Contact Us

隐私保护 ELPIS如何保障您的信息安全

ELPIS 对于客户的(和我们自己的)隐私有着极端严格的保护措施。

首先,在服务过程中 ELPIS 不接触、不搜集任何关于“考生身份”的信息。包括且不限于身份证件、ETS(或其他机构)考试报名信息、报名账号信息、高校申请信息等敏感信息源。

在服务进行阶段,ELPIS 暂存的信息有且只有:客户联系方式(微信/Telegram/Whatsapp/Signal,等)与客户联络/沟通的记录。

其次,在网络传输方面,ELPIS的骨干服务器部署于瑞典。无论客户采用ELPIS提供的任何方式进行操作,客户终端与ELPIS骨干服务器间发生的任何数据交换皆受到欧盟《通用数据保护条例》(又称“GDPR”)【1】的庇护:任何个人、企业、组织、政府皆在法律层面上被禁止获取通信双方的数据。

而瑞典作为世界上最重视个人隐私的国家之一,在GDPR的基础上又提供了额外一层保护:瑞典另设《Data Protection Act (2018:218)》【2】与《Data Protection Ordinance (2018:219)》【3】法案,作为 GDPR 的补充实施法。这意味着,任何对发送至瑞典的数据包的截留行为在法律意义上被完全禁止。即便客户和我们共同处于仅理论上存在的最恶劣的情况,也可以确保客户和我们自己的匿名性。

同时,ELPIS不止依靠欧盟法律保护客户和自己的隐私。得益于ELPIS强大的基础建设,我们利用多跳板组网的Tor方法【4】,保证数据包在互联网中经过公共路由器时也依旧保持全程匿名和强加密。所以哪怕是在最极端的情况下:比如您本机的inbound/outbound流量全程被监听、或者您使用的路由器被第三方入侵、或者计算机在没有TPM芯片的情况下发生的密钥泄露,等等。即使客户与ELPIS之间的通信被截获,被截获的数据也是经过AES-256【5】加密后的密文。如此一来,通讯数据均无法被任何组织、机构、商业公司、政府部门所破译。

最后,在服务结束后,ELPIS 会将暂存的客户联系方式(微信/Telegram/Whatsapp,等)与客户联络/聊天的记录,以及可能残存的任何信息,完全抹除。在客户终端,会执行shred命令【6】对数据进行1次零复写接5次随机数复写,以确保数据完全不可被恢复。在ELPIS的终端,我们使用 Tails【7】作为暂存信息的操作系统,关机即销毁全部数据。在每次操作考试的时候,ELPIS都会为每个操作员分配一个临时的Tails系统,使用过后随即销毁系统、回收资源。

全链路保障敏感信息不落地、不驻留、不泄露。

了解更多

更多关于 ELPIS 基础建设、Tor网络、信息加密以及 Tails 操作系统的资讯请参考这篇文章《ELPIS的基础建设》

Hold on a second...

在如此严格的隐私保护和删除机制下,客户的一切信息包括联系方式都被抹除,ELPIS如何提供质保呢?

在服务结束后,ELPIS 会提供给客户一个 UUID,即唯一识别码。在 ELPIS 的数据库中,UUID 仅与日期结对存储。即通过查阅数据库,我们仅会得知“在20XX年X月X日进行过一场 UUID 为XXXX的考试”。无论需要质保的客户通过何种方式(小红书/Telegram/Signal/微信)联系到任何一位工作人员,只要客户可以出具有效的 UUID,我们即可提供售后服务。

如果…

  • 客户不慎丢失UUID,ELPIS将不能为您提供任何信息或任何售后服务;
  • 客户不慎泄露UUID给他人,则任何持有者都可冒用该身份;

 

除了UUID,ELPIS没有任何其他手段核实客户的真实性!所以,是客户的责任保证

  • UUID不遗失
  • UUID不泄漏

服务结束后,雁过无痕叶落无声。

但如果有天您需要ELPIS,一只穿云箭,千军万马来相见。

References

  1. European Union. (2016). Regulation (EU) 2016/679 of the European Parliament and of the Council (General Data Protection Regulation – GDPR). Official Journal of the European Union. Retrieved from https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng
  2. Government of Sweden. (2018). Act containing supplementary provisions to the EU General Data Protection Regulation (SFS 2018:218) [PDF]. Ministry of Justice. Retrieved from https://www.government.se/contentassets/467ef1335aac404c8840c29f9d02305a/act-containing-supplementary-provisions-to-the-eu-general-data-protection-regulation-sfs-2018218/
  3. Government of Sweden. (2018). Data Protection Ordinance (SFS 2018:219) [PDF]. Retrieved from https://www.staff.lu.se/support-and-tools/legal-records-management-and-data-protection/personal-data-and-data-protection-gdpr/general-information-and-support/laws-and-regulations/data-protection-ordinance-2018-219/pdf
  4. Tor Project. (n.d.). Overview. Retrieved from https://www.torproject.org/about/overview.html.en
  5. National Institute of Standards and Technology. (2001 / updated). FIPS 197: Advanced Encryption Standard (AES). U.S. Department of Commerce. Retrieved from https://nvlpubs.nist.gov/nistpubs/fips/nist.fips.197.pdf
  6. Free Software Foundation. (n.d.). shred: Remove files more securely. In GNU Coreutils Manual. Retrieved from https://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html
  7. The Tails Project. (n.d.). Tails OS. Retrieved from https://tails.net/