隐私政策

1.1 数据控制者： 负责您个人数据的数据控制者是Viversio Portal，在阿拉伯联合酋长国迪拜经济与旅游部（DET）颁发的E-Trader许可证第1543186号下运营。

1.2 范围： 本隐私政策适用于HotelCuration.com网站（"平台"）和服务的所有用户，无论其位置如何。我们致力于根据适用的全球数据保护法律保护您的隐私，包括阿联酋个人数据保护法（2021年第45号联邦法令法）、欧盟/欧洲经济区用户的通用数据保护条例（GDPR）以及美国居民的加利福尼亚消费者隐私法（CCPA/CPRA）。

1.3 联系： 如果您对此政策或您的数据权利有任何疑问，请联系我们的数据隐私官（DPO）： privacy@hotelcuration.com.

我们收集和处理以下类别的个人数据：

• 身份数据： 名字、姓氏、出生日期、性别和头衔。
• 联系数据： 电子邮件地址、电话号码、账单地址和居住地址。
• 预订数据： 预订详情、旅行日期、酒店偏好、特殊要求（例如，饮食需求、无障碍设施）以及陪同客人的姓名。
• 支付数据： 支付方式详情（信用卡/借记卡类型、最后4位数字、到期日期）。 注意：我们不存储完整的信用卡号或CVV代码。所有支付数据都由Stripe进行标记化并安全处理。
• 账户数据： 用户名、密码（加密/哈希）、账户设置和预订历史。
• 技术数据： 互联网协议（IP）地址、登录数据、浏览器类型和版本、时区设置、操作系统、设备类型和唯一设备标识符。
• 使用数据： 关于您如何使用我们平台的信息，包括访问的页面、搜索查询、点击模式、在页面上花费的时间以及导航路径。
• 通信数据： 您通过电子邮件、聊天记录或客户服务咨询与我们通信的记录。
• Cookie和跟踪数据： 通过cookie、像素和类似技术收集的数据（见第12节）。
• 地理位置数据： 基于IP地址的大致位置，或如果您在设备上启用位置服务，则为精确位置。

为了提供我们的服务，我们使用强大的技术栈。我们对可能代表我们处理数据的第三方服务提供商保持透明。每个提供商都有合同义务保护您的数据。

3.1 基础设施和安全

• Cloudflare： 用于内容交付（CDN）、DDoS保护和网络安全。收集IP地址和系统配置信息以保护平台。
  隐私政策： https://www.cloudflare.com/privacypolicy/
• Vercel： 提供我们的网络托管基础设施。处理服务器日志和性能指标。
  隐私政策： https://vercel.com/legal/privacy-policy
• Square Domains： 提供域名注册服务。处理最少的DNS解析技术数据。
  隐私政策： https://squareup.com/us/en/legal/general/privacy

3.2 酒店库存和预订

• LiteAPI（Nuitée Travel Limited）： 我们酒店库存的主要技术合作伙伴。我们与LiteAPI共享您的预订数据（姓名、日期、偏好），以促进您在酒店的预订。
  隐私政策： https://www.liteapi.travel/privacy/

3.3 支付处理

• Stripe： 我们的安全支付处理器。Stripe直接收集和处理支付数据。我们只收到确认令牌，无法访问您的完整卡片详情。Stripe符合PCI-DSS Level 1标准。
  隐私政策： https://stripe.com/privacy

3.4 分析和数据库

• Google Analytics： 用于分析网站流量和用户行为。收集使用数据并使用cookie。您可以通过浏览器设置选择退出。
  隐私政策： https://policies.google.com/privacy
• Firestore（Google Firebase）： 我们的云数据库，用于安全存储用户账户数据和预订记录。
  隐私政策： https://cloud.google.com/terms/cloud-privacy-notice

3.5 通信

• Resend： 用于发送预订确认、密码重置和重要账户通知的事务性电子邮件服务。处理您的电子邮件地址和消息内容。
  隐私政策： https://resend.com/legal/privacy-policy

我们仅在根据GDPR、UAE PDPL和其他适用法律具有有效法律依据时处理您的个人数据：

4.1 合同履行

我们使用您的身份、联系、预订和支付数据来：

• 处理和确认您的酒店预订。
• 处理付款和退款。
• 向您发送预订确认、优惠券和旅行更新。
• 提供与您预订相关的客户支持。

4.2 合法利益

我们使用技术、使用和账户数据来：

• 防止欺诈、安全漏洞和滥用我们的平台。
• 分析和改进我们的网站性能和用户体验。
• 个性化您的搜索结果和推荐。
• 管理我们的业务运营（故障排除、数据分析、测试）。

4.3 法律合规

我们可能处理和保留数据以：

• 遵守税务、会计和财务报告义务。
• 遵守反洗钱（AML）和了解您的客户（KYC）法律。
• 响应执法或监管机构的有效法律请求。

4.4 同意

在您明确同意的情况下，我们可能使用您的数据来：

• 向您发送营销新闻通讯和促销优惠。
• 在您的设备上放置非必要的cookie。

我们严格限制谁可以访问您的数据。您的个人数据可能与以下对象共享：

• 住宿提供商： 您预订的特定酒店会收到您的客人详情（姓名、日期、特殊要求）以完成预订。
• 服务提供商： 我们在第3节中列出的技术合作伙伴（LiteAPI、Stripe、Resend、Cloudflare、Vercel、Google），他们代表我们处理数据。
• 专业顾问： 向我们提供专业服务的律师、审计师、会计师和保险公司，在保密义务下。
• 法律机构： 法院、执法部门或政府机构，如果我们法律上被要求披露信息或保护我们的权利。
• 业务转让： 在合并、收购或资产出售的情况下，用户数据可能被转让给收购实体。

6.1 全球处理： 作为国际旅行平台，您的数据可能被传输到您居住国以外的国家并在那里处理。具体而言，您的数据在阿拉伯联合酋长国（我们的总部）、美国（我们的技术提供商）以及您预订酒店所在的国家进行处理。

6.2 传输机制： 我们确保国际传输的适当保障措施，符合GDPR第44-50条和UAE PDPL：

• 欧盟/欧洲经济区用户：传输到阿联酋和美国受到标准合同条款（SCC）的保护，或在适用的情况下依赖充分性决定。: 欧盟/欧洲经济区用户：传输到阿联酋和美国受到标准合同条款（SCC）的保护，或在适用的情况下依赖充分性决定。
• 美国提供商：我们位于美国的提供商（Stripe、Google、Vercel）参与数据隐私框架或使用SCC。: 美国提供商：我们位于美国的提供商（Stripe、Google、Vercel）参与数据隐私框架或使用SCC。
• 酒店传输：传输到酒店对于履行您与住宿提供商之间的合同是必要的（根据GDPR第49条的减损）。: 酒店传输：传输到酒店对于履行您与住宿提供商之间的合同是必要的（根据GDPR第49条的减损）。

我们仅在实现收集数据目的所需的时间内保留您的个人数据：

• 预订记录： 交易后保留7年，以遵守税务、会计和法律责任期限。
• 账户数据： 只要您的账户处于活动状态就保留。如果3年不活动，我们可能会删除或匿名化您的账户数据。
• 营销数据： 保留直到您撤回同意（取消订阅）。
• 技术日志/分析： 保留26个月（Google Analytics默认保留期）。
• 支付数据： 我们不存储完整的卡片数据。交易令牌由Stripe根据其保留政策保留。

根据您的位置，您对个人数据拥有特定权利：

8.1 GDPR权利（欧盟/欧洲经济区用户）

• 访问权：请求我们持有的关于您的个人数据副本。: 访问权：请求我们持有的关于您的个人数据副本。
• 更正权：更正不准确或不完整的数据。: 更正权：更正不准确或不完整的数据。
• 删除权（"被遗忘权"）：在没有保留法律依据的情况下请求删除您的数据。: 删除权（"被遗忘权"）：在没有保留法律依据的情况下请求删除您的数据。
• 限制处理权：在特定情况下暂停处理您的数据。: 限制处理权：在特定情况下暂停处理您的数据。
• 数据可携权：以结构化、机器可读的格式接收您的数据。: 数据可携权：以结构化、机器可读的格式接收您的数据。
• 反对权：反对基于合法利益或直接营销的处理。: 反对权：反对基于合法利益或直接营销的处理。
• 撤回同意权：随时撤回基于同意的处理的同意。: 撤回同意权：随时撤回基于同意的处理的同意。

8.2 CCPA/CPRA权利（加利福尼亚居民）

• 知情权：请求披露收集的个人信息类别和具体部分。: 知情权：请求披露收集的个人信息类别和具体部分。
• 删除权：请求删除您的个人信息。: 删除权：请求删除您的个人信息。
• 更正权：请求更正不准确的个人信息。: 更正权：请求更正不准确的个人信息。
• 选择退出权：选择退出个人信息的"销售"或"分享"（见第9节）。: 选择退出权：选择退出个人信息的"销售"或"分享"（见第9节）。
• 限制使用敏感信息的权利：限制使用敏感个人信息。: 限制使用敏感信息的权利：限制使用敏感个人信息。
• 非歧视：我们不会因您行使隐私权而歧视您。: 非歧视：我们不会因您行使隐私权而歧视您。

8.3 UAE PDPL权利

• 访问权：获取有关处理和访问您数据的信息。: 访问权：获取有关处理和访问您数据的信息。
• 更正/删除权：请求更正或删除数据。: 更正/删除权：请求更正或删除数据。
• 限制/反对权：限制或反对处理。: 限制/反对权：限制或反对处理。
• 投诉权：向阿联酋数据办公室提出投诉。: 投诉权：向阿联酋数据办公室提出投诉。

行使您的权利： 请通过电子邮件联系我们 privacy@hotelcuration.com. 我们将在30天内回复。

9.1 不出售数据： Viversio Portal不会以货币价值出售您的个人信息。

9.2 用于广告的分享： 根据加利福尼亚法律，"分享"可能包括与第三方（如Google Analytics）分享数据以进行跨上下文行为广告。我们可能为此目的分享技术数据。您有权选择退出。

9.3 全球隐私控制（GPC）： 我们的平台旨在识别和尊重来自您浏览器的全球隐私控制（GPC）信号，自动让您退出此类分享。

我们的平台不适用于18岁以下的个人。我们不会故意收集儿童的个人数据。如果我们发现我们无意中从未成年人那里收集了数据，我们将立即删除。如果您是父母或监护人，并认为您的孩子向我们提供了个人数据，请联系我们 privacy@hotelcuration.com.

我们实施强大的技术和组织措施来保护您的数据：

• 加密： 传输中的所有数据都使用TLS/SSL协议加密。我们数据库（Firestore）中静态的数据也已加密。
• 访问控制： 对个人数据的访问仅限于有业务需要知道的授权人员，通过强身份验证强制执行。
• 支付安全： 我们使用Stripe进行支付处理，它被认证为PCI-DSS Level 1服务提供商。我们从不存储原始信用卡数据。
• 网络安全： Cloudflare提供DDoS保护和Web应用程序防火墙（WAF）服务，以防御网络威胁。
• 审计： 我们定期对我们的基础设施进行安全评估。
• 违规通知： 在发生数据泄露的情况下，我们有一个事件响应计划，在法律要求的时间范围内（例如，根据GDPR为72小时）通知受影响的用户和监管机构。

我们使用cookie和类似的跟踪技术来跟踪我们服务上的活动并保存某些信息。

• 必要的Cookie： 网站运行所必需的（例如，会话管理、安全）。无法关闭。
• 功能性Cookie： 启用增强的功能和个性化（例如，记住您的货币偏好）。
• 分析Cookie： 帮助我们了解访问者如何与网站互动（Google Analytics）。
• 广告Cookie： 用于提供相关广告并跟踪广告效果。

您可以通过浏览器设置或我们的Cookie同意管理器管理您的cookie偏好。有关完整详细信息，请参阅我们的 Cookie政策.

13.1 选择加入： 只有在您明确选择接收的情况下，我们才会向您发送营销电子邮件（新闻通讯、优惠）。

13.2 选择退出： 您可以随时通过点击任何电子邮件底部的"取消订阅"链接或联系我们来取消订阅营销通信。

13.3 事务性电子邮件： 您不能选择退出与您预订相关的事务性电子邮件（例如，确认、取消、付款收据），因为这些对于履行我们与您的合同是必要的。

我们的平台可能包含指向第三方网站、插件和应用程序的链接（例如，酒店网站、社交媒体按钮）。点击这些链接可能允许第三方收集或分享关于您的数据。我们不控制这些第三方网站，也不对其隐私声明负责。我们鼓励您阅读您访问的每个网站的隐私政策。

我们可能会不时更新本隐私政策，以反映我们实践或法律要求的变化。我们将在本页发布新的隐私政策并更新"最后更新"日期。如果我们进行重大更改，我们将通过电子邮件或平台上的显著通知通知您。您在此类更改后继续使用平台即表示您承认并接受更新的政策。

如果您对此隐私政策或我们的数据实践有任何问题、疑虑或投诉，请联系我们：

如果您认为我们侵犯了您的权利，您有权向数据保护机构提出投诉：

• 阿联酋： 阿联酋数据办公室
• 欧盟/欧洲经济区： 数据保护机构列表
• 加利福尼亚： 加利福尼亚总检察长