我们仅存储Stripe客户ID、支付意向ID和交易金额。
Cookies
我们仅使用严格必要的身份验证cookies(访问令牌:45分钟,刷新令牌:7天或选择"记住我"时180天)。无分析或跟踪cookies。
3. 我们如何使用您的数据
我们仅为以下目的处理数据:服务交付、交易通信、安全、法律合规(荷兰税法)和匿名分析。
我们不出售数据,不将其用于广告,也不进行自动化决策(GDPR第22条)。
4. 我们与谁共享数据
| 服务 | 目的 | 位置 |
|---|---|---|
| MongoDB Atlas | 数据库托管 | 可配置(欧盟可用) |
| Stripe | 支付 | 欧盟/美国(DPF认证) |
| Resend | 电子邮件递送 | 美国 |
| Railway | 应用托管 | 美国 |
| Google Maps | 地址自动完成 | 美国(DPF认证) |
对于欧盟至美国的传输,我们依赖欧盟-美国数据隐私框架和标准合同条款。已对每个欧盟/欧洲经济区以外的子处理者进行了传输影响评估。
5. 数据保留
| 数据 | 保留期 |
|---|---|
| 用户账户 | 直到删除请求或24个月不活跃 |
| 访客预订 | 365天(自动删除) |
| 登录尝试 | 90天 |
| 财务记录 | 7年(荷兰税法,AWR) |
6. 您的权利
注册用户
在个人资料 > 数据与隐私部分:
- 访问权(第15条) — 以JSON格式导出所有数据
- 删除权(第17条) — 匿名化您的数据(取消活跃预订,保留匿名财务记录7年)
- 更正权(第16条) — 随时更新您的个人资料
- 数据可携带权(第20条) — JSON导出格式
- 限制/反对权(第18/21条) — 发送邮件至privacy@valepark.org
访客用户
通过提供您的电子邮件和预订参考号,通过小部件或直接联系客户来请求您的数据或删除。
投诉
我们的主要监管机构是 Autoriteit Persoonsgegevens (荷兰数据保护局)。您也可以向您所在欧盟/欧洲经济区国家的监管机构投诉。
7. 安全
传输中TLS加密,静态AES-256加密(Atlas),访客个人信息应用层AES-256-GCM加密,bcrypt密码哈希,基于角色的访问控制,速率限制,webhook签名验证,生产环境中的错误响应清理。
8. 变更
影响您权利的重大变更将在适用时要求更新同意。我们将通过电子邮件或仪表板通知。
9. 联系方式
我们在30天内回应数据主体请求(GDPR第12条第3款)。