1. 我们对安全的承诺
明察致力于保护平台、用户数据以及支撑服务的系统的安全与完整。本《安全策略》阐明我们对信息安全的整体方法,以及为保障您数据所采取的措施。
2. 基础设施安全
2.1 托管与数据中心
- 服务托管于企业级云基础设施
- 数据中心持有 SOC 2 Type II 与 ISO 27001 认证
- 物理访问控制包含生物识别认证与 7×24 监控
- 冗余电力、制冷与网络保障高可用性
2.2 网络安全
- 全部传输数据采用 TLS 1.3 加密
- Web 应用防火墙(WAF)抵御常见攻击向量
- 在网络边缘部署 DDoS 缓解服务
- 对网络流量进行持续异常监测
3. 应用安全
- 遵循安全开发生命周期(SDLC)实践
- 定期开展代码审查与静态代码分析
- 通过依赖扫描识别第三方库中的漏洞
- 每年至少由独立机构开展一次渗透测试
4. 数据保护
4.1 加密
- 静态数据采用 AES-256 加密
- 传输数据采用 TLS 1.3 加密
- 加密密钥由专用密钥管理服务(KMS)管理
- 按密钥管理策略定期轮换密钥
4.2 访问控制
- 通过基于角色的访问控制(RBAC)限制数据访问范围
- 内部系统强制启用多因素认证(MFA)
- 每季度执行一次访问权限复核
- 在所有系统中执行最小权限原则
5. 事件响应
我们的安全事件响应流程包括:
- 检测: 自动化监测与告警系统识别潜在事件
- 分级: 安全团队评估严重程度与影响范围
- 抑制: 立即采取行动以限制事件影响
- 根除: 定位并消除根本原因
- 恢复: 恢复受影响的系统与服务
- 复盘: 进行全面分析并改进流程
6. 漏洞管理
- 持续开展自动化漏洞扫描
- 关键漏洞在发现后 24 小时内完成修复
- 维护对外部研究人员开放的负责任披露计划
- 对影响客户的安全问题发布安全公告
7. 业务连续性
- 定期备份并实现异地冗余
- 每年至少进行两次灾难恢复演练
- 关键服务的恢复时间目标(RTO):4 小时
- 关键数据的恢复点目标(RPO):1 小时
8. 合规
我们遵循并对齐以下框架与法规:
- 中华人民共和国《网络安全法》《数据安全法》《个人信息保护法》
- 《生成式 AI 服务管理办法》
- 等保三级(信息安全等级保护)
- ISO 27001 信息安全管理体系
- SOC 2 Type II(审计进行中)
- 涉及支付的部分对齐 PCI DSS 标准
9. 负责任披露
如您发现安全漏洞,请按以下方式负责任地报告:
- 邮箱:security@mingcha.app
- 在我们完成处理前请勿公开披露漏洞
- 提供足以复现问题的详细信息
- 我们承诺在 24 小时内回复确认
10. 联系我们
如有任何安全相关问题,请联系安全团队:security@mingcha.app。