Trust Center

可以驗證

透明是信任的基礎。查看我們的合規狀態、安全架構、資料處理實踐和次處理者關係 -- 全在一處。

合規狀態

認證與框架。

即時可見我們的合規態勢。我們誠實公布狀態 -- 包括進行中的，不只是已完成的。

SOC 2 Type 1進行中

已啟動 SOC 2 Type 1 readiness program：8 項核心 policy 公開於 panguard-ai/security-policies、subprocessor 清單即時更新、security.txt 揭露漏洞通報流程、incident response SLA 已生效。Vanta / Drata vendor 評估進行中，CPA 簽約與正式 attestation 目標 Q4 2026 / Q1 2027。

ISO 270012027 規劃中

在 SOC 2 Type II 之後接續。ISMS 控制與 Type 1 準備同步設計,使認證成為形式化過程。

GDPR / 台灣個資法生效中

我們處理最少量的個人資料(email + workspace 名稱 + 匿名 telemetry)。DPA 可索取。

HIPAA不在範圍

Panguard 不處理 PHI 受保護健康資訊。HIPAA 規範客戶不應透過 Panguard 傳輸 PHI。

安全架構

縱深防禦。

我們的安全模型是分層的。任何單一層的失敗不會危及系統。每一層獨立運行，有自己的控制。

資料層

AES-256 靜態加密(Threat Cloud)
TLS 1.3 傳輸加密
本地組態檔案權限(0600)
Skill 內容預設不離開你的機器
啟用 telemetry 時僅傳送 SHA-256 匿名指紋

應用層

輸入驗證和消毒
本地組態檔案權限（0600）
CLI 透過本地令牌認證

基礎設施層

本地優先架構 -- 所有資料留在你的機器上
Threat Cloud 部署在 SOC 2 Type II 認證的雲端供應商
管理操作不可變稽核日誌(保留 365 天)
自動依賴弱點掃描
供應商邊緣 DDoS 防護

資料處理

我們如何對待你的資料。

每一項資料處理實踐都有文件記錄、透過政策強制執行，並透過自動化控制驗證。

資料加密

AES-256 靜態加密，TLS 1.3 傳輸加密。本地組態和憑證儲存加密。

資料駐留

所有資料儲存在你的裝置本地。除非你選擇加入威脅雲，否則不會使用雲端儲存。

資料保留

可按資料類型配置保留政策。自動清除並進行密碼學驗證。

存取控制

檔案系統權限限制對組態和資料的存取。盡可能以非特權使用者執行。

稽核日誌

所有管理操作的不可變稽核軌跡。日誌至少保留 12 個月。

事件回應

72 小時資料外洩通知承諾。書面 IR runbook。外部桌上演練計劃在 Q3 2026 隨 SOC 2 Type 1 同步啟動。

次處理者

我們合作的第三方。

我們將次處理者的使用限制在必要服務。每個次處理者在加入前都經過安全審查，並每年重新評估。

次處理者用途位置

AWS基礎設施計算與儲存美國 / 全球

AnthropicThreat Cloud 規則草稿生成（僅匿名化模式；非執行階段偵測）美國

Supabase客戶帳號資料庫與認證新加坡 / 美國

Stripe付款處理與帳單美國

Vercel網站與儀表板託管美國 / 全球邊緣

RailwayThreat Cloud 後端託管新加坡（亞太）

CloudflareCDN、WAF 與 DDoS 防護全球邊緣

GitHub原始碼與安全政策託管美國

Resend交易郵件（驗證、通知）美國

最後更新：2026 年 5 月。我們在新增次處理者前至少 30 天通知客戶。透過我們的 GitHub 儲存庫訂閱更新。

資料生命週期

資料保留政策

明確的政策說明我們儲存什麼資料以及保留多久。

安全事件90 天

偵測事件、警報和回應日誌儲存在你的端點本地。

基線資料持續

環境基線持續更新。新學習期開始時替換。

威脅雲提交1 年

僅匿名化威脅簽名。無 PII、無原始碼、無原始日誌。

聯絡資料依請求

不需要帳戶。如果您主動聯繫我們，該資料將在您請求後刪除。

事件回應

安全事件流程

我們對出問題時保持透明的承諾。

偵測

< 1 小時

自動監控偵測異常。值班工程師收到警報。

評估

< 4 小時

嚴重程度分類。識別受影響用戶。啟動遏制措施。

通知

< 24 小時

透過電子郵件通知受影響客戶。更新狀態頁面。如有需要通報監管機構。

修復

< 72 小時

找出根本原因並修復。部署修補程式。發布事後檢討報告。

需要合規文件？

申請 SOC 2 報告、滲透測試摘要或資料處理協議。所有文件對社群開放。

申請文件查看安全實踐

Trust Center

可以驗證

透明是信任的基礎。查看我們的合規狀態、安全架構、資料處理實踐和次處理者關係 -- 全在一處。

合規狀態

認證與框架。

即時可見我們的合規態勢。我們誠實公布狀態 -- 包括進行中的，不只是已完成的。

SOC 2 Type 1進行中

ISO 270012027 規劃中

在 SOC 2 Type II 之後接續。ISMS 控制與 Type 1 準備同步設計,使認證成為形式化過程。

GDPR / 台灣個資法生效中

我們處理最少量的個人資料(email + workspace 名稱 + 匿名 telemetry)。DPA 可索取。

HIPAA不在範圍

Panguard 不處理 PHI 受保護健康資訊。HIPAA 規範客戶不應透過 Panguard 傳輸 PHI。

安全架構

縱深防禦。

我們的安全模型是分層的。任何單一層的失敗不會危及系統。每一層獨立運行，有自己的控制。

資料層

AES-256 靜態加密(Threat Cloud)
TLS 1.3 傳輸加密
本地組態檔案權限(0600)
Skill 內容預設不離開你的機器
啟用 telemetry 時僅傳送 SHA-256 匿名指紋

應用層

輸入驗證和消毒
本地組態檔案權限（0600）
CLI 透過本地令牌認證

基礎設施層

本地優先架構 -- 所有資料留在你的機器上
Threat Cloud 部署在 SOC 2 Type II 認證的雲端供應商
管理操作不可變稽核日誌(保留 365 天)
自動依賴弱點掃描
供應商邊緣 DDoS 防護

資料處理

我們如何對待你的資料。

每一項資料處理實踐都有文件記錄、透過政策強制執行，並透過自動化控制驗證。

資料加密

AES-256 靜態加密，TLS 1.3 傳輸加密。本地組態和憑證儲存加密。

資料駐留

所有資料儲存在你的裝置本地。除非你選擇加入威脅雲，否則不會使用雲端儲存。

資料保留

可按資料類型配置保留政策。自動清除並進行密碼學驗證。

存取控制

檔案系統權限限制對組態和資料的存取。盡可能以非特權使用者執行。

稽核日誌

所有管理操作的不可變稽核軌跡。日誌至少保留 12 個月。

事件回應

72 小時資料外洩通知承諾。書面 IR runbook。外部桌上演練計劃在 Q3 2026 隨 SOC 2 Type 1 同步啟動。

次處理者

我們合作的第三方。

我們將次處理者的使用限制在必要服務。每個次處理者在加入前都經過安全審查，並每年重新評估。

次處理者用途位置

AWS基礎設施計算與儲存美國 / 全球

AnthropicThreat Cloud 規則草稿生成（僅匿名化模式；非執行階段偵測）美國

Supabase客戶帳號資料庫與認證新加坡 / 美國

Stripe付款處理與帳單美國

Vercel網站與儀表板託管美國 / 全球邊緣

RailwayThreat Cloud 後端託管新加坡（亞太）

CloudflareCDN、WAF 與 DDoS 防護全球邊緣

GitHub原始碼與安全政策託管美國

Resend交易郵件（驗證、通知）美國

最後更新：2026 年 5 月。我們在新增次處理者前至少 30 天通知客戶。透過我們的 GitHub 儲存庫訂閱更新。

資料生命週期

資料保留政策

明確的政策說明我們儲存什麼資料以及保留多久。

安全事件90 天

偵測事件、警報和回應日誌儲存在你的端點本地。

基線資料持續

環境基線持續更新。新學習期開始時替換。

威脅雲提交1 年

僅匿名化威脅簽名。無 PII、無原始碼、無原始日誌。

聯絡資料依請求

不需要帳戶。如果您主動聯繫我們，該資料將在您請求後刪除。

事件回應

安全事件流程

我們對出問題時保持透明的承諾。

偵測

< 1 小時

自動監控偵測異常。值班工程師收到警報。

評估

< 4 小時

嚴重程度分類。識別受影響用戶。啟動遏制措施。

通知

< 24 小時

透過電子郵件通知受影響客戶。更新狀態頁面。如有需要通報監管機構。

修復

< 72 小時

找出根本原因並修復。部署修補程式。發布事後檢討報告。

需要合規文件？

申請 SOC 2 報告、滲透測試摘要或資料處理協議。所有文件對社群開放。

申請文件查看安全實踐

可以 驗證

認證與框架。

縱深防禦。

資料層

應用層

基礎設施層

我們如何對待你的資料。

我們合作的第三方。

資料保留政策

安全事件流程

需要合規文件？

可以 驗證

認證與框架。

縱深防禦。

資料層

應用層

基礎設施層

我們如何對待你的資料。

我們合作的第三方。

資料保留政策

安全事件流程

需要合規文件？

可以驗證

可以驗證