Todoist安全、隐私和合规


在这篇文章中,我们会回答您关于我们如何处理您个人信息、采用的安全措施以及对GDPR等全球性法规合规措施等相关的全部信息。

快速提示

请查看我们完整的隐私保护政策安全政策,它们会更加详细地描述我们用于保护您信息的措施。

安全

安全是指我们用于保护您的数据避免被未授权访问、泄漏和其他威胁的措施和协议。它涵盖了我们采用的技术和流程安全保障,以确保您的数据始终保持保密、完整和有效。

我们只允许我们中的一小部分员工访问个人数据并且他们的访问将完全出于改善Todoist和Twist的需要。

我们会经常测试、访问和评估我们流程和技术的有效性。

我们使用数据加密来保护数据。

当用户数据存储在服务器和数据库中时,Doist会使用AES-256位算法进行加密。当数据被发送或接收时,它们会由TLS 1.1或更高版本进行加密。所有在我们服务器上的数据备份将会由AES-256位算法加密并且使用RSA签署2048位长度的密匙。

另外,Todoist会在应用内为专业版和商务版的用户创建每日自动备份。我们采取了必要的保护措施来保证这些备份由安全系统妥善保管并防止未授权的访问。

因为GDPR有不同的要求,所以我们需要参照的标准将取决于具体的详细情况。如果您有特殊的问题或需求,请联系我们

当在默认个人工作空间下使用个人方案的Todoist时,Doist会被当作是一个数据处理站,这意味着Doist会掌控您用户数据的处理并且会负责按照GDPR来处理数据。当使用我们的服务时,您授予Doist和授权用户共享我们应用中的您内容的有限权利。

通过与其他Todoist用户(包括团队工作空间和个人工作空间中的共享项目)共享您的内容,您授予其他每一个用户通过我们的服务访问、使用、复制、分配、展示、编辑、运行等与您内容交互的有限权利。当您创建或加入一个团队工作空间(在这种情况下被视为具有组织性质)时,您同意遵守适用组织的政策和您与该组织之间的任何协议。这意味着该组织是对应工作空间中所有用户内容的所有者。在组织性质的工作空间中,所有用户内容都可以与该组织共享并且可以被该组织修改、删除或访问。组织可以随时终止您对于该工作空间的访问权限,所以您可能无法访问其中的内容。通过将任何内容转移到组织性质的工作空间,您授予该组织对您用户内容的广泛权利。

我们通过API提供完整的数据访问权限,它可以让您获取所有您提供给我们的和/或传输给其他控制器的个人数据。您可以在此找到Twist和Todoist的API:

https://developer.todoist.com/sync/v7/#getting-started

https://developer.twistapp.com/v2/

请注意,您将无法通过我们的API查看您的账单和关联应用信息。如果您想要获取这方面的数据或者需要帮忙导出您的数据,请联系我们

用户内容,比如任务和评论,被保存在我们的数据库中,它们不会被网络流量的管控影响并且在公司内部有着严格的访问权限政策。

我们对数据内容的访问会进行审核,要求多重验证,并且访问仅限于有效的商业目标。换而言之,内部员工没有任何机会在其他人不知道的情况下访问它。需要访问用户内容的情况是极少的。

是的,一段时间后。在实际删除任务前,系统先会将记录标记为删除。软删除会确保内容无法被客户端应用访问。硬删除将会在稍后进行,在时间上有一定延迟。系统行为支持我们的多设备同步机制。被标记为删除的记录将帮助同步算法解决数据状态冲突。

用户内容也会保存在数据库备份中。它们因为业务连续性存在,以防我们可能会出现数据丢失的灾难性情况、长时间的数据失效或者数据出错。所有的静态数据,包括备份,会保持加密状态。至今为止,我们还没有需要使用数据库备份的情况。

数据库备份不允许访问每个用户的数据。相反,我们可以将它恢复为实时数据库,此时它需要按照日常数据访问政策来进行访问。备份会自动覆盖并将不会持续超过94天。

隐私

隐私是指我们如何收集、使用、共享和管理您的个人数据,包括确保您的个人信息按照符合您的权益和预期的方式被使用。

我们收集您的数据是为了给您提供必要的服务以及改善Twist和Todoist。

当您注册Todoist和/或Twist时,您自愿给我们的像是您的姓名和电子邮箱账号等信息。您可以随时在您的个人账户设置中访问和更新这些信息。

另外,当您使用我们的服务时,您同意我们使用您的以下信息:

  • 电子邮箱账号
  • IP地址
  • 设备ID
  • 名字和姓氏(可选,未处理)
  • 工作(可选,未处理)
  • 电话号码(可选,未处理)
  • 增值税号码(可选)
  • 发票地址(专业版和商务版账户)

想要导出您的个人数据,请联系我们

我们通过API提供完整的数据访问权限,它可以让您获取所有您提供给我们的和/或传输给其他控制器的个人数据。您可以在此找到Twist和Todoist的API:

请注意,您将无法通过我们的API查看您的账单和关联应用信息。如果您想要获取这方面的数据,请联系我们

不,我们从不贩卖数据。

一旦您删除您的账户,您所有的个人数据都将会从我们的产品系统中被移除。只有一份经过加密的数据将会在我们的备份中被保留90天作为存档记录。在这段时间之后,所有与您的账户有关的数据都将被永久性地删除。请注意我们将不会提供备份存档中的加密数据。

我们使用cookies来收集您的浏览数据并且用于区分您和其他Todoist用户。这将会提升您使用我们的应用时的体验以及允许我们改进应用的功能。

我们会使用以下cookies:

  • 极其必要cookies:用于您的登录功能、用户认证和安全;
  • 功能性cookies:用于当您返回我们的网站时识别您并为您个性化我们的内容,使用您的名字问候您并记住您的喜好;
  • 分析和市场cookies:用于帮助我们了解用户如何使用我们的产品。我们会使用一系列的第三方cookies:Google Analytics(分析网站流量和用户行为)、Datadog(监控网络性能和用户体验)、 Stripe(处理付款和价格/升级页面)、Zendesk(加载图片和提供支持或者帮助中心)、YouTube(展示帮助中心页面的视频)、Cloudinary(加载和优化图片)。

我们会使用遵守GDPR的第三方服务和托管合作伙伴,例如Stripe、AWS和Google Workspace。在需要发送和接收第三方数据的情况下,我们会实施必要的保护措施来确保我们遵守了GDPR的规定。请查看Todoist以及Twist的安全和隐私保护政策来了解更多信息。

当需要时,我们使用以下遵守GDPR的第三方服务:

  • 亚马逊网页服务
  • ChartMogul
  • CloudBees Rollout
  • Datadog
  • Dosu
  • Meta (Facebook)
  • Firebase
  • 谷歌分析
  • MailChimp
  • Mailgun
  • Microsoft Azure
  • Microsoft Visual Studio App Center
  • PartnerStack
  • ProfitWell
  • Qualaroo
  • RequestMetrics
  • SendGrid
  • Sentry
  • Stripe
  • Zendesk

是的,我们有在美国北弗吉尼亚使用亚马逊网络服务(AWS)。我们仅收集尽可能少的数据,并且我们所有的数据都会使用AES-256位算法进行加密。

合规

合规是指我们遵守法律、法规和规章来管理我们处理您数据的方式。它可以确保我们的实践与法律和监管要求是一致的,以便保护您作为用户的权益。合规能证明我们遵守了这些规则并且可以持续维护它们。

GDPR

在Doist,我们已经从2018年5月25日起执行这个条例。欧盟数据保护条例(GDPR)旨在通过规范数据的收集通道、处理方法和储存方式来帮助欧盟的公民和居民们保护他们的数据。

如果是从我们终端提供的就可以。当然,如果您的客户是在一个适用GDPR的地区,他们需要确保他们自己的商业运营遵守GDPR的规定。

是的,我们会提供一个以Doist名义预先签发的DPA。您需要在此填写您的详细信息并且在上面签名来完成它。

SOC 2和HIPAA

目前,我们还没有获得SOC2或者HIPAA认证,但是我们愿意了解更多关于您和您的团队使用Todoist所需要的任何合规认证。请告诉我们

请联系我们

您还有任何未被解答的问题吗?请联系我们。我们,Pierre、Marco、Summer以及其他14个团队成员,期待为您提供帮助!