学校治理概览
TypiTrain 面向学校的技术与治理说明
本页概述了 TypiTrain 的机构部署:涉及哪些数据类别、服务如何托管、适用哪些数据保存原则,以及在学校部署中应如何处理可选的 AI 相关功能。
一览
供治理、采购和学校 IT 团队在深入审核前参考的精简视图。
隐私政策、DPA 和合同仍为具有约束力的文件;本页面汇总学校初步审核所需的相关要点。
- 简化的学生身份模型
- 标准班级入门流程仅需用户名和密码即可运行。常见的班级码流程不要求学生提供电子邮箱。
- 以云为先、适用于学校的部署
- 托管服务的核心账户和进度数据存储在德国法兰克福。另有桌面应用可用于离线或局域网环境。
- 明确的数据保存原则
- 账户处于激活状态期间会保留个人数据,必要的日志仅在有限的运营期限内保存,账户删除时将移除个人数据。
- 核心部署不依赖 AI
- 课堂产品可在不使用 AI 的情况下正常运行。若日后评估 AI 相关功能,应以独立范围进行单独评估。
运营方与适用范围
谁参与、哪些人的数据在适用范围内?
公共部门审核通常需要明确说明运营方联系人和受影响人员类别,而不仅仅通过产品文案暗示。
运营方与治理联系人
TypiTrain 由 Tobias Wetzel 运营。有关隐私、治理与审核协调的请求可发至 [email protected]。
- TypiTrain 的运营者为 Tobias Wetzel。
- 审查与隐私联系方式:[email protected]。
- 治理协调可以通过电子邮件直接处理。
受影响人员类别
机构范围应明确说明在学校环境中可能被处理其数据的人员类别。
- 学生
- 教师
- 学校或组织管理员
- 在集成时的可选 SSO 身份联系人
数据类别
通常会涉及哪些个人数据类别?
机构账户的设计旨在尽量减少学生标识信息,同时仍支持班级管理与进度跟踪。
- 学生账户
学生通常可以使用低门槛的账号信息完成注册。
- 用户名
- 身份验证凭证
- 班级成员关系与审批状态
- 在学校环境中的角色
- 教师和管理员
教职工账号包含用于管理、沟通和权限控制的运行数据。
- 姓名及可用时的电子邮件
- 所属机构和班级分配
- 角色与权限
- 可选的单点登录(SSO)身份映射
- 学习与进度数据
应用存储用于展示进度并支持教学所需的数据。
- 已完成的练习与作业
- 打字速度、准确率与进度历史
- 按键性能模式(每键表现)
- 练习时长与完成状态
- 技术与运行数据
需要少量的运行数据层以保证服务的安全性与可靠性。
- 认证与访问时间戳
- 与运行相关的浏览器和设备上下文
- 必要的错误与性能诊断信息
- 与安全相关的系统事件
为何要处理这些数据?
机构服务在一个与教学、管理和服务可靠性相关的有限运营范围内使用数据。
- 提供身份验证与基于角色的访问控制
- 管理学校、班级与成员关系
- 展示进度、作业与学习历史
- 支持学校管理与密码重置
- 维护服务安全性、可靠性与调试
托管与处理方
服务如何部署?
默认的机构部署为云端部署。治理评审应区分核心服务、针对非机构用户的可选分析以及必要的运营工具。
主要部署模式
学校的标准上线使用托管云服务。
- 为学校浏览器和设备提供的托管云应用
- 核心账户与进度数据存储在德国法兰克福
- 面向学校设备的基于浏览器的访问
- 面向离线环境的桌面应用可用
运营处理方立场
在机构评审中,重要的区分是核心基础设施、必要的错误监控和可选的跟踪工具之间的差别。
- Cloudflare 支持 DNS、CDN/边缘分发和 Web 应用保护
- Resend 通过已配置的 Supabase SMTP 设置发送事务性电子邮件
- 机构账户不使用分析或会话记录工具
- 为保持可靠性,必要的错误监控仍然启用
- 支付处理仅与计费流程相关
- 处理方与子处理方概况可供学校审核使用
处理方与国际传输
如何处理处理方与第三国问题?
核心账户和进度数据存储在德国法兰克福。处理方层面的传输情形及相关保障措施会在 DPA 和合同审查中单独记录。
典型的处理方类别
对学校部署而言,相关的外部服务包括支持身份验证、数据库运行、交付、安全、事务邮件、错误监控或计费的服务。
- 用于身份验证和数据库服务的 Supabase
- 用于必要错误监控和运行诊断的 Sentry
- 仅在涉及付费计费流程时使用的 Stripe
- 启用 OpenID Connect 或 VIDIS 时的学校身份提供方
- Cloudflare 用于 DNS、CDN/边缘分发和 Web 应用保护
- Resend 用于账户确认、邀请和密码重置等事务性电子邮件
国际传输立场
核心存储和处理方层面的传输情形分开说明:核心账户和进度数据存储在欧盟,处理方和保障措施另行记录。
- 核心账户和学习进度数据存储在德国法兰克福
- 机构账户不使用可选的分析或会话记录处理器
- 潜在的国际传输情形仍需针对每个处理方逐一评估
- 在相关情况下,保障措施和处理方细节已在 DPA(数据处理协议)和合同审查中记录
保留与删除
保留策略是什么?
个人数据与学校的实际使用和运营必要性相关联;删除账户会移除与该账户相关的个人数据。
- 账户数据
- 在机构或个人账户处于激活状态期间保留。
- 进度与作业数据
- 在为账户内的活动学习场景和报表所需期间保留。
- 运行日志
- 必要的错误监控数据仅在有限的调试期内保留,而非无限期保存。
- 删除处理
- 当账户被删除时,与该账户关联的个人数据将被移除,而非识别性的汇总数据可为统计目的保留。
保留时间表
保留计划以可审查的形式列出主要数据类别、保留期限和删除处理方式。
- 账户数据:在账户处于激活状态期间保留
- 进度与作业数据:在为活动学习场景和账户报告所需期间保留
- 必要的错误监控数据:为调试目的保留最长可达 90 天
- 账户删除:移除与该账户相关的个人数据
- 在不再能识别个人的情况下,汇总或非识别性统计数据可继续保留
安全控制
哪些技术控制已作为服务的一部分?
当前产品架构已包含学校 SaaS 环境中期望的核心控制措施。
- TLS 加密传输
- 安全的密码哈希处理
- 针对学生、教师和管理员的基于角色的访问隔离
- 数据库层的行级安全控制
- 支持用于学校单点登录场景的 OpenID Connect
- 用于可用性和调试的运行监控
AI 定位
在学校审查中应如何处理与 AI 相关的功能?
核心学校产品不依赖 AI。AI 相关功能是可选的,应独立于主要部署进行审查。
机构推广的推荐基线
基线部署使用核心课堂产品;除非另行约定,AI 不属于初始审查范围。
- 核心学校工作流在没有 AI 的情况下也能运行
- 治理审查可以优先关注托管、身份和学生数据
- AI 相关功能作为具有独立审查范围的可选模块处理
- 这有助于使采购和隐私审查范围更窄、更清晰
如果随后对 AI 功能进行审查
如果使用机构 AI 功能,将记录提供方、模型、数据类别、目的、用户组和部署范围以供审查。
- 核心学校工作流在没有 AI 的情况下也能运行,并可在不将 AI 纳入范围的情况下进行审查
- 机构账户可以使用经审查的提供方,也可以将 AI 功能保持在范围之外
- 在激活前,会记录该功能、传输的数据、提供商、模型和用途
- 会明确说明 AI 功能默认对教职工、学生或两者均不启用