原則

Gravenos 處理資料之原則，是僅蒐集為提供服務所必要之最低限度資料、保留至與服務提供一致之最短期間，並以一位理性專業人員所應期待之控制措施加以保護。

我們不販售資料。我們不與行銷夥伴分享資料。我們不使用行為廣告。這些並非宣傳語；它們是架構上之承諾，從我們的程式碼庫中不存在任何足以使其相反之整合，即可明確驗證。

我們所持有之資料

於企業網站（gravenos.com），我們蒐集電子報訂閱者之電子郵件地址，以及聯絡表單提交之內容。於 Drusus 平台（drusus.ai），我們持有經營訂閱產品所需之資料：帳戶身分（電子郵件與密碼雜湊值）、使用者選擇記錄之投資組合內容、自選股、警示設定，以及分析歷史。

付款資料由 Stripe 處理。Gravenos 不在其伺服器上儲存卡號、CVC，或完整銀行帳戶資訊。整合之設計，使此類資料從未經過我們的系統。

基礎設施

我們的資料庫與身分驗證層由 Supabase 維運，位於 eu-north-1 區域。Drusus 平台與 gravenos.com 網站部署於 Vercel。電子郵件透過 Resend 寄送。網域於 Cloudflare 註冊。付款由 Stripe 處理。

上述各服務商皆依循公認之安全標準營運。其中無一為 Gravenos 所獨享；我們選擇之，是因其於各自類別中為公認且可信之選擇。此一選擇所涉及之取捨在於：我們的安全態勢，部分而言是其安全態勢之函數。對於上述任何服務商所發生、對我們使用者具合理影響之事件，我們皆予以揭露（請參見訊息區）。

身分驗證

Drusus 平台上之帳戶，透過電子郵件與密碼進行身分驗證。密碼以加鹽雜湊形式儲存；我們不會、也無法取回使用者之明文密碼。透過主要服務商之單一登入可供使用。多因子身分驗證將於公開上線前導入。

法規定位

Gravenos 於英國註冊。Drusus 平台產出分析性評論、情境模型與風險計算；其不產出落於 FCA 法規範圍意義下之投資建議。我們將於適當時機，主動與 FCA Innovation Hub 接洽，以尋求對此一範圍定位之正式確認。在該接洽完成之前，本頁所陳述之立場為我們之最佳專業評估，並有法律顧問對我們之財務免責聲明之審查為其支持。

資料保護合規依英國 GDPR 及 2018 年《資料保護法》進行。於資訊專員辦公室之登記正在辦理中。

事件揭露

若 Gravenos 系統發生安全事件，或任何第三方服務商發生對 Gravenos 使用者具合理影響之事件，我們將於事實所許之情況下儘速於本網站之訊息區發布通告，並於調查進展時更新該通告。

我們不認同發布初步通告時遣詞含糊以致無實際資訊可言之做法。當事實尚未確定時，我們會明說；當資料或有或無受影響時，我們會明確指出是何種資料；當範圍尚屬未知時，我們會說明已知者與未知者各為何。其結果是，我們的通告或將長於業界慣例。我們相信此為正確之取捨。

回報漏洞

若您認為已於任何 Gravenos 系統中發現安全漏洞，敬請來信至 legal@gravenos.com 提供詳細資訊。我們將回覆您的回報，並於問題解決後酌情公開致謝。