隐私政策

1 我们收集的信息

我们根据您与平台的互动方式收集不同类型的信息：

2 我们如何使用您的信息

3 支付数据与Stripe Connect

所有支付处理由Stripe, Inc.通过Stripe Connect完成。当您购买门票时，您的支付信息（卡号、有效期、CVV）直接输入Stripe的安全支付表单——这些数据绝不会触及我们的服务器。我们仅接收交易确认、卡片后4位数字和卡片品牌作为预订记录。组织者直接从Stripe接收到其关联银行账户的付款。有关Stripe的隐私惯例，请访问stripe.com/privacy。

4 社交登录（Google、Facebook、LinkedIn）

您可以使用Google、Facebook或LinkedIn创建账户或登录。当您这样做时，我们通过OAuth 2.0从提供商处获取您的姓名、电子邮件地址和头像。我们仅将此数据用于创建或验证您的EventMann账户。我们不会以您的名义发帖、访问您的联系人或读取您的社交媒体活动。您可以随时在个人资料设置中断开社交登录，并继续使用电子邮件/密码登录。

5 信息共享与第三方

我们仅在平台运作所需时共享您的个人数据：

• 活动组织者：当您预订门票时，组织者会收到您的姓名、电子邮件和结账问题的回答，以便管理活动并与参与者沟通
• Stripe（支付处理商）：安全处理所有支付。Stripe获得PCI-DSS一级认证——最高级别的支付安全标准。
• 基础设施提供商：我们的服务器托管在欧盟境内。我们使用已签订数据处理协议的行业标准云基础设施。
• 分析服务：我们使用匿名化分析来了解平台的使用情况。不会与分析提供商共享任何个人身份信息。
• 法律要求：当法律、法院命令要求时，或为保护EventMann、用户或公众的权利、财产或安全时，我们可能会披露数据。

6 数据存储与托管

您的数据存储在位于欧盟（德国）的服务器上。我们使用具有加密连接的PostgreSQL数据库和用于会话管理的Redis。文件上传（活动图片、收据）存储在具有访问控制的私有对象存储中。您的浏览器和我们服务器之间的所有数据传输均通过TLS 1.3加密。备份经过加密并保留用于灾难恢复。

7 数据安全

我们实施全面的安全措施，包括：传输中加密（TLS 1.3）和静态敏感数据加密；安全密码哈希（bcrypt）；具有精细权限的基于角色的访问控制；认证端点的速率限制和暴力破解保护；管理功能的基于IP的访问限制；定期安全审计和依赖项更新；可疑活动的自动监控和警报。虽然我们努力保护您的数据，但没有任何系统是100%安全的。我们建议您使用强大且唯一的密码并在账户上启用双因素认证。

8 数据保留

我们仅在本政策所述目的所需的时间内保留您的个人数据。账户数据在账户活跃期间保留。预订记录保留7年，用于税务和法律合规（根据德国商法第257条HGB的要求）。如果您删除账户，我们将在30天内删除您的个人数据，除非法律要求保留。匿名化的分析数据可能会无限期保留，因为它无法关联到您个人。

9 您在GDPR下的权利

作为欧洲经济区的数据主体，您享有以下权利：

要行使这些权利，请联系我们。我们将在30天内回复。您还有权向当地数据保护机构提出投诉。

10 Cookie与跟踪

我们使用必要Cookie进行会话管理、身份验证和CSRF保护——这些是平台运行所必需的。我们还使用偏好Cookie来记住您的语言和主题设置。分析Cookie帮助我们了解平台的使用情况（匿名化，无个人数据）。我们不使用广告或跟踪Cookie。您可以随时通过页脚的Cookie设置链接管理Cookie偏好。详情请参阅我们的Cookie政策。

11 儿童隐私

EventMann不面向16岁以下的儿童。我们不会故意收集16岁以下儿童的个人数据。如果我们发现在未经父母同意的情况下收集了16岁以下儿童的数据，我们将立即删除。如果您认为儿童向我们提供了个人数据，请联系我们。

12 本政策的变更

我们可能会不时更新本隐私政策，以反映我们实践、技术或法律要求的变化。重大变更将通过电子邮件或在平台上发布醒目通知来告知您。本页顶部的"最后更新"日期表示政策最近一次修订的时间。变更后继续使用EventMann即表示接受更新后的政策。

13 联系我们