Connect ISP 标志
返回首页

ConnectPSP 系统开发股份有限公司隐私政策

最后更新:2026年3月

CONNECTPSP DESENVOLVEDORA DE SISTEMAS S.A.(以下简称“CONNECTPSP”或“本公司”),是一家在巴西国家税务局(CNPJ)注册的股份有限公司,注册号为54.422.446/0001-33,总部位于里约热内卢州里约热内卢市圣克里斯托区厄瓜多尔街43号3号楼1508、1509和1510室, 邮编 20.220-410,里约热内卢市,里约热内卢州(以下简称“ConnectPSP”或“公司”),高度重视并尊重其客户、用户及其他个人数据主体的隐私。 本公司对个人数据保护的承诺是其运营的核心部分,并符合信息安全最佳实践及适用法律法规。

本《隐私政策》(以下简称“本政策”)旨在以透明的方式说明,ConnectPSP如何在提供技术API服务的过程中收集、使用、存储、共享和保护个人数据,并确保其符合《个人数据保护法》及其他适用法规。

本政策适用于ConnectPSP在提供支付系统集成技术服务过程中开展的所有个人数据处理活动,涵盖与本公司API技术集成平台进行交互的企业客户及最终用户。

1. 定义 

就本《隐私政策》而言,以下术语具有如下含义:

  1. API:ConnectPSP 提供的技术接口集合,可实现其客户的数字平台与合作伙伴金融机构或支付机构之间的集成。 
  2. 客户:指聘请ConnectPSP技术服务,将其数字平台与金融机构或支付机构运营的支付基础设施进行对接的法人实体。 
  3. 用户:指进行支付或与ConnectPSP客户运营的、并已集成本公司API技术的数字平台进行交互的自然人。 
  4. 合作支付机构:经巴西中央银行授权的金融机构和/或支付机构,由客户直接签约,负责处理、结算和执行通过集成ConnectPSP技术的平台进行的金融交易。 
  5. 个人数据:根据第13.709/2018号法律(《一般数据保护法》——LGPD)的规定,指与已识别或可识别的自然人相关的任何信息。 
  6. 数据处理:根据《巴西个人数据保护法》(LGPD)的规定,指对个人数据进行的任何操作,包括收集、生成、接收、分类、使用、访问、复制、传输、处理、存储、删除或任何其他形式的数据操作。 
  7. LGPD:第13.709/2018号法律——《个人数据保护总法》,该法律规范了巴西境内个人数据的处理。

2. 关于CONNECTPSP:

ConnectPSP 是一家科技公司,致力于开发并提供技术基础设施,用于实现其客户与巴西中央银行授权的金融机构或支付机构之间的数字平台集成。该公司的业务仅专注于支付操作的技术层,不直接参与资金的托管或调拨。

ConnectPSP 提供的服务包括(但不限于):

  • 生成Pix二维码;
  • 通过API技术与支付机构及金融机构进行对接;
  • 交易的技术对账;
  • 集成方案的运行监控;
  • 支付业务的技术支持。

需要特别说明的是,根据巴西中央银行的监管规定,ConnectPSP并非金融机构或支付机构,因为它既不保管资金,也不以自身名义执行金融交易。 金融及支付服务完全由巴西中央银行正式授权的机构提供,这些机构由 ConnectPSP 的客户直接签约,并作为通过其金融基础设施进行的金融操作的直接责任方。

3. 适用性

本政策适用于所有个人数据主体,其信息由ConnectPSP在开展业务过程中进行处理。此类数据主体包括:

  • 客户;
  • 用户;
  • 访问我们网站、门户网站或其他数字服务的用户。

在使用API技术或ConnectPSP服务时,数据主体确认其个人数据将根据本政策的规定进行处理。若数据主体不同意此处所述的条款,建议您不要使用相关服务,或通过公司的官方沟通渠道联系我们以获取说明。 

ConnectPSP 作为技术服务提供商,为其企业客户运营的平台提供技术支持。因此,在这些平台上进行支付或交互的用户,也将受相应客户制定的隐私政策和使用条款的约束。 ConnectPSP 无权干预客户在其自有平台上采用的隐私保护措施,建议用户查阅相关政策,以了解这些数据控制者如何处理其数据。

4. 数据收集

ConnectPSP 会根据收集个人数据的目的,以相称且适当的方式处理个人数据,并遵守《通用数据保护法》(LGPD)第6条规定的必要性、适当性和透明度原则。根据API技术的使用方式,本公司可能会处理以下类别的个人数据:

4.1. 身份信息

此类数据可用于识别或使持有人可被识别,可能包括:全名、个人纳税人识别号(CPF)、由金融机构或支付平台分配的用户标识符以及交易标识符。这些数据对于提供技术服务以及履行ConnectPSP适用的法律和监管义务至关重要。

4.2. 支付和交易数据

这些数据是为处理和对账支付交易而生成或必需的,可能包括:Pix密钥、交易金额、操作日期和时间、交易标识符以及支付状态。 这些数据仅用于运营和技术对账目的,其处理过程严格且安全,未经授权的第三方无法擅自访问。特此重申,交易的处理和结算完全由合作支付机构负责。 

4.3. 技术及导航数据

这些数据是通过使用API技术自动生成的,可能包括:IP地址、访问日志、设备标识符以及API使用记录。此类数据仅用于ConnectPSP API技术的安全保障、运营监控及维护,不会用于用户画像或营销目的。

5. 数据收集方式 

ConnectPSP收集个人数据的方式可能因所进行操作的性质而异,但所有情况下均遵循《个人数据保护法》(LGPD)第6条规定的“目的限定”和“透明度”原则。具体方式包括:

  • 直接来自客户,具体发生在签订服务合同时,或在客户平台与本公司API技术进行技术集成时。在此情况下,客户将提供履行合同及配置服务所需的数据。
  • 当用户通过客户平台在与本公司API技术集成的平台上进行支付或交互时。在此情况下,用户的交易数据和身份识别数据可能会传输至ConnectPSP,且仅限于运营目的。
  • 通过合作伙伴机构,负责处理交易的支付机构会向ConnectPSP共享数据,用于技术对账、防范欺诈以及履行适用的法律和监管义务。
  • 当用户访问本公司的API技术时,系统会自动生成并收集某些技术数据,以确保运营安全及API技术的正常运行。

6. 数据处理的目的

ConnectPSP处理的个人数据严格用于收集时的目的,符合《巴西个人数据保护法》(LGPD)第6条第1款规定的“目的原则”。主要用途包括:

  • 技术服务内容:相关数据用于生成Pix二维码、通过API技术进行系统对接、交易对账以及对客户实施的系统对接进行运营监控。
  • 安全与防欺诈:这些数据用于识别可疑交易、监控异常活动,并保护API技术及其用户的完整性。
  • 遵守法律和监管义务:数据处理可能出于遵守适用的法律和监管要求,包括为合作支付机构提供运营支持、遵守主管当局的决定以及正常行使权利。 
  • 合同履行:数据用于收取费用、提供技术支持以及在与客户建立的法律关系范围内开展运营审计。

7. 数据处理的法律依据

根据《巴西个人数据保护法》(LGPD)第7条和第11条的规定,ConnectPSP进行的任何个人数据处理均具备适当的法律依据。适用于本公司处理活动的法律依据包括:

  • 履行合同:当处理数据对于履行客户订购的服务或开展与合同相关的准备工作所必需时。
  • 履行法律或监管义务:当数据处理对于遵守适用于ConnectPSP的法律或监管规定,以及在提供技术服务的背景下确保合作伙伴支付机构履行监管义务而言是必要的。
  • 正当利益:当数据处理对于满足ConnectPSP或第三方的正当利益所必需时,且这些利益不凌驾于数据主体的基本权利和自由之上,例如涉及API安全、防范欺诈以及改进所提供的技术服务等情况。
  • 正常行使权利,即当处理数据对于在司法、行政或仲裁程序中确认、维护或行使权利是必要的。

8. 数据保护职责与数据共享

在《巴西个人数据保护法》(LGPD)的数据保护框架下,明确控制者和处理者的角色定义,对于理解各主体在处理个人数据时的责任至关重要。 根据《巴西数据保护法》(LGPD)第5条第VI款和第VII款的规定,数据控制者是指就个人数据处理作出决策的自然人或法人;而数据处理者是指代表数据控制者进行个人数据处理的自然人或法人。

根据所进行的操作,ConnectPSP可能承担不同的角色。当公司在执行已签约的技术服务过程中,代表其客户处理用户个人数据时,公司将作为数据处理者行事,遵循客户的指示;客户则作为数据控制者,对处理的目的和方式相关决策承担责任。 另一方面,当本公司为自身合法目的处理个人数据时,例如API技术的安全与监控、欺诈防范、履行法律及监管义务以及正常行使权利,本公司将作为数据控制者行事,并全权承担与处理相关的决策责任,包括确定处理目的、所采用的手段以及采取的安全措施。

ConnectPSP 仅在为实现本政策所述目的所必需的情况下,且在遵守必要性、适当性和安全性原则的前提下,才会与第三方共享个人数据。数据共享可能发生在以下情形:

  • 合作支付机构:数据可能会与巴西中央银行授权的支付机构共享,以便处理交易并履行适用的监管义务。 此类数据共享是ConnectPSP提供技术服务所固有的,并依据与上述机构签订的合同文件进行,这些机构将根据数据处理的性质,分别承担数据控制者或数据处理者的角色。
  • 服务提供商和供应商:数据可能会与协助ConnectPSP提供技术服务的供应商共享,例如云基础设施提供商、信息安全工具提供商以及技术支持服务商。 这些供应商作为数据处理方,根据合同约定有义务遵守本政策的规定、ConnectPSP的内部准则以及适用的数据保护法律的要求。
  • 公共及监管机构:在存在法律或监管义务时,或在司法、行政或仲裁程序中为确认、维护或行使权利所必需时,数据可能会与相关政府、监管或司法机构共享,包括巴西中央银行、国家数据保护局以及金融活动监管委员会。

ConnectPSP 不出售个人数据,也不会为第三方进行广告或营销目的的信息共享。所有个人数据的共享均依据《巴西个人数据保护法》(LGPD)具备适当的法律依据,且仅在实现其正当目的所必需的范围内,以相称且严格限制的方式进行。 

9. 信息安全

ConnectPSP 采取相称且适当的技术和管理措施,以保护个人数据免遭未经授权的访问、意外丢失、篡改、不当披露、销毁及其他形式的违规处理,并符合《巴西个人数据保护法》(LGPD)及信息安全最佳实践。

在已实施的安全措施中,主要包括:

  • 基于配置文件和最小权限原则的访问控制;
  • 传输中和静止状态下的数据加密;
  • 对日志和安全事件进行持续监控;
  • 将生产、认证和开发环境进行隔离;以及
  • 制定内部信息安全和数据保护政策。

若发生可能对数据主体造成重大风险或损害的安全事件,ConnectPSP将采取适当措施以减轻其影响,并按照适用法律法规及国家数据保护局的规定履行相关通报义务。

10. 数据保留

ConnectPSP处理的个人数据将仅在实现收集目的所必需的期限内进行存储,同时遵守必要性和适当性原则,并遵循《巴西个人数据保护法》(LGPD)规定的适用法律和监管时限。

在确定数据保留期限时,ConnectPSP将遵循以下标准:(i) 与客户的合同关系存续期以及提供服务所需的时间;(ii) 法律或监管义务规定的期限,包括巴西中央银行的规定和税法; (iii) 审计、安全及防欺诈所需的时间;以及 (iv) 在司法、行政或仲裁程序中主张、抗辩或行使权利所适用的时效期限。

在适用保留期限届满后,ConnectPSP将以安全的方式删除或匿名化处理个人数据,但法律允许或要求保留的情况除外,例如履行法律或监管义务、由研究机构开展研究以及正常行使权利等情形。

11. 数据主体的权利

《个人数据保护法》(LGPD)保障个人数据主体享有若干权利,根据该法第18条的规定,这些权利可随时行使。ConnectPSP承诺以透明、及时的方式,并按照适用法律的规定,回应数据主体的请求,同时采取必要措施,确保这些权利能够得到充分行使。

数据主体享有以下权利:

  • 确认数据处理的存在,即确认ConnectPSP是否对您的个人数据进行了处理;
  • 获取数据,包括了解所处理的个人数据、其来源、处理目的及所采用的标准;
  • 更正不完整、不准确或过时的数据;
  • 对不必要、过量或未按《巴西个人数据保护法》(LGPD)规定处理的数据进行匿名化、封存或删除;
  • 经明确要求,可将数据转移至其他服务或产品提供商;
  • 删除基于同意处理的个人数据,但《通用数据保护法》(LGPD)第16条规定的保留情形除外;
  • 获取与之共享过数据的公共和私营机构的相关信息;
  • 当数据处理的法律依据是同意时,撤回同意不影响撤回前已进行的数据处理的合法性;
  • 若违反《通用数据保护法》(LGPD),则反对基于免除同意情形之一而进行的处理。

与数据主体行使权利相关的请求,可提交至本政策第十四节中指定的隐私渠道。 ConnectPSP将根据ANPD颁布的法规,尽最大努力在收到请求之日起15(十五)天内予以答复;如因案件复杂或数量庞大,经事先通知数据主体后,该期限可予以延长。

12. 国际数据传输

ConnectPSP 可能会在位于巴西境外的技术基础设施(例如国际服务商的云服务器)上存储和处理个人数据。 在此类情况下,ConnectPSP将采取适当的技术和法律措施,严格遵守《巴西个人数据保护法》(LGPD)第33至36条的规定,确保所转移的个人数据得到保护,并向数据主体提供与巴西法律规定相当的保护水平。

只有在满足以下法定条件时,才会进行个人数据的跨境传输,包括:(i) 向国家数据保护局(ANPD)认可的、其个人数据保护水平符合《巴西个人数据保护法》(LGPD)规定的国家或国际组织进行传输;(ii) 采用经国家数据保护局(ANPD)批准的标准合同条款; (iii) 存在经正式认可的全球企业规范;或 (iv) 采用经ANPD批准或认可的其他保障措施、工具或保障机制。ConnectPSP将保留已进行的国际转移记录,并在数据主体或ANPD提出要求时,提供有关所采用保障机制的信息。

13. 政策变更

本《隐私政策》可能会因法律法规的变更、ConnectPSP所提供服务的调整,或本公司个人数据保护措施的改进而定期更新。最新更新日期将始终标注于本文件的页眉处,以确保当前版本的透明度。

任何涉及个人数据处理条件或数据主体权利重大变更的修改,将在生效前通过ConnectPSP的官方沟通渠道,提前合理时间通知客户,并在适用情况下通知用户。 本政策的最新整合版本将长期发布于公司的官方渠道。建议数据主体定期阅读本文件,以便及时了解ConnectPSP采用的隐私和数据保护实践。

14. 联系方式与数据保护官(DPO)

根据《通用数据保护法》(LGPD)第41条的规定, ConnectPSP 指定一名个人数据处理负责人,亦称数据保护官(“DPO”),其职责是充当公司、个人数据主体与国家数据保护局之间的沟通桥梁,并就个人数据保护应采取的措施向 ConnectPSP 的员工和服务提供商提供指导。

如对个人数据处理有任何疑问、请求或希望行使相关权利,数据主体可通过以下渠道联系ConnectPSP的数据保护官(DPO):

ConnectPSP 系统开发股份有限公司

电子邮件: dpo@connectpsp.com

地址:里约热内卢州里约热内卢市圣克里斯托区厄瓜多尔街43号3号楼1508、1509和1510室,邮编20220-410。

服务时间:每周7天,每天24小时

ConnectPSP承诺在收到请求后15(十五)天内予以回复;若因请求内容复杂或数量庞大,经通知数据主体后,该期限可予以延长。

返回首页