سیاست حفظ حریم خصوصی

ما موسسه مسابقه‌های کاریبو Caribou Contests هستیم. ما وب‌سایت مسابقه‌های کاریبو (cariboutests.com ) را اداره می‌کنیم و متعهد به ایجاد سرگرمی ریاضی برای همه و از طریق برگزاری مسابقه‌ها، ارائه بازی‌ها و سایر فعالیت‌ها در پلت‌فرم آموزشی آنلاین هستیم.
از این صفحه برای اطلاع رسانی به بازدید کنندگان وب‌سایت در مورد سیاست‌های ما در جمع‌آوری، استفاده و افشای اطلاعات شخصی در هنگام استفاده از محصولات و خدمات ما در وب‌سایت مسابقه‌ها استفاده می‌شود.
لطفا این سیاست حفظ حریم خصوصی و همچنین شرایط و ضوابط ما را قبل از استفاده از وب‌سایت مسابقه‌های کاریبو با دقت بخوانید.
در ادامه متن، منظور از "کاریبو" و "ما" موسسه مسابقه‌های کاریبو است و منظور از "شما" مشتری، بازدید کننده، کاربر وب‌سایت یا هر شخصی که از وب‌سایت ما استفاده می‌کند می‌باشد.

همانطور که در ادامه مطلب شرح داده می‌شود، امنیت سایبری ما بر اساس دیدگاه‌های زیر است :

• ما فقط اطلاعات مورد نیاز را جمع‌آوری می‌کنیم، به اندازه کافی و فقط برای پشتیبانی خوب از کاربران خودمان، نه اطلاعاتی که به خدمات ما ربطی ندارند.
  به عنوان مثال، ما نیازی به آدرس ایمیل یک دانش‌آموز، آدرس پستی، شماره تلفن یا هرگونه اطلاعات شخصی دیگر نداریم.
  ما از دانش‌آموزان می‌خواهیم که با نام خود ثبت نام کنند اما نیازی به تاییدیه ندارند. اگر مدرسه آنها لازم بداند، دانش‌آموزان می‌توانند از نام‌های مستعار یا حروف اول نام خود استفاده کنند.
• ما دسترسی به داده‌های دانش‌آموزان را فقط به خود دانش‌آموز و معلم آنها محدود می‌کنیم و حتی این دسترسی را به سایر معلمان همان مدرسه هم نمی‌دهیم.
• ما هیچ اپلیکیشنی ارائه نمی‌دهیم. هیچ چیز برای نصب بر روی گوشی، تبلت یا کامپیوتر وجود ندارد. همه کارها بر روی یک وب سایت مستقل انجام می‌شود.
• ما هرگونه اطلاعیه انتقادی را، اگر دلیلی برای اعلام آن وجود داشته باشد، در وب‌سایت و در دسترس قرار می‌دهیم که به راحتی توسط همه دانش‌آموزان / معلمان دیده می‌شود.
  علاوه بر این، اطلاعیه‌های انتقادی از طریق ایمیل به هماهنگ کنندگان ارسال می‌شود.
• بر اساس این اصول، ما به قوانین استاندارد بین المللی در مورد آزادی اطلاعات و حفاظت از حریم خصوصی پایبند هستیم. مسابقه‌های کاریبو برای شرکت کنندگان در کانادا مطابق با
  قانون حفاظت از اطلاعات شخصی و اسناد الکترونیکی PIPEDA است که قانون حریم خصوصی فدرال برای سازمان های بخش خصوصی است.
  برای دانش‌آموزان انتاریو، مسابقه‌های کاریبو مطابق با قانون آزادی اطلاعات و حفاظت از حریم خصوصی شهرداری MFIPPA است.
  در مورد مدرسه‌های ایالات متحده، قانون حفاظت آنلاین کودکان از حریم خصوصی COPPA و قانون حقوق و حمایت آموزشی خانواده FERPA نیز رعایت می‌شود.

در آخرین ارزیابی RiskRecon (سایت riskrecon.com) ما به نمره کامل ۱۰/۱۰ در تمام ۹ شاخه زیر رسیدیم :
ساخت نرم‌افزار، امنیت برنامه، رمزگذاری وب، فیلتر شبکه، خطر نفوذ، اعتبار سیستم، امنیت ایمیل، امنیت DNS و میزبانی سیستم

 گروه امنیت سایبری شبکه کامپیوتری آموزشی انتاریو ECNO این سایت را بسیار امن ارزیابی کرد.
جزئیات را می‌توان در سایت ECNO با آدرس https://ecno.org که ۷۱ هیات مدیره از ۷۲ مدرسه انتاریو در آن عضو هستند، مشاهده نمود.

به طور خلاصه، کاریبو هیچ داده‌ای را که می‌تواند علیه دانش‌آموزان یا هماهنگ کنندگان (معلمان) استفاده شود، نگه نمی‌دارد.
 .اطلاعات زیر تمام داده‌های ذخیره شده در مورد مدرسه‌ها، هماهنگ کنندگان (معلمان) و دانش‌آموزان است.
این داده‌ها در وب سایت ما در دسترس نیستند، نتایج دانش‌آموزان فقط برای خود دانش‌آموز و هماهنگ کننده مستقیم (معلم) دانش‌آموز در دسترس است و حتی برای سایر هماهنگ کنندگان همان مدرسه هم قابل مشاهده نیست.

• برای هر کاربر (معلم، کتابدار) به غیر از آدرس ایمیل و البته رمز عبور آنها، ما فقط اطلاعات عمومی موسسه آنها (مدرسه/کتابخانه)
  که معمولا برای همه قابل دسترسی هست را نگه می‌داریم :
   - نام
   - آدرس ایمیل (که در زمان ثبت نام تایید شده‌است)
   - رمز عبور کدگذاری شده با MD5 ۱۲۸ بیتی و نه رمز عبور اصلی
   - شماره تماس (اختیاری)
   - تاریخ انتخاب شده برای تغییر رمز عبور
   - نام موسسه
   - آدرس موسسه
   - شهر
   - کد پستی
   - ساعت محلی
   - هیات مدیره مدرسه
• اطلاعاتی که ما برای هر دانش‌آموز ذخیره می‌کنیم :
   - نام یا حرف اول نام یا نام مستعار
   - نام خانوادگی یا حرف اول نام خانوادگی یا نام خانوادگی مستعار
   - کد دسترسی
   - گزینه‌های انتخاب شده برای سوال‌های مسابقه
   - رتبه‌های او در مسابقه‌هایی که شرکت کرده‌است
   - کد ارسال شده برای مسابقه کدنویسی
   - اعتبارات آنها برای دسترسی به منابع آموزشی یا شرکت در مسابقه‌ها بر اساس پرداخت های انجام شده
   - لیست برگه‌های تکمیل شده از دوره آنلاین اختیاری درخت هندسه برای ساده‌سازی ادامه کار در همان دوره
• پس از مسابقه، دانش‌آموزان می‌توانند نظرات خود را بیان کنند و سوال‌های خود را بپرسند. گذاشتن آدرس ایمیل اختیاری است و فقط در صورتی لازم است که آنها پاسخ بخواهند.
• یادآوری مسابقه‌های آینده به دانش‌آموزان را هم به کمک ایمیل انجام می‌دهیم. لیست مشترکان بطور جداگانه ذخیره می‌شود و به هیچ وجه به حساب آنها مرتبط نیست
  و می‌توانند در هر زمان ورودی خود را حذف کنند.
• هر گونه ایمیل درخواست کمک از هر کسی، به عنوان مثال، از مدیران، معلمان، والدین و دانش‌آموزان، پس از ارسال پاسخ حذف می‌شود.
• اطلاعات کارکنان ما که مورد نیاز آژانس درآمد کانادا است به طور کاملا جداگانه ذخیره می‌شود. آنها در رایانه‌هایی که وب‌سایت یا پایگاه داده را میزبانی می‌کنند ذخیره نمی‌شوند.

 ما نام تایید شده دانش‌آموز، شماره تلفن یا آدرس آنها را نداریم.
ما فقط آدرس ایمیل آنها را، اگر خودشان به طور داوطلبانه، برای یادآوری ثبت نام مسابقه و یا دریافت پاسخ سوال خود، در لیست مشترکان ما ثبت کرده باشند، در اختیار داریم.

 تمام داده‌های دانش‌آموز تنها توسط خود دانش‌آموز و هماهنگ کننده (معلم) که کد دسترسی دانش‌آموز را دانلود کرده‌است قابل دسترسی است.
طبق قانون در برخی از استان‌های کانادا، داده‌های دانش‌آموزی فقط در یک ارائه دهنده اینترنت کانادایی ( vaxxine.com ) ذخیره می‌شود.

 کدهای دسترسی دانش‌آموزان رمزگذاری نمی‌شوند زیرا هماهنگ کننده‌ای که آنها را دانلود کرده است، لازم است که آنها را به دانش‌آموزان خود تحویل دهد و اگر دانش‌آموزان آن را فراموش کردند به آنها یادآوری کند.

• پرداخت‌های آنلاین توسط PayPal انجام می‌شود، هیچ اطلاعاتی از کارت اعتباری و حساب PayPal دریافت نمی‌شود.
  
• ما هیچ اطلاعاتی از دانش‌آموز مانند نام واقعی، آدرس ایمیل، آدرس خانه یا شماره تلفن او را نداریم زیرا چنین اطلاعاتی را درخواست نمی‌کنیم.
  ما فقط آدرس ایمیل دانش‌آموزانی را داریم که سوال‌های ما را به کمک ایمیل پاسخ می‌دهند.
  
• ما هیچ اطلاعات شخصیتی در مورد دانش‌آموز (جنس، نژاد) به جز پایه او در سال تحصیلی ۲۰۲۴-۲۰۲۳ نداریم.
  ما از داده‌های پایه تحصیلی برای ارائه اطلاعات آماری بیشتر استفاده می‌کنیم تا دانش‌آموزان بتوانند خود را با افراد دیگر در همان پایه بهتر مقایسه کنند.

فقط "مدیر اصلی" به تمام داده‌ها دسترسی دارد. به غیر از توماس ولف، بنیانگذار و مدیر عامل شرکت، تنها افراد دیگری که دارای امتیازات فوق العاده مدیریت می باشند.
دانشجویان برنامه‌نویس و در زمان اشتغال ۴ ماهه خود هستند. آنها باید قبل از شروع کار خود یک توافقنامه عدم افشای اطلاعات را امضا کنند.
 تنها دسترسی دیگر، شامل دانش‌آموزانی است که نتایج خود را پس از ورود به سیستم مشاهده می‌کنند. دانش‌آموزان نمی‌توانند نتایج دانش‌آموزان دیگر را ببینند.
یک هماهنگ کننده کاریبو فقط می‌تواند به نتایج دانش‌آموزان خود دسترسی داشته باشد و حتی نتایج سایر دانش‌آموزان مدرسه خود را نمی‌بیند.
یعنی هماهنگ کنندگان یک مدرسه نمی‌توانند نتایج دانش‌آموزان یکدیگر را ببینند.
 حساب‌های دانش‌آموزی هر ساله تغییر می‌کنند، یعنی هر سال یک کد دسترسی جدید دریافت می‌کنند.
هماهنگ کنندگان (معلمان) می‌توانند نام دانش‌آموزان را انتخاب کنند و اغلب از نام‌های مستعار یا حروف اول یا یک نام عمومی با یک عدد استفاده می‌کنند.
هماهنگ کنندگان می‌توانند این نام‌ها را در هر زمان ویرایش کنند، به عنوان مثال، به منظور چاپ گواهینامه‌ها و بلافاصله، نام‌ها را به حروف اول یا نام مستعار تغییر دهند.
برای دسترسی به نتایج یک دانش‌آموز در طول چندین سال، نیاز به دانستن چندین نام کاربری و رمز عبور دارد که فقط دانش‌آموز و معلم می‌توانند بدانند.

داده‌های دانش‌آموزان حذف نمی‌شوند زیرا آنها به طور منظم، نتایج سال های گذشته خود را برای ارائه به دبیرستان یا دانشگاه درخواست می‌کنند.
 در تابستان ۲۰۲۳ قبل از شروع جام ۲۰۲۳/۲۴ یک سیستم آرشیوی برای داده‌های دانش‌آموزی ایجاد خواهد شد که برای همیشه حفظ می‌شود.
این کار با دو هدف انجام خواهد شد :
۱) ذخیره‌سازی داده‌های کمتر در سرور به طوری که در صورت بروز مشکل احتمالی داده‌های کمتر در معرض خطر باشند.
۲) یک پایگاه داده کوچکتر سریعتر کار می‌کند و نیاز به حافظه کمتری دارد.
 با پیروی از قوانین HR کانادا و CRA ما اطلاعات مورد نیاز در مورد کارکنان و پیمانکاران خود را نیز حفظ می‌کنیم.

پایگاه داده‌ای که داده‌های فوق را ذخیره می‌کند هر روز در نیمه شب پشتیبان‌گیری می‌شود. کل وب‌سایت یک بار در هفته پشتیبان‌گیری می‌شود.

ما از وب‌سایت خود در برابر هرگونه نفوذ HTML و SQL محافظت می‌کنیم.
ما اطمینان حاصل می‌کنیم که هیچ کاربری نمی‌تواند به طور مستقیم بر کد نوشته شده توسط ما برای وب‌سایت تاثیر بگذارد و منجر به هر گونه رفتار ناخواسته شود.
این کار با پاکسازی و اعتبارسنجی ورودی‌های کاربر انجام می‌شود که تضمین می‌کند داده‌های منتقل شده توسط کاربر، نمایش داده‌های پایگاه داده یا صفحات را دستکاری نمی‌کند.
 اطلاعات حساس کاربر مانند رمزهای عبور رمزگذاری شده‌است، بنابراین، آنها در هنگام ذخیره در پایگاه داده ما در حالت ایمن هستند.
 ارتباط بین بازدید کنندگان و سایت از طریق Cloudflare مدیریت می‌شود. روش پیش فرض انتقال HTTPS از رمزگذاری (SSL / TLS) برای پنهان کردن درخواست‌ها
و پاسخ‌ها به همه به جز طرف‌های درگیر در انتقال استفاده می‌کند.
 همچنین Cloudflare در برابر حملات DDoS مانند سیل درخواست و درخواست بات نت محافظت می‌کند.

به عنوان مثال، نقض امنیت از طریق انتشار غیر مجاز داده‌های دانش‌آموزی از زمان شروع کاریبو در سال 2009 اتفاق نیفتاده‌است
.با این وجود، در مورد فرضی چنین نقضی، پروتکل زیر فعال می‌شود.

• ما فورا با ارائه دهنده اینترنت خود Vaxxine تماس می‌گیریم که آیا هرگونه نقض در سطح سرور شناخته شده‌است یا خیر.
• تمام رمزهای عبور برای تمام حساب‌های کارکنان و پیمانکاران در سرور ما تغییر خواهد کرد.
  این امکان وجود دارد، زیرا موسسه مسابقه‌های کاریبو یک شرکت کوچک با تعداد بسیار کمی از کارکنان و پیمانکاران است که در تماس مداوم با یکدیگر هستند.
• پس از بازرسی از وضعیت پایگاه داده ما، تصمیم گرفته می‌شود که آیا باید نسخه پشتیبان تهیه شده روزانه نصب شود یا خیر.

• ما تعدادی سیستم ارسال ایمیل داریم که امکان تماس با همه هماهنگ کننده‌ها یا زیرگروه‌های آنها را فراهم می‌کنند. در صورت نقض امنیت ما با تمام هماهنگ کنندگان مدرسه‌ها که تحت تاثیر قرار می‌گیرند، در صورت لزوم تماس می‌گیریم. آنها را از آنچه که در مورد نقض و اصلاح آن انجام شده‌است مطلع می‌کنیم.
• بسته به ماهیت نقض، ما هماهنگ کنندگان و دانش‌آموزان را با یک پیام در هنگام ورود به سیستم مطلع می‌کنیم.
• سومین کانال ارتباطی ما بخش اخبار کاریبو در صفحه اصلی ما است. ما از آن به طور منظم برای هر نوع اخبار استفاده می‌کنیم و در این مورد نیز از آن استفاده خواهیم کرد.

ما مطالعه خواهیم کرد که چگونه نقض اتفاق افتاده است و چگونه می‌توان در آینده از آن جلوگیری کرد.
 مراحل زیر امکان بازگرداندن امنیت و دسترسی به هماهنگ کنندگان و دانش‌آموزان را فراهم می‌کند. تنها داده‌های ما که می‌توانند دانش‌آموزان را شناسایی کنند، نام آنها (یا نام‌های مستعار) در ترکیب با کد دسترسی آنها است. مدرسه‌ها با رمز عبور مدرسه-محور می‌توانند تعداد نامحدودی از کدهای دسترسی جدید را دانلود کنند، نام دانش‌آموزان جدید را به انتخاب خود به کدهای جدید ضمیمه کنند و نتایج مسابقه دانش‌آموزی را از کدهای قدیمی به کدهای جدید و نام‌های جدید را با استفاده از ابزار "ادغام دو حساب دانش‌آموزی" در صفحه هماهنگ کننده ادغام کنند.
این کار، به طور خودکار کدهای دسترسی قدیمی (به خطر افتاده) با نام قدیمی متصل به آنها را حذف می‌کند.
مدرسه‌های بدون اعتبار مدرسه-محور، برای انجام این تغییر کدهای دسترسی، یک رمز عبور مدرسه-محور را بدون پرداخت هزینه از کاریبودریافت می‌کنند.
 تنها کاری که هماهنگ کنندگان باید پس از آن انجام دهند این است که اسامی جدید و کدهای دسترسی را به دانش‌آموزان خود منتقل کنند.

هنگامی که یک هماهنگ کننده (معلم) برای اولین بار در یک جام کاریبو (پس از ۱ سپتامبر) وارد می‌شود، باید جزئیات حساب شخصی خود (آدرس ایمیل، مدرسه، شماره تلفن) را تایید و ویرایش کند. آنها همچنین باید شرایط و ضوابط ما، از جمله اقدامات حریم خصوصی و امنیت سایبری، را تایید کنند.
 اگر لازم باشد که در طول سال، نحوه مدیریت اطلاعات شخصی تغییر کند، کاربران و هماهنگ کنندگان از طریق ایمیل و دانش‌آموزان هنگام ورود به سیستم مطلع خواهند شد.
 در سال‌های گذشته ما پرسشنامه‌ای را در انتهای جام کاریبو برای دریافت بازخورد در مورد تحولات مهم آینده توزیع کردیم. ما قصد داریم این عمل را تکرار کنیم.

تنها خدماتی که توسط اشخاص دیگر، در مورد داده‌های امنیتی ارائه می‌شوند عبارتند از :

• ارائه دهنده اینترنت ما، شرکت واکساین ( www.vaxxine.com ) است (که بیش از ۴۰ سال سابقه فعالیت دارد) و به تمام داده‌های ما دسترسی دارد.
  
• شرکت کلاودفلیر ( cloundflare.com ) که یک شبکه تحویل محتوا برای دسترسی سریع کاربران، بدون در نظر گرفتن جایی که آنها قرار دارند، می‌باشد (بخش ۸ را ببینید).
  
• شرکت PayPal که پرداخت‌های آنلاین را انجام می‌دهد اما به هیچ یک از داده‌های غیر مالی دسترسی ندارد.

این ۳ شرکت دارای سیستم حفاظت امنیتی، معادل یا بهتر از آنچه که ما به کاربران ارائه می‌دهیم، هستند.

اگر شما هر گونه سوال و یا نگرانی در مورد امنیت سایبری مسابقه‌های کاریبو دارید، لطفا از طریق ایمیل [email protected] با ما تماس بگیرید.