隱私權政策

1.我們收集的資訊

帳戶資訊

當您建立帳戶時，我們會收集您的電子郵件地址、姓名（選填）、電話號碼（選填）以及經雜湊處理的密碼。我們絕不會儲存明文密碼。

驗證資料

• 工作階段權杖及 JWT 聲明
• WebAuthn／密碼金鑰的憑證 ID 及公開金鑰
• TOTP 密鑰（靜態加密）
• 來自已連結提供者（Google、GitHub）的 OAuth 權杖

使用資料

• IP 位址及使用者代理字串（供安全性記錄用途）
• 登入時間戳記及工作階段活動
• 裝置類型及概略位置（由 IP 位址推導）

個人資料

• 個人資料相片（儲存於我們伺服器的本機）
• 使用者偏好設定（語言、時區、通知設定）

2.我們如何使用您的資訊

• 驗證您的身分並管理您的工作階段
• 提供多重要素驗證服務
• 傳送安全性警示及驗證電子郵件
• 偵測並防止詐欺性或未經授權的存取
• 為安全性與法規遵循而維護稽核紀錄
• 依據彙總的使用模式改善我們的平台

3.資料共享

我們不會出售、出租或交易您的個人資料。我們僅在下列有限情形下共享資料：

• 服務提供者：電子郵件遞送（SMTP）、簡訊遞送（Twilio）— 僅限服務所需的最低限度資料
• OAuth 提供者：當您選擇連結 Google 或 GitHub 時，我們會依據 OAuth 2.0 協定交換權杖
• 法律要求：於法律、傳票要求時，或為保護我們的合法權利時

4.資料安全

• 對所有驗證酬載採用端對端加密
• 後量子密碼學（以 ML-KEM 進行金鑰封裝，以 ML-DSA 進行數位簽章）可防範量子運算的威脅
• 密碼以 bcrypt 並加入加鹽輪數進行雜湊處理
• 所有資料皆透過 TLS 1.3 傳輸
• JWT 權杖以具量子抗性的金鑰簽署，並於 7 天後到期
• WebAuthn 挑戰使用密碼學隨機值
• 零知識架構 — 敏感憑證絕不會以明文形式供我們的伺服器存取
• 以機器學習為基礎的異常偵測會即時辨識可疑的登入模式
• 速率限制與適應性鎖定可防範暴力破解攻擊
• 工作階段可個別或大量撤銷

5.資料保留

我們會在您的帳戶處於使用中狀態期間保留您的帳戶資料。活動紀錄最長保留 1 年。當您刪除帳戶時，所有相關資料將於 30 天內永久移除。

6.您的權利

• 存取：從您的帳戶設定以 JSON 格式匯出您的所有資料
• 更正：隨時更新您的個人資料資訊
• 刪除：刪除您的帳戶及所有相關資料
• 可攜性：下載您資料的完整副本

7.Cookie

我們僅使用單一必要 Cookie（auth_token）以維持您已驗證的工作階段。它為 httpOnly，於生產環境中設為 secure，並於 7 天後到期。我們不使用追蹤 Cookie 或第三方分析 Cookie。詳情請參閱我們的Cookie 政策。

8.本政策的變更

我們可能不時更新本隱私權政策。對於重大變更，我們將透過電子郵件或平台上的通知告知您。於變更後繼續使用我們的服務即構成接受。