นโยบายความเป็นส่วนตัว

1. เราเป็นใคร และนโยบายนี้ครอบคลุมอะไร

นโยบายนี้อธิบายว่า [นิติบุคคล — ยังไม่กำหนด]("Meridian", "เรา") เก็บข้อมูลส่วนบุคคลอะไรบ้างเมื่อคุณใช้เว็บไซต์ terminal และหน้า research ของ Meridian เก็บไปทำไม เก็บไว้นานเท่าใด และคุณมีสิทธิ์บังคับให้เราทำอะไรได้บ้าง

เราเป็นผู้ควบคุมข้อมูลส่วนบุคคล (data controller) ของข้อมูลดังกล่าว มาตรฐานพื้นฐานของเราคือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของประเทศไทย หากคุณอยู่ในสหภาพยุโรปหรือสหราชอาณาจักร เราจะให้สิทธิ์และการคุ้มครองระดับเดียวกันกับคุณด้วย — แนวทางแบบ GDPR-lite — แม้ในกรณีที่เราไม่ได้ถูกบังคับตามกฎหมายก็ตาม

สรุปสั้น ๆ: เราเก็บข้อมูลน้อยที่สุดเท่าที่ทำได้, API key ของ exchange คือสิ่งที่อ่อนไหวที่สุดที่เราถือ และเราปฏิบัติกับมันแบบนั้นจริง ๆ, เราไม่ขายข้อมูลให้ใคร และคุณลบข้อมูลทั้งหมดได้

2. เราเก็บอะไรบ้าง

ข้อมูลเก็บไว้ทำไม
อีเมล (และโปรไฟล์พื้นฐานที่ผู้ให้บริการส่งกลับมา หากคุณล็อกอินผ่าน provider)เพื่อสร้างและรักษาความปลอดภัยของบัญชี เพื่อให้คุณเข้าสู่ระบบได้ และเพื่อส่งข้อความเกี่ยวกับบริการที่คุณปฏิเสธไม่ได้ — เรื่องการเรียกเก็บเงิน ความปลอดภัย และการเปลี่ยนแปลงนโยบายในสาระสำคัญ
Layouts และการตั้งค่า — workspace, pane, การตั้งค่ากราฟ, watchlist, ธีมเพื่อให้ terminal หน้าตาเหมือนเดิมเมื่อคุณกลับมา และซิงก์ข้ามอุปกรณ์ของคุณ
API key ของ exchange — เข้ารหัสไว้เพื่อให้ automation และฟีเจอร์ซิงก์บัญชีอ่านข้อมูลบัญชีของคุณได้ และส่งคำสั่งที่คุณตั้งค่าไว้ บนบัญชี exchange ของคุณเอง ดูข้อ 3
ประวัติ backtest และ automation — กลยุทธ์ที่คุณสร้าง การรันที่คุณทำ ผลลัพธ์ และ logเพื่อให้คุณย้อนกลับมาดูและเปรียบเทียบงานของตัวเองได้ และเพื่อให้เราแก้ปัญหาได้เมื่อ automation ทำงานผิดพลาด
สถานะสมาชิกเพื่อให้รู้ว่าคุณอยู่แพ็กเกจไหน ข้อมูลบัตรและการเรียกเก็บเงิน ไปอยู่กับ merchant of record ไม่ได้อยู่กับเรา — ดูข้อ 5
Log ทางเทคนิค — IP address, ชนิดเบราว์เซอร์/อุปกรณ์, เวลา, error traceความปลอดภัย การป้องกันการใช้งานโดยมิชอบ และการแก้บั๊ก เก็บไว้ไม่นานและไม่ได้ใช้สร้างโปรไฟล์ของคุณ

เราไม่ขอและไม่ต้องการบัตรประชาชนของคุณ ข้อมูลบัญชีธนาคาร เลขบัตรเครดิต รหัสผ่าน exchange หรือข้อมูลอ่อนไหวเป็นพิเศษ (สุขภาพ ศาสนา ชีวมิติ ความคิดเห็นทางการเมือง) กรุณาอย่าส่งสิ่งเหล่านี้มาให้เรา

3. API key ของ exchange

นี่คือของมีค่าที่สุด จึงต้องมีหัวข้อของตัวเอง

  • Key ถูกเข้ารหัสขณะจัดเก็บ และ ไม่เคยถูกเขียนลง log ในรูปข้อความธรรมดา ไม่ว่าใน error trace ใน analytics หรือใน ticket ของฝ่ายสนับสนุน
  • Key จะถูกถอดรหัสในหน่วยความจำเท่านั้น และเฉพาะตอนที่การทำงานที่คุณสั่งต้องใช้จริง ๆ — การซิงก์ หรือการส่งคำสั่งจาก automation ที่คุณ deploy เอง
  • สิทธิ์การเข้าถึงภายในถูกจำกัดให้แคบที่สุดเท่าที่ทำได้ เราไม่ได้เปิดอ่าน key ของคุณเพื่อไปส่องพอร์ตของคุณ
  • คุณควรเชื่อมต่อ key แบบ trade-only ที่ ปิดสิทธิ์ถอนเงิน เราจะเตือนหากพบ key ที่ถอนเงินได้ Key ที่ขยับเงินไม่ได้ ก็ถูกใช้ขโมยเงินไม่ได้ แม้ในกรณีเลวร้ายที่สุด
  • ลบ key ใน Meridian เมื่อใด เราลบสำเนาของเราเมื่อนั้น การลบบัญชีจะลบ key ทั้งหมด แต่เราเพิกถอน key ที่ฝั่ง exchange ให้ไม่ได้ — กรุณาไปเพิกถอนที่นั่นด้วย

เราไม่รับฝากทรัพย์สินของคุณ และเราไม่มีความสามารถจะโอนหรือถอนเงินของคุณ

4. ฐานทางกฎหมายที่ทำให้เราเก็บได้

  • เพื่อปฏิบัติตามสัญญากับคุณ — บัญชี, layouts, key, automation, backtest, สถานะสมาชิก หากไม่มีข้อมูลเหล่านี้ ผลิตภัณฑ์ทำงานไม่ได้
  • ความยินยอม — ให้ไว้ตอนสมัครสำหรับการประมวลผลที่ระบุใน นโยบายนี้ และแยกต่างหากสำหรับสิ่งที่เป็นทางเลือก เช่น อีเมลการตลาด คุณถอนความยินยอมส่วนที่เป็นทางเลือกได้ทุกเมื่อ
  • ประโยชน์โดยชอบด้วยกฎหมาย — การรักษาความปลอดภัยของบริการ การป้องกันการใช้งานโดยมิชอบและการฉ้อโกง และการแก้บั๊ก
  • หน้าที่ตามกฎหมาย — เมื่อกฎหมายหรือหน่วยงานที่มีอำนาจกำหนด (เช่น การเก็บเอกสารทางบัญชีและภาษี)

5. เราแบ่งปันข้อมูลกับใคร

เราไม่ขายข้อมูลส่วนบุคคลของคุณ เราไม่เอาไปเทรด และเราไม่แบ่งปันสถานะ การถือครอง กลยุทธ์ หรือพฤติกรรมการเทรดของคุณให้ใคร เราใช้ผู้ประมวลผลข้อมูล (processor) จำนวนไม่มาก และเฉพาะตามที่ระบุไว้เท่านั้น:

  • Supabase — ฐานข้อมูล ระบบยืนยันตัวตน และพื้นที่จัดเก็บ เก็บข้อมูลบัญชี layouts key ที่เข้ารหัส และประวัติของคุณ
  • [merchant of record — Paddle หรือ Lemon Squeezy ยังไม่ตัดสินใจ] — ผู้ขายตามกฎหมายสำหรับแพ็กเกจแบบเสียเงิน เป็นผู้รับและเก็บข้อมูลการชำระเงินของคุณ ภายใต้นโยบายความเป็นส่วนตัวของตนเอง เราไม่เคยเห็นเลขบัตรของคุณ เขาบอกเราเพียงว่าคุณชำระเงินแล้วและอยู่แพ็กเกจใด
  • Exchange ที่คุณเชื่อมต่อ (เช่น Binance) — คำสั่งและ API call ของคุณถูกส่งไปที่นั่น ซึ่งเป็นจุดประสงค์ของการเชื่อมต่ออยู่แล้ว พวกเขาเป็นผู้ควบคุมข้อมูลอิสระ ภายใต้ข้อกำหนดของตนเอง
  • [ผู้ให้บริการ hosting / อีเมล / error-monitoring / analytics — ยังไม่กำหนด] — รายชื่อสุดท้ายจะระบุไว้ตรงนี้ก่อนเปิดขายจริง

เราจะเปิดเผยข้อมูลในกรณีที่กฎหมายกำหนดจริง ๆ ด้วย และจะแจ้งให้คุณทราบหากเราได้รับอนุญาตให้แจ้ง

6. ข้อมูลของคุณถูกเก็บที่ไหน (การโอนข้อมูลข้ามพรมแดน)

Supabase และผู้ประมวลผลรายอื่นของเราเก็บข้อมูลบนเซิร์ฟเวอร์นอกประเทศไทย การใช้ Meridian จึงมีการโอนข้อมูลส่วนบุคคลของคุณข้ามพรมแดน เราบอกเรื่องนี้ตรง ๆ เพราะ PDPA กำหนดให้ต้องแจ้ง

เราใช้เฉพาะผู้ประมวลผลที่มีมาตรฐานการคุ้มครองที่เพียงพอ และมีข้อสัญญาคุ้มครองข้อมูลที่ตนถือครอง ภูมิภาคที่จัดเก็บหลัก: [hosting region — ยังไม่กำหนด]

7. เราเก็บข้อมูลไว้นานแค่ไหน

  • ข้อมูลบัญชี layouts key และประวัติ — ตราบเท่าที่บัญชีของคุณยังอยู่
  • หลังจากคุณลบบัญชี — ถูกลบจริง API key ที่เข้ารหัสไว้ จะถูกทำลายทันที ส่วนที่เหลือจะถูกลบออกจากระบบที่ใช้งานจริง และจะหายจาก backup เมื่อ backup หมุนรอบภายใน [ระยะเวลาเก็บ backup — ยังไม่กำหนด]
  • Log ทางเทคนิค [ระยะเวลาเก็บ log — ยังไม่กำหนด] จากนั้นลบทิ้ง
  • เอกสารการเรียกเก็บเงิน — เก็บตามที่กฎหมายภาษีและบัญชีกำหนด ทั้งโดยเราและโดย merchant of record

8. สิทธิ์ของคุณ

ภายใต้ PDPA — และเราให้สิทธิ์เดียวกันนี้กับทุกคน — คุณมีสิทธิ์:

  • เข้าถึง ข้อมูลส่วนบุคคลที่เราถือเกี่ยวกับคุณ และขอสำเนาได้
  • แก้ไข ข้อมูลที่ไม่ถูกต้องหรือไม่ครบถ้วน
  • ลบ ข้อมูล การลบบัญชีคือการลบจริง — key และข้อมูลของคุณถูกลบออกจริง ไม่ใช่แค่ทำเครื่องหมายว่าซ่อนไว้
  • ขอให้โอนย้าย ข้อมูล — รับข้อมูลในรูปแบบที่เครื่องอ่านได้
  • คัดค้านหรือขอให้ระงับ การประมวลผล และ ถอนความยินยอม ในสิ่งที่คุณเคยให้ความยินยอมไว้
  • ร้องเรียน — กับเราก่อน (กรุณา) และกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) หากเราไม่แก้ไขให้

สิทธิ์เหล่านี้ส่วนใหญ่คุณทำเองได้จากหน้าตั้งค่า นอกนั้นเขียนมาที่ [อีเมลติดต่อเรื่องความเป็นส่วนตัว — ยังไม่กำหนด] เราจะตอบภายใน 30 วัน

9. ความปลอดภัย และสิ่งที่จะเกิดขึ้นหากข้อมูลรั่วไหล

ข้อมูลถูกเข้ารหัสทั้งระหว่างส่งและขณะจัดเก็บ API key มีมาตรการเพิ่มเติมตามข้อ 3 สิทธิ์การเข้าถึงภายในจำกัดเท่าที่งานต้องใช้ และเราอัปเดตแพตช์ระบบที่เรารันอยู่ ไม่มีระบบใดปลอดภัยสมบูรณ์แบบ และเราจะไม่อ้างว่าระบบของเราเป็นเช่นนั้น

หากเกิดเหตุข้อมูลรั่วไหลที่ทำให้ข้อมูลส่วนบุคคลของคุณเสี่ยง เราจะ แจ้ง PDPC ของไทยภายใน 72 ชั่วโมงนับแต่ทราบเหตุ และแจ้งผู้ใช้ที่ได้รับผลกระทบโดยไม่ชักช้า พร้อมอธิบายว่าเกิดอะไรขึ้น ข้อมูลใดเกี่ยวข้อง และต้องทำอะไรต่อ หากมี exchange key เข้ามาเกี่ยวข้องไม่ว่าทางใด ข้อความแรกที่เราจะส่งถึงคุณคือ: ไปเพิกถอน key ที่ exchange เดี๋ยวนี้

10. Cookie และ analytics

เราใช้ cookie เท่าที่จำเป็นเพื่อให้คุณอยู่ในระบบและเพื่อความปลอดภัย ของบริการ cookie เหล่านี้จำเป็นอย่างยิ่ง และปิดไม่ได้โดยไม่ทำให้การเข้าสู่ระบบพัง

Analytics ของผลิตภัณฑ์ที่เราใช้เป็นแบบภาพรวมและเคารพความเป็นส่วนตัว — เราอยากรู้ว่าฟีเจอร์ถูกใช้หรือไม่ ไม่ได้อยากตามคุณไปทั่วอินเทอร์เน็ต เราไม่ใช้ตัวติดตามเพื่อการโฆษณา และไม่ขายข้อมูลให้เครือข่ายโฆษณา รายชื่อผู้ให้บริการและ cookie ทั้งหมด: [analytics provider และรายการ cookie — ยังไม่กำหนด]

11. ผู้เยาว์

Meridian ไม่ได้มีไว้สำหรับผู้ที่อายุต่ำกว่า 18 ปี เราไม่เก็บข้อมูลจากเด็กโดยเจตนา และหากทราบว่าเก็บไปแล้ว เราจะลบทิ้ง

12. การเปลี่ยนแปลงนโยบายนี้

หากเราเปลี่ยนแปลงนโยบายนี้ในสาระสำคัญ เราจะแจ้งทางอีเมลหรือในผลิตภัณฑ์ก่อนการเปลี่ยนแปลงมีผล วันที่ด้านบนคือวันที่ของฉบับปัจจุบันเสมอ

13. ติดต่อเรา

คำถามเรื่องความเป็นส่วนตัว การใช้สิทธิ์ หรืออะไรก็ตามที่ดูเหมือนปัญหาด้านความปลอดภัย: [อีเมลติดต่อเรื่องความเป็นส่วนตัว — ยังไม่กำหนด] ข้อมูลผู้ควบคุมข้อมูลและที่อยู่จดทะเบียน: [นิติบุคคลและที่อยู่ — ยังไม่กำหนด] เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หากกฎหมายกำหนดให้เราต้องมี: [DPO — ยังไม่กำหนด รอทนายรีวิว]

ฉบับภาษาอังกฤษของนโยบายนี้เป็นฉบับที่มีผลบังคับ คำแปลใด ๆ จัดทำขึ้นเพื่อความสะดวกเท่านั้น