Trust Center

可以驗證

透明是信任的基礎。查看我們的合規狀態、安全架構、資料處理實踐和次處理者關係 -- 全在一處。

合規狀態

認證與框架。

即時可見我們的合規態勢。我們誠實公布狀態 -- 包括進行中的，不只是已完成的。

SOC 2 Type II進行中

預計 2026 Q3。將由四大會計師事務所進行稽核，涵蓋安全、可用性和保密性信任服務準則。證據自動化進行中。

ISO 27001規劃中

預計 2026 Q4。風險評估框架已就緒。ISMS 從第一天起按 ISO 27001 標準建立，認證只是正式化。

GDPR 合規生效中

完整 GDPR 合規，含自動化資料主體請求處理。所有客戶可取得資料處理協議。平台全面落實隱私設計。

HIPAA 就緒進行中

BAA 規劃中。加密控制已實施。存取稽核日誌和自動工作階段管理已強制執行。

安全架構

縱深防禦。

我們的安全模型是分層的。任何單一層的失敗不會危及系統。每一層獨立運行，有自己的控制。

資料層

AES-256 靜態加密
TLS 1.3 傳輸加密
每租戶金鑰管理
自動金鑰輪替（90 天）
硬體安全模組支援

應用層

多因素認證
角色存取控制（RBAC）
API 金鑰範圍和速率限制
輸入驗證和消毒
工作階段管理和自動過期

基礎設施層

單租戶隔離
24/7 基礎設施監控
邊緣 DDoS 防護
不可變部署管線
自動弱點掃描

資料處理

我們如何對待你的資料。

每一項資料處理實踐都有文件記錄、透過政策強制執行，並透過自動化控制驗證。

資料加密

AES-256 靜態加密，TLS 1.3 傳輸加密。每租戶加密金鑰，自動輪替。

資料駐留

客戶資料儲存在客戶選擇的區域。未經同意不進行跨區域複製。

資料保留

可按資料類型配置保留政策。自動清除並進行密碼學驗證。

存取控制

基於角色的存取控制，遵循最小權限原則。所有存取變更需經審批工作流。

稽核日誌

所有管理操作的不可變稽核軌跡。日誌至少保留 12 個月。

事件回應

24 小時資料外洩通知 SLA。有文件記錄的 IR 計畫，每季以桌上演練測試。

次處理者

我們合作的第三方。

我們將次處理者的使用限制在必要服務。每個次處理者在加入前都經過安全審查，並每年重新評估。

次處理者用途位置

AWS基礎設施美國 / 歐盟

AnthropicAI 處理美國

CloudflareCDN 及 DDoS 防護全球

Resend交易郵件美國

最後更新：2026 年 2 月。我們在新增次處理者前至少 30 天通知客戶。透過我們的 GitHub 儲存庫訂閱更新。

資料生命週期

資料保留政策

明確的政策說明我們儲存什麼資料以及保留多久。

安全事件90 天

偵測事件、警報和回應日誌儲存在你的端點本地。

基線資料持續

環境基線持續更新。新學習期開始時替換。

威脅雲提交1 年

僅匿名化威脅簽名。無 PII、無原始碼、無原始日誌。

帳戶資料使用中 + 30 天

帳戶使用期間保留電子郵件和帳戶資訊，取消後 30 天刪除。

掃描報告30 天

PDF 報告儲存在本地。雲端副本（如有）30 天後自動刪除。

事件回應

安全事件流程

我們對出問題時保持透明的承諾。

偵測

< 1 小時

自動監控偵測異常。值班工程師收到警報。

評估

< 4 小時

嚴重程度分類。識別受影響用戶。啟動遏制措施。

通知

< 24 小時

透過電子郵件通知受影響客戶。更新狀態頁面。如有需要通報監管機構。

修復

< 72 小時

找出根本原因並修復。部署修補程式。發布事後檢討報告。

需要合規文件？

申請 SOC 2 報告、滲透測試摘要、資料處理協議，或與我們團隊安排安全深度交流。企業客戶優先取得所有合規文件。

申請文件查看安全實踐

Trust Center

可以驗證

透明是信任的基礎。查看我們的合規狀態、安全架構、資料處理實踐和次處理者關係 -- 全在一處。

合規狀態

認證與框架。

即時可見我們的合規態勢。我們誠實公布狀態 -- 包括進行中的，不只是已完成的。

SOC 2 Type II進行中

預計 2026 Q3。將由四大會計師事務所進行稽核，涵蓋安全、可用性和保密性信任服務準則。證據自動化進行中。

ISO 27001規劃中

預計 2026 Q4。風險評估框架已就緒。ISMS 從第一天起按 ISO 27001 標準建立，認證只是正式化。

GDPR 合規生效中

完整 GDPR 合規，含自動化資料主體請求處理。所有客戶可取得資料處理協議。平台全面落實隱私設計。

HIPAA 就緒進行中

BAA 規劃中。加密控制已實施。存取稽核日誌和自動工作階段管理已強制執行。

安全架構

縱深防禦。

我們的安全模型是分層的。任何單一層的失敗不會危及系統。每一層獨立運行，有自己的控制。

資料層

AES-256 靜態加密
TLS 1.3 傳輸加密
每租戶金鑰管理
自動金鑰輪替（90 天）
硬體安全模組支援

應用層

多因素認證
角色存取控制（RBAC）
API 金鑰範圍和速率限制
輸入驗證和消毒
工作階段管理和自動過期

基礎設施層

單租戶隔離
24/7 基礎設施監控
邊緣 DDoS 防護
不可變部署管線
自動弱點掃描

資料處理

我們如何對待你的資料。

每一項資料處理實踐都有文件記錄、透過政策強制執行，並透過自動化控制驗證。

資料加密

AES-256 靜態加密，TLS 1.3 傳輸加密。每租戶加密金鑰，自動輪替。

資料駐留

客戶資料儲存在客戶選擇的區域。未經同意不進行跨區域複製。

資料保留

可按資料類型配置保留政策。自動清除並進行密碼學驗證。

存取控制

基於角色的存取控制，遵循最小權限原則。所有存取變更需經審批工作流。

稽核日誌

所有管理操作的不可變稽核軌跡。日誌至少保留 12 個月。

事件回應

24 小時資料外洩通知 SLA。有文件記錄的 IR 計畫，每季以桌上演練測試。

次處理者

我們合作的第三方。

我們將次處理者的使用限制在必要服務。每個次處理者在加入前都經過安全審查，並每年重新評估。

次處理者用途位置

AWS基礎設施美國 / 歐盟

AnthropicAI 處理美國

CloudflareCDN 及 DDoS 防護全球

Resend交易郵件美國

最後更新：2026 年 2 月。我們在新增次處理者前至少 30 天通知客戶。透過我們的 GitHub 儲存庫訂閱更新。

資料生命週期

資料保留政策

明確的政策說明我們儲存什麼資料以及保留多久。

安全事件90 天

偵測事件、警報和回應日誌儲存在你的端點本地。

基線資料持續

環境基線持續更新。新學習期開始時替換。

威脅雲提交1 年

僅匿名化威脅簽名。無 PII、無原始碼、無原始日誌。

帳戶資料使用中 + 30 天

帳戶使用期間保留電子郵件和帳戶資訊，取消後 30 天刪除。

掃描報告30 天

PDF 報告儲存在本地。雲端副本（如有）30 天後自動刪除。

事件回應

安全事件流程

我們對出問題時保持透明的承諾。

偵測

< 1 小時

自動監控偵測異常。值班工程師收到警報。

評估

< 4 小時

嚴重程度分類。識別受影響用戶。啟動遏制措施。

通知

< 24 小時

透過電子郵件通知受影響客戶。更新狀態頁面。如有需要通報監管機構。

修復

< 72 小時

找出根本原因並修復。部署修補程式。發布事後檢討報告。

需要合規文件？

申請 SOC 2 報告、滲透測試摘要、資料處理協議，或與我們團隊安排安全深度交流。企業客戶優先取得所有合規文件。

申請文件查看安全實踐

可以 驗證

認證與框架。

縱深防禦。

資料層

應用層

基礎設施層

我們如何對待你的資料。

我們合作的第三方。

資料保留政策

安全事件流程

需要合規文件？

可以 驗證

認證與框架。

縱深防禦。

資料層

應用層

基礎設施層

我們如何對待你的資料。

我們合作的第三方。

資料保留政策

安全事件流程

需要合規文件？

可以驗證

可以驗證