数据处理协议（DPA）

本页是欧盟通用数据保护条例（GDPR）第 28(3) 条数据处理协议的面向客户的模板，依据该协议，Statnive 代表 statnive.live（SaaS）及 WordPress 插件付费 Pro 等级的客户处理个人数据。

各方

处理者：

Herr Parhum Khoshbakht
Schiffenberger Weg 1
35394 Giessen
德国

邮箱：support@statnive.com

控制者：订单表中标识的客户实体。

主题和期限

Statnive 仅根据控制者的书面指示处理个人数据，期限为基础订阅期间，加上终止后的 30 天导出期。

处理的性质和目的

隐私优先的网站分析：无 Cookie 访问归因、渠道分组、流量质量评分以及（在启用时）WooCommerce 或商务收益归因。

数据主体类别

控制者网站资产的访客。

个人数据类别

• 哈希后的访客标识符（轮换 salt 的 SHA-256，不存储原始 IP）。
• HTTP 请求元数据（路径、referrer、UTM 参数）。
• 粗粒度地理国家和地区（无城市，无邮编）。
• 设备和浏览器分类（无指纹）。

次级处理者

当前次级处理者列表发布在隐私政策页面，并在任何上游变更后 7 天内更新。任何新次级处理者在处理客户数据之前，客户将通过电子邮件提前 30 天收到通知。

处理地点

仅限欧盟/欧洲经济区。托管于德国纽伦堡的 Netcup VPS。自托管部署在客户选择部署二进制文件的任何地方处理；在这种情况下，Statnive 不是客户数据的处理者。

技术和组织措施（TOMs）

• 无 Cookie tracker。无 localStorage、sessionStorage 或指纹识别。
• 每日轮换 salt；原始 IP 从不存储。
• 每条安全路径中均使用 SHA-256 或更强算法。无 SHA-1，无 MD5。
• Tracker 载荷在服务器端通过主机名白名单（每站点密钥校验）验证。
• 静态加密（全盘 LUKS）和传输加密（TLS 1.2+）。
• 备份已加密并存储于欧盟/欧洲经济区内。
• 访问严格遵循需要知情原则；记录审计日志。

数据主体权利

Statnive 提供控制者可直接调用的导出和擦除工具，并对需要人工处理的任何权利请求提供工程支持，无需额外费用。

审计权

控制者可每年提前 30 天通知一次审计 Statnive 的合规情况；安全问卷和渗透测试摘要可应请求提供，无需额外审计。

如何签署

请发送邮件至 support@statnive.com，附上您的法律实体名称和联系方式。我们将在五个工作日内会签。