我们的安全架构在每一层保护数据,从加密和访问控制到持续测试和事件应急。
加密
- 所有存储数据采用 AES-256 静态加密,包括数据库、文件存储和备份
- 所有 API 通信、Webhook 交付和内部服务流量采用 TLS 1.3 传输加密
- 企业账户支持客户自管加密密钥 (BYOK),适用于需要独立密钥托管的场景
访问控制
- 基于角色的访问控制,支持跨组织、团队和资源的细粒度权限
- 所有用户账户强制多因素认证,支持 TOTP、硬件密钥及通过 SAML 2.0 的 SSO
- 所有内部系统遵循最小权限原则,生产环境采用即时访问
渗透测试
- 由 CREST 认证安全公司进行年度第三方渗透测试,覆盖基础设施、API 和 Web 应用
- 对所有生产服务进行持续自动化漏洞扫描,按优先级设定修复 SLA
- 负责任的漏洞披露计划,面向外部安全研究人员提供明确范围和安全港保护
事件响应
- 文档化的事件响应计划,包含定义的严重级别、升级路径和通信协议
- 根据 GDPR 第 33 条要求,在 72 小时内向受影响客户和监管机构发出违规通知
- 事后审查流程,包含根本原因分析和修复追踪,向受影响方公布