安全政策

最后修改日期: 2025年6月23日 | 生效日期: 2025年6月23日

1. 安全政策概要

Patenty股份有限公司(以下简称"公司")在提供基于AI的专利实务平台服务过程中,为保护用户的个人信息和重要信息,采纳了云优先的安全策略。

本安全政策遵守《个人信息保护法》、《信息通信网络法》等相关法律法规,并基于可信赖的云服务提供商的安全基础设施,实施了额外的安全措施。

2. 安全目标

公司致力于实现以下安全目标:

  • 机密性(Confidentiality): 防止未经授权的个人或系统访问信息
  • 完整性(Integrity): 防止信息被未经授权的方式更改或破坏
  • 可用性(Availability): 确保授权用户在需要时可以访问信息和系统
  • 责任追溯性(Accountability): 追踪并记录系统用户的行为

3. 数据安全

a. 数据加密

  • 传输中加密: 所有数据传输均通过HTTPS/TLS加密
  • 存储时加密: 通过Supabase的标准加密对数据库进行加密
  • API密钥管理: 通过环境变量安全管理API密钥
  • 云安全: 利用云提供商的企业级安全基础设施

b. 数据管理

  • 用户数据和系统数据的区分管理
  • 根据个人信息保护法进行数据保管和删除
  • 利用云提供商的备份和恢复系统
  • 根据最小权限原则进行数据访问控制

4. 系统安全

a. 云基础设施安全

  • Vercel平台: 自动HTTPS、DDoS防御、全球CDN安全
  • Supabase: 基于PostgreSQL的安全、行级安全(RLS)
  • 云防火墙: 利用云提供商的网络安全
  • 自动更新: 自动应用平台级的安全补丁

b. Web应用程序安全

  • 利用Next.js框架的基本安全功能
  • 设置安全HTTP头(X-Frame-Options、X-Content-Type-Options等)
  • 输入数据验证及防止SQL注入
  • 通过Supabase进行安全的API认证和授权

5. 访问控制

a. 用户认证

  • Supabase Auth: 基于邮箱/密码的安全认证
  • 会话管理: 基于JWT令牌的会话管理及自动过期
  • 密码政策: 建议使用至少8位字符的安全密码
  • 账户安全: 通过邮箱认证确认账户

b. 权限管理

  • 项目级别的访问权限管理
  • 用户级别的数据隔离(行级安全)
  • API端点级别的认证要求
  • 根据最小权限原则进行数据访问

6. AI服务安全

a. 第三方AI服务安全

  • 专利业务定制AI模型: 遵守专利专业AI模型的安全政策和数据处理方针
  • 文档分析AI服务: 安全使用文档分析和OCR服务
  • API密钥管理: 通过环境变量安全保管API密钥
  • 数据最小化: 调用AI服务时仅传输必要的最少数据

b. AI服务使用原则

  • 对用户输入数据进行基本验证和过滤
  • 提供关于AI生成结果的免责声明和用户注意事项
  • 最小化传输包含个人信息的数据至AI服务
  • 遵守第三方AI服务的数据保留政策

7. 安全监控

a. 基本监控

  • 利用Vercel Analytics和Supabase监控仪表板
  • 追踪应用程序错误和异常访问尝试
  • 监控API调用模式和使用量
  • 系统错误发生时通知负责人

b. 日志记录与检查

  • 记录基本的系统访问和用户活动日志
  • 遵守云提供商的日志保留政策
  • 定期进行系统更新和应用安全补丁
  • 必要时进行安全漏洞检查和改进

8. 安全事件响应

a. 事件响应体系

  • 指定负责人: 指定安全事件响应负责人并建立联系体系
  • 响应流程: 事件发现、快速响应、恢复、事后措施的基本流程
  • 云支持: 利用云提供商的技术支持和恢复服务
  • 外部合作: 必要时请求专业机构的帮助和咨询

b. 事件通知与恢复

  • 发生个人信息泄露事件时,根据个人信息保护法进行报告和通知
  • 服务中断时迅速恢复并通知用户
  • 查明事件原因并采取基本改进措施以防再次发生
  • 记录事件响应过程并加强未来响应能力

9. 安全意识与教育

  • 提高团队成员的基本信息安全意识
  • 理解个人信息保护法及相关规定
  • 掌握应对网络钓鱼和社会工程攻击的基本方法
  • 遵守预防安全事件的基本守则
  • 使用云服务时的安全注意事项

10. 第三方服务安全

公司为提供服务,使用以下可信赖的第三方服务:

  • Vercel: Web托管和部署平台(SOC 2 Type II认证)
  • Supabase: 数据库和认证服务(SOC 2 Type II认证)
  • Google LLC: AI服务和云基础设施
  • Security.sections.thirdPartyServices.services.mistral.title: Security.sections.thirdPartyServices.services.mistral.description

确认并遵守各第三方服务提供商的安全认证和数据处理方针。

11. 法律合规事项

公司遵守以下法律法规及标准:

  • 国内法律: 《个人信息保护法》、《信息通信网络利用促进及信息保护等相关法律》
  • 云安全: 依赖第三方服务提供商的安全认证(如SOC 2 Type II)
  • 基本安全原则: 参考OWASP等Web安全基本指南
  • 国际标准: 必要时遵守GDPR等国际个人信息保护规定

12. 安全政策管理

① 本安全政策至少每年审查一次,必要时进行修订。

② 安全政策变更时将提前公告,重要变更事项将征得用户同意。

③ 有关安全事项的咨询,可通过以下联系方式进行:

安全负责人: 李相珉(代表理事)

联系方式: admin@patenty.ai

地址: 釜山广域市海云台区栽丝路86号(左洞),115室