数据处理附录 | inscinstech.ai

1. 当事方与角色

控制者：签订 MSA 的客户实体。

处理者：inscinstech.ai（由 Inscinstech 运营）。

在适用法律要求下，处理者代表控制者作为数据处理方行事。

主题：按 MSA 提供 inscinstech.ai 服务。

期限：MSA 有效期 + 隐私政策中规定的留存期。

数据类别：客户账户数据 · 客户上传数据 · Agent 输入输出 · 遥测。

数据主体类别：客户员工 · 承包商 · 终端用户。

按 /security 描述的技术与组织措施 —— 静态 AES-256 · 传输 TLS 1.3 · 按租户隔离 · 审计日志 · 定期渗透测试。

Enterprise 客户可启用按租户 KMS 密钥与私有部署。

已批准次级处理方清单见 /security#subprocessors。每个都与我们签有 DPA。

新增次级处理方至少提前 30 天通知控制者 · 控制者可在该期间内书面终止相关服务。

EU → 非 EU：按已签 DPA 附录的 SCCs（模块 2：控制者到处理者）。

CN → 境外：按 PIPL 传输机制（标准合同或认证，客户选择）。

我们协助控制者在 GDPR / PIPL / CCPA 规定的时限内响应访问、更正、删除、可携带、反对等请求。

影响控制者数据的任何个人数据泄露事件，我们不无端延迟地通知（目标：知悉后 72 小时内）。

Enterprise 客户每年可申请一份 SOC 2 报告（待 SOC 2 完成）或渗透测试结果的书面摘要。合理通知后可进行现场审计 · 费用由客户承担。

终止后控制者有 30 天导出数据（Enterprise 90 天）· 之后处理者在额外 30 天内删除控制者数据（法律要求保留的除外）。