隐私政策

Kaadxpay Financial Solutions Pty. Ltd.（下称"Kaadxpay"、"我们"）是在马来西亚纳闽联邦直辖区注册成立的公司，已获纳闽金融服务管理局（LFSA）颁发的支付系统运营商（PSO）牌照预批复（AIP）。本《隐私政策》说明我们如何收集、使用、共享并保护通过本公司官方网站 www.kaadxpay.com（以下称"本网站"）所提交的个人数据。

本文档仅适用于公开营销网站。商户后台、支付 API 或合规系统中的数据处理，适用您在商户准入时单独签署的《客户隐私告知》。

我们仅收集您主动提供的个人数据，或在您访问本网站时自动产生的技术数据。我们不购买邮件列表，也不从第三方爬取个人数据。

依据《2010 年马来西亚个人数据保护法》（"PDPA"）以及在适用情况下的欧盟/英国《通用数据保护条例》（GDPR），我们依据以下合法依据处理您的数据：

• 同意 — Newsletter 订阅与分析 Cookie。您可随时通过页脚的"Cookie 设置"链接或邮件方式撤回。
• 合同 / 缔约前措施 — 商户准入与渠道合作申请等以评估潜在商业关系为目的的申请表单。
• 正当利益 — 安全监控（服务器日志）、防欺诈、速率限制、反垃圾（蜜罐字段），以及确保网站正常运作。我们将上述利益与您的隐私权进行权衡。
• 法定义务 — LFSA 审慎监管要求的记录保存、马来西亚税法义务、以及《2001 年反洗钱、反恐怖融资及非法所得法》项下 AML/CFT 义务。

我们绝不将通过本网站提交的个人数据用于产生法律效果的自动决策、行为广告投放或向第三方出售。

我们仅与经审慎挑选的服务商共享数据，且严格限于运营本网站之必要。每位子处理者均与本公司签署书面合同，约定保密、安全和数据处理义务。

在法律要求、有管辖权的法院或监管机关命令、或确为捍卫本公司法律权利所必需的情况下，我们可能披露数据。该等披露均会留存记录并经合规团队审查。

部分子处理者在马来西亚境外处理数据。当个人数据传输至 PDPA 评估认为缺乏对等保护水平的国家时，我们依据 PDPA 第 129 条之豁免或同等合同保障（针对欧盟/英国数据使用标准合同条款）执行。

• 联系表单：自最后交互起 24 个月后从邮箱中删除；被标记为垃圾邮件的消息 30 天内清理。
• 商户 / 渠道申请：在潜在客户关系存续期间加 5 年（LFSA 审慎监管要求）。撤回的申请可应请求删除。
• Newsletter 列表：直至您退订（每封邮件均含一键退订链接）。退订记录保留 12 个月以备合规审查。
• 服务器日志：90 天，期满自动删除。
• 分析事件：26 个月（GA4 默认）。
• Cookie：每项 Cookie 的过期时间见《Cookie 政策》。

依据 PDPA 第 30 至 37 条（及其他法域同等条款），您享有以下权利：

• 访问 — 获取我们持有的关于您的个人数据副本。
• 更正 — 修正错误或过时的数据。
• 删除 — 当合法依据不再适用时请求删除。
• 限制处理 — 在投诉调查期间限制处理。
• 撤回同意 — Newsletter 或分析 Cookie，随时可撤回。
• 投诉 — 向马来西亚个人数据保护局（https://www.pdp.gov.my）投诉；欧盟居民可向其所在国监管机构投诉。

如需行使上述权利，请邮件至 compliance@kaadxpay.com。我们将在 21 个日历日内（PDPA 法定时限）回复；12 个月内的首次请求免收任何费用。

• 所有网站端点采用 TLS 1.2+ 传输加密（Let's Encrypt 证书，由 Caddy 自动续签）。
• 所有表单端点均启用服务端输入校验、速率限制与反爬蜜罐。
• 子处理者仅通过短期应用凭证访问；不使用共享账号。
• LFSA 现场核查前完成年度渗透测试。
• 事故响应流程：参考 GDPR 第 33 条与 PDPA 数据泄露指引，目标 72 小时内通知。

本网站面向商业用户，并非面向 18 岁以下未成年人。我们不会有意收集未成年人个人数据。若您发现未成年人通过本网站提交了个人数据，请立即联系我们，我们将予以删除。

我们可能因网站功能扩展、子处理者变更或监管要求而更新本政策。重大变更将在本页顶部以横幅形式公告至少 30 日；上方的版本号与生效日期会在每次更新时同步修改。

本政策的版本历史在公司内部留存，可应请求通过 compliance@kaadxpay.com 索取。