隐私政策 — SMSCode

1. 我们收集的数据

当您使用 SMSCode 时，我们会收集以下类别的数据：

账户数据

邮箱地址（用于登录和通知）。
密码（以 argon2 哈希存储 — 我们绝不存储明文密码）。

交易数据

订单历史（号码租用记录、服务、国家、时间戳、状态）。
充值历史（金额、支付方式、状态）。
账户余额和交易记录。

使用数据

IP 地址和大致地理位置。
设备和浏览器信息（用户代理）。
服务器日志（请求时间戳、访问的端点）。

API 使用数据

API 请求日志（端点、时间戳、响应状态码）。
速率限制计数器。

2. 我们如何使用您的数据

服务交付 — 处理号码租用、管理余额和履行订单。
防欺诈 — 检测和防止滥用、未授权访问和违规行为。
数据分析 — 了解使用模式，以提升平台可靠性和性能。
客户支持 — 响应您的咨询，解决账户或订单问题。
通知 — 发送服务相关通知（订单更新、安全提醒）。未经您同意，我们不会发送营销邮件。

3. SMS 与虚拟号码数据

OTP 验证码为临时数据 — 接收到的 SMS 内容（OTP 验证码）会实时展示给您，在订单过期或完成后不会长期存储。
手机号码为临时号码 — 租用的号码在租用期结束后将被回收。除活跃订单外，我们不会将租用号码与您的身份关联。
无通话数据 — SMSCode 仅处理 SMS 验证；我们不处理语音通话或通话元数据。

4. 支付数据

支付由第三方网关（Duitku、Heleket）处理。我们不存储您的信用卡、银行账户或支付工具信息。
我们存储交易参考信息（支付网关 ID、金额、状态）用于对账和客服目的。
支付网关提供商有自己的隐私政策，用于管理您的支付信息。

5. 数据共享

我们仅在服务必需时共享数据：

上游 SMS 提供商 — 我们向上游提供商发送订单参数（国家、服务）以完成号码租用。我们不会向提供商分享您的个人信息。
支付处理商 — 交易数据会与支付网关共享以处理充值。
执法机构 — 如法律要求、法院命令，或为保护 SMSCode、用户或公众的权利、财产或安全，我们可能会披露数据。

我们不会向第三方出售您的个人数据。我们不会与广告商共享数据。

6. 数据保留

订单历史 — 为对账、客服和审计目的保留。
OTP/SMS 内容 — 在订单过期或完成后清除。
账户数据 — 在账户处于活跃状态期间保留。账户注销后，个人数据将在 30 天内删除（部分数据可能因法律合规需要而保留）。
服务器日志 — 出于安全和调试目的保留最多 90 天。

7. Cookie 与会话

我们使用一个 httpOnly 会话 cookie（__session）来维持您的登录会话。该 cookie 已加密，客户端脚本无法读取。
我们不使用追踪 cookie、广告 cookie 或第三方分析 cookie。
因为我们仅使用身份验证所必需的 cookie，所以无需 cookie 同意横幅。

8. 安全措施

加密会话 — 会话 cookie 使用 AES-256-GCM 加密。
密码哈希 — 密码使用 argon2 进行哈希处理，这是一种抗暴力破解的内存密集型算法。
HTTPS — 所有流量均通过 TLS 进行传输加密。
CSRF 防护 — 所有状态变更端点均受到跨站请求伪造防护。
速率限制 — API 和认证端点均有速率限制，以防止滥用。

虽然我们采用了行业标准的安全措施，但没有任何系统能做到 100% 安全。如果您发现安全漏洞，请报告至 [email protected]。

9. 您的权利

您拥有以下权利：

访问权 — 请求获取我们持有的关于您的个人数据副本。
更正权 — 请求更正不准确的个人数据。
删除权 — 请求删除您的账户及相关个人数据。
导出权 — 请求以可迁移格式获取您的数据。

如需行使上述任何权利，请通过 [email protected] 联系我们。我们将在 30 天内回复。

10. 未成年人

SMSCode 不面向 18 周岁以下人群。我们不会故意收集未成年人的个人数据。如果您认为有 18 岁以下的未成年人向我们提供了个人数据，请联系我们，我们将立即删除。

11. 政策变更

我们可能不时更新本隐私政策。重大变更将通过邮件或平台公告通知您。页面顶部的「最后更新」日期反映最近一次修订时间。

12. 联系方式

如有隐私相关问题或请求，请通过 [email protected] 联系我们。

如需常规客服支持，请通过 [email protected] 联系我们。