合规
我们在既定监管框架内运营,并为客户提供所需的文档、协议和工具以证明其自身合规性。
GDPR 合规
- 完全遵守欧盟《通用数据保护条例》,包括所有处理活动的合法性基础文档
- 数据主体权利自动化处理,支持访问、更正、删除和可携带请求,并在 30 天内完成验证响应
- 隐私设计架构,数据最小化、目的限制和存储限制内嵌于每项产品功能
数据处理协议
- 为所有客户提供标准合同条款和定制 DPA,涵盖子处理商清单、审计权利和违规通知义务
- 透明的子处理商注册表,提前通知变更并保留异议权
- 年度审查周期确保协议与不断变化的监管要求保持一致
跨境传输
- 为所有欧洲经济区以外的国际数据传输采用欧盟批准的标准合同条款
- 针对每个目的地国家进行传输影响评估,评估法律框架与补充保障措施
- 数据驻留选项,允许客户指定在欧盟、英国或其他支持区域内存储
监管报告
- 自动生成所有数据访问、处理和删除事件的审计追踪,采用防篡改日志
- 预构建的监管报告模板,支持 GDPR 第 30 条处理记录、DPIA 摘要和违规通知
- 按需合规仪表盘,实时显示数据处理活动和同意记录的状态
安全
我们的安全架构在每一层保护数据,从加密和访问控制到持续测试和事件应急。
加密
- 所有存储数据采用 AES-256 静态加密,包括数据库、文件存储和备份
- 所有 API 通信、Webhook 交付和内部服务流量采用 TLS 1.3 传输加密
- 企业账户支持客户自管加密密钥 (BYOK),适用于需要独立密钥托管的场景
访问控制
- 基于角色的访问控制,支持跨组织、团队和资源的细粒度权限
- 所有用户账户强制多因素认证,支持 TOTP、硬件密钥及通过 SAML 2.0 的 SSO
- 所有内部系统遵循最小权限原则,生产环境采用即时访问
渗透测试
- 由 CREST 认证安全公司进行年度第三方渗透测试,覆盖基础设施、API 和 Web 应用
- 对所有生产服务进行持续自动化漏洞扫描,按优先级设定修复 SLA
- 负责任的漏洞披露计划,面向外部安全研究人员提供明确范围和安全港保护
事件响应
- 文档化的事件响应计划,包含定义的严重级别、升级路径和通信协议
- 根据 GDPR 第 33 条要求,在 72 小时内向受影响客户和监管机构发出违规通知
- 事后审查流程,包含根本原因分析和修复追踪,向受影响方公布
可靠性
我们的基础设施为持续可用而设计,在技术栈的每一层提供冗余、自动故障转移和透明监控。
可用性 SLA
- 所有生产 API 端点承诺 99.95% 的可用性,以合同级服务等级协议为保障
- 当月可用性低于承诺阈值时提供经济补偿
- 通过公共状态页面进行透明的可用性报告,提供历史可用性数据
多区域冗余
- 跨多个云区域的主动-主动部署,支持自动故障转移与地理负载均衡
- 同步写入的数据复制,确保区域故障期间零数据丢失
- 边缘缓存与 CDN 集成,实现全球接入点的低延迟内容分发
灾难恢复
- 所有关键服务的恢复时间目标 (RTO) 低于 4 小时,恢复点目标 (RPO) 低于 1 小时
- 自动化每日备份,采用跨地域冗余存储,每季度进行恢复测试以验证可恢复性
- 文档化的业务连续性计划,涵盖基础设施、人员和通信流程
实时监控
- 7×24 基础设施监控,对延迟异常、错误率峰值和资源利用率阈值进行自动告警
- 跨所有微服务的分布式追踪,用于快速根因定位和性能分析
- 公共状态页面,提供实时健康指标、事件更新和计划维护通知