合规与认证

关于我们的合规状态和数据处实践的透明报告。

透明度通知

我们相信对我们的合规状态进行诚实沟通。以下是我们当前的认证、正在进行的审计和计划中的举措。我们不声称拥有尚未获得的认证。

活跃

GDPR 合规

完全符合欧盟通用数据保护条例。提供数据处理协议。

进行中

SOC 2 Type II

目前正在进行 SOC 2 Type II 审计。预计完成时间 Q2 2026。

计划于 2026 年

ISO 27001

计划于 2026 年获得信息安全管理体系认证。

数据处理实践

加密标准

  • 对所有传输中的数据使用 TLS 1.3
  • 对静态数据使用 AES-256 加密
  • 企业计划可使用客户管理的加密密钥 (CMEK)

数据驻留

客户数据存储在您选择的地理区域。我们支持欧盟、美国、亚太地区和其他地区的数据驻留要求。未经明确同意,数据不会离开您选择的区域。

数据保留政策

  • 运营数据:在您的订阅期间加 90 天保留
  • 审计日志:保留 7 年以满足监管要求
  • 备份:加密备份保留 30 天,支持时间点恢复

访问控制

身份验证

  • 所有用户必须使用多因素身份验证 (MFA)
  • 支持 SAML 2.0 和 OIDC 的企业 SSO
  • 提供无密码身份验证选项

授权

  • 具有自定义角色的基于角色的访问控制 (RBAC)
  • 执行最小特权原则
  • 定期访问审查和自动取消配置

事件响应

我们要维护全面的事件响应计划,以快速检测、响应和从安全事件中恢复。

我们的响应流程

  1. 在事件识别后 1 小时内进行检测和分类
  2. 对于影响客户数据的事件,在 24 小时内通知客户
  3. 在 72 小时内进行根本原因分析和补救计划
  4. 30天内完成事后审查并实施安全改进