安全第一
安全
您的数据安全是我们的首要任务。我们采用业界标准的安全措施来保护您的业务和客户信息。所有数据都托管在欧盟境内德国的 Hetzner 基础设施上。
Active
Monitoring
<72小时
违规通知
TLS 1.3
传输加密
通用数据保护条例
遵守
数据保护
静态加密
已加密数据库卷在基础设施层以静态方式加密。敏感凭据和支付令牌在存储前会在应用层额外进行加密。
传输加密
TLS 1.3您的浏览器与我们的服务器之间传输的所有数据,都使用 TLS 1.3 和现代密码套件进行加密。
OAuth 2.0 认证
OAuth 2.0我们使用行业标准的 OAuth 2.0,通过 Google、Facebook 和 Apple 进行安全认证。不存储任何密码。
JWT 令牌安全
轮换访问令牌在 1 小时后过期。刷新令牌在每次使用时轮换,并可立即吊销。
基础设施安全
ISO 27001(数据中心)托管在德国的 Hetzner。Hetzner 数据中心已通过 ISO 27001 认证,提供企业级物理安全和网络边缘的 DDoS 防护。
数据库备份
备份每次生产部署和迁移之前都会进行 PostgreSQL 备份。备份存储在受保护的卷上,并保留以便快速回滚。
安全实践
错误监控
应用程序错误和失败的认证尝试会通过 Sentry 记录和监控,以便及早发现异常。
定期更新
定期更新依赖项和系统,以修复安全漏洞并保持最佳实践。
访问控制
用户级数据隔离和基于角色的访问控制(RBAC)确保团队成员只能访问其角色所需的数据。
内部代码审查
代码变更在发布前会经过使用自动化工具(Bandit、依赖项扫描)的内部安全审查。
合规性和认证
符合 GDPR
- 数据处理协议
- 访问和删除权
- 数据可移植性
- 违规通知
PCI数据安全标准
- 通过 iyzico 进行安全支付处理
- 未存储卡数据
- 标记化交易
- 欺诈保护
事件响应
我们的承诺
万一发生影响您数据的安全事件,我们承诺:
- 在发现后 72 小时内通知受影响的用户
- 提供有关受影响数据的明确信息
- 立即采取措施遏制和补救事件
- 进行彻底的事件后审查