安全政策
最后更新:2025年1月27日 | 生效日期:2025年1月27日
1. 安全政策概述
Patenty Inc.构建并运营企业级安全系统,以保护用户数据和个人信息。
本安全政策阐述了我们的安全原则和实施措施,提出了所有用户和员工必须遵守的安全标准。
2. 安全目标
我们的安全系统旨在实现以下核心目标:
- 机密性: 保护信息免受未经授权的访问
- 完整性: 确保数据的准确性和完整性
- 可用性: 提供持续稳定的服务
- 责任性: 对所有活动的跟踪和审计功能
3. 数据安全
加密
- 传输加密: 使用TLS 1.3的HTTPS通信
- 存储加密: 通过AES-256加密的数据库安全
- API密钥管理: 通过环境变量进行安全密钥管理
- 云安全: Supabase企业级加密服务
数据管理
- 个人信息最小收集原则
- 数据保存期间自动管理
- 定期数据备份和恢复测试
- 访问权限的定期审查和更新
4. 系统安全
云基础设施
- Vercel平台: 自动HTTPS、DDoS保护、全球CDN
- Supabase数据库: 行级安全、自动备份
- 网络防火墙: 阻止恶意流量和SQL注入
- 自动更新: 快速应用安全补丁
网络应用
- 通过CSRF令牌防止跨站请求伪造
- 输入数据验证和转义以防止XSS
- 参数化查询以防止SQL注入
- 安全标头防止点击劫持和内容注入
5. 访问控制
认证
- Supabase Auth: 基于OAuth 2.0的认证系统
- 会话管理: 基于JWT令牌的安全会话
- 密码策略: 强密码要求和哈希
- 账户安全: 异常登录尝试的检测和阻止
权限管理
- 基于角色的访问控制(RBAC)
- 基于最小权限原则的权限授予
- 项目级别的细粒度访问权限
- 定期权限审查和更新
6. AI服务安全
第三方AI服务
- AI模型: Google Gemini、Mistral AI的企业级模型
- OCR服务: Google Cloud Vision API的安全API
- API密钥安全: 仅从服务器端可访问的密钥管理
- 数据最小化: 仅传输AI处理所需的最少数据
AI安全原则
- 发送到AI模型的数据预验证
- AI响应的后处理以过滤敏感信息
- AI服务使用的安全日志记录
- AI模型更新时的安全影响评估
7. 安全监控
基础监控
- 实时系统状态监控
- 异常访问模式检测
- 服务可用性监控
- 性能异常预警
日志记录和审计
- 记录所有用户活动日志
- 系统事件和错误日志
- 跟踪数据访问和修改历史
- 定期日志分析和报告
8. 安全事件响应
响应体系
- 人员配置: 24/7安全人员部署
- 响应程序: 按事件类型的系统响应手册
- 云支持: 与Vercel、Supabase技术支持团队协调
- 外部合作: 必要时与安全专家合作
事件通知
- 即时内部团队通知系统
- 用户影响评估和公告
- 向相关当局报告(必要时)
- 事后改进计划制定和实施
9. 安全意识和培训
- 员工定期安全培训
- 分享最新安全威胁信息
- 安全政策意识和合规检查
- 社会工程攻击响应培训
- 安全事件模拟和响应培训
10. 第三方服务安全
Patenty.AI使用以下可信的第三方服务来提供我们的服务,每个服务都符合严格的安全标准:
- Vercel (托管): 企业级CDN和DDoS保护,自动SSL/TLS证书管理
- Supabase (数据库): 基于PostgreSQL的数据库,行级安全,自动备份
- Google Cloud AI: Gemini AI模型,数据最小化和加密API通信
- Mistral AI: 高级AI分析服务,符合EU数据保护法规
所有第三方服务都持有SOC 2、ISO 27001等国际安全认证。
11. 法律合规
我们遵守以下法律要求:
- 国内法律: 个人信息保护法、信息通信网络法、云计算法
- 云安全: 云计算发展和用户保护法
- 基础安全: 信息通信基础设施保护法、网络安全基本法
- 国际标准: GDPR(欧盟)、CCPA(加州)等全球隐私法规
12. 安全政策管理
本安全政策每年至少审查一次,并根据法律变化或技术发展及时更新。
政策变更时,会提前通知用户,重要变更会获得明确同意。
有关安全政策的询问或安全事件报告,请联系:
安全负责人: 李相民(CEO)
邮箱: contact@patenty.ai
地址: 韩国釜山广域市海云台区世实路86号(左栋)115号