传输(in transit)
全站 HTTPS · HTTP 自动 301 升级 · Nginx 反向代理只向公网暴露 80/443 · 数据库与内部端口不直接对公网开放。
Security & Compliance · 安全与合规白皮书
Maxfound Geo · 安全 & 合规
Maxfound Geo 把 B2B SaaS 大客户级别的安全实践 · 落地到每一行代码
数据保护 / 访问控制 / 审计日志 / 等保立项 / AI 模型公示 / LLM 数据处理 · B2B 大客户尽调一站式回答
v2.1更新日期:下次复盘:每季度
HTTPS-only
Nginx / Aliyun ECS 反向代理 · 全站 HTTPS · HSTS 基线
大陆阿里云栈
ECS + RDS PostgreSQL + OSS + DirectMail / SMS 按量付费
日志留存基线
访问 / 应用 / 审计 / 安全日志不少于 6 个月
等保立项中
等保 2.0 定级 / 备案材料准备中,未宣称已通过
Chapter 02 · Data Protection
数据保护
传输 / 存储 / 备份 / 跨境 / 租户隔离 / 销毁 · 六层防御 · 每层都有可核验的实现细节。
存储(at rest)
主库使用阿里云 RDS PostgreSQL · 密码、API key、OAuth token 等敏感凭据按哈希或密文保存 · 密钥只放环境变量/密钥管理系统,不写入 Git。
备份(backup)
RDS 自动备份 + deploy/backup-pg.sh 独立 pg_dump 备份脚本 · 备份加密、保留期与恢复演练纳入安全运营台账。
跨境(cross-border)
中国大陆商用默认优先境内 AI 供应商;境外模型仅在客户明确启用、自带 key 或合同约定后调用,涉及个人信息跨境时单独告知并取得必要同意。
租户隔离(tenancy)
每客户独立 Postgres schema · row-level security(RLS)强制启用 · 应用层每次查询附 organization_id 过滤 · 物理隔离选项见第 10 章「自我托管」。
销毁(destruction)
合同终止 30 天内硬删除主表 · 备份滚动覆盖(最长 90 天)· 提供书面《数据销毁证明》· 软删期间客户可随时一键撤销。
Chapter 03 · Access Control
访问控制
用户身份 / MFA / API key / 角色权限 / Session / SSO · 多层防御 · 最小权限原则。
用户身份验证
支持 magic link(邮件一次性链接)/ SMS OTP(阿里云国内 + Twilio 国际)/ 9 大 OAuth 提供商(Google/GitHub/Microsoft/飞书/钉钉/企微/QQ/微博/Apple)· 默认无密码登录降低撞库风险。
多因素认证(MFA)
TOTP(Google Authenticator / 1Password / 微软 Authenticator)+ WebAuthn 硬件密钥支持 · 即将上线(Roadmap 2026 Q3)· Enterprise 套餐可强制全员开启。
API key 管理
格式 maxfound_<24 byte hex>(48 字符)· 仅创建时明文展示一次 · 数据库存 SHA-256 散列 · 全局速率限制 30 请求/min/key · 可按 key 单独撤销 + scope(read / write / admin)。
角色与权限
四级角色:Admin(全权)/ Editor(读写)/ Viewer(只读)/ 子品牌成员(Growth 套餐及以上专属,仅访问指定品牌资源)· 颗粒化资源 ACL。
Session 安全
HMAC-SHA256 签 cookie · 30 天 TTL · httpOnly · Secure · sameSite=lax · CSRF token 双重提交 · 异常 IP / UA 变化触发二次验证。
企业 SSO(SAML / OIDC)
SAML 2.0 + OIDC · 支持 Okta / Auth0 / Azure AD / 飞书 / 钉钉企业身份源 · SCIM 自动 provisioning · Enterprise 套餐专属。
Chapter 04 · Audit Log
审计日志
所有创建 / 修改 / 撤销操作全量留痕 · 客户可自助拉取自己的审计数据。
audit_log 表字段
| 字段 | 类型 | 说明 |
|---|---|---|
| actor_id | uuid | 操作发起用户 / API key 标识 |
| actor_type | enum | user / api_key / system / admin |
| target_type | string | 被操作资源类型(brand / prompt / report / ...) |
| target_id | string | 被操作资源唯一标识 |
| action | string | 操作动词:create / update / delete / revoke / export |
| metadata | jsonb | 操作上下文(before/after diff、原因、关联 trace) |
| ip | inet | 客户端 IP · IPv4/IPv6 双栈 |
| user_agent | text | 客户端 UA 完整字符串 |
| request_id | uuid | 关联 Nginx / PM2 / 后端 trace 全链路 |
| timestamp | timestamptz | 事件发生 UTC 时间 · 毫秒级精度 |
Retention · 保留期
法定基线 + 企业留存
- 网络安全日志:不少于 180 天
- 审计日志:不少于 365 天,覆盖登录、导出、删除、支付、权限变更
- Enterprise:可按合同延长到 3-5 年并提供定期导出
Self-Serve · 自助拉取
客户可随时调用
GET /api/audit-log ?from=2026-01-01 &to=2026-05-14 &action=delete Authorization: Bearer maxfound_xxx
返回 JSON / CSV · 仅返回当前账号 organization 范围内的事件 · 支持时间窗 + action + actor 过滤。
Chapter 04A · MLPS / Logs / SecOps
等保、日志与安全运营立项
网络安全不是一句「我们很安全」就完事:要有负责人、制度、日志、备份、分类分级和证据留存。
进行中
网络安全等级保护
Maxfound Geo 主站已立项等保 2.0 定级工作;完成前不对外宣称已通过等保。
负责人:安全负责人 + 技术负责人 + 备案服务商
系统边界清单资产清单定级建议书公安备案回执测评报告
进行中
网络日志留存
Nginx、PM2、应用审计与安全事件日志按不少于 6 个月的基线留存。
负责人:技术负责人
日志路径清单日志轮转配置备份位置抽样恢复记录
进行中
数据分类分级
按公开信息、一般个人信息、业务数据、敏感凭据四级管理,最小化采集与授权访问。
负责人:法务/运营负责人 + 技术负责人
数据分类台账字段级敏感性标记权限矩阵删除/导出工单记录
进行中
备份与恢复
RDS 自动备份与独立 pg_dump 备份纳入运维计划,关键恢复流程至少每季度演练一次。
负责人:运维负责人
RDS 备份策略截图backup-pg.sh 执行日志恢复演练记录备份加密设置
计划中
安全事件响应
建立分级响应、客户通知、漏洞修复和复盘机制;高危漏洞优先热修复。
负责人:安全负责人
事件分级表处置 runbook客户通知模板复盘报告模板
日志留存矩阵
以不少于 6 个月为底线,关键审计与安全事件保留更久。
访问日志
不少于 180 天Nginx access/error、TLS、反向代理请求
负责人:运维负责人
应用运行日志
不少于 180 天PM2 stdout/stderr、Next.js route error、cron-runner
负责人:技术负责人
审计日志
不少于 365 天;企业客户可延长登录、导出、删除、支付、权限变更、API key 操作
负责人:产品负责人 + 技术负责人
安全事件日志
不少于 365 天限流命中、异常登录、验证码失败、WAF/防护事件
负责人:安全负责人
备份与恢复日志
不少于 365 天RDS 自动备份、pg_dump、恢复演练、备份删除
负责人:运维负责人
数据分类分级
先分类,才知道谁能看、存多久、怎么删。这里是商用基线。
公开信息
官网内容、公开法律页、公开帮助文档、公开案例
控制要求:允许公开访问;变更走内容审核与版本记录
一般个人信息
邮箱、手机号、昵称、登录 IP、设备信息
控制要求:最小化采集;用户可查询、更正、删除;访问按岗位授权
业务数据
品牌资料、扫描结果、知识库、报告、订单、发票信息
控制要求:租户隔离;导出留痕;删除/备份覆盖有周期;客户合同约定留存
敏感凭据与密钥
API key、OAuth refresh token、支付回调密钥、数据库密码
控制要求:仅环境变量或密钥管理系统保存;数据库只存哈希或密文;定期轮换
状态说明:本区块代表 Maxfound Geo 已启动安全运营制度化工作。等保定级、公安备案、测评报告、制度文件签署等运营材料需要持续归档;完成前页面只写「立项 / 进行中」,不写「已通过」。最后更新:2026-06-15。
Chapter 05 · Vulnerability Response
漏洞响应
负责任披露(responsible disclosure)· 三级响应 SLA · bug bounty roadmap。
Disclosure Channel · 责任披露
security@maxfound.cn
我们承诺不会对善意安全研究人员发起法律行动。请在向社区公开之前,先通过此邮箱给我们 90 天合理修复窗口。
发送漏洞报告PGP / GPG 加密
PGP key TBD · 涉及敏感漏洞细节建议加密 · 公钥将于 2026 Q2 发布到 keys.openpgp.org 与本页面。
建议附带
受影响 URL / API 端点 · PoC 复现步骤(截图或最小 curl)· 您建议的严重程度 · 您希望的署名方式
响应 SLA · 三级分类
Critical · 高危
响应:24 小时内确认修复:72 小时内热修复 + 公开 incident report示例:RCE / 越权读取他人数据 / 认证绕过 / 大规模数据泄露
Medium · 中危
响应:3 个工作日内确认修复:7 个工作日内修复并通知示例:存储型 XSS / CSRF / 越权写入但范围有限 / 密钥泄露低敏感
Low · 低危
响应:10 个工作日内确认修复:30 个工作日内修复示例:信息泄露(如版本号)/ 反射型 XSS 在非敏感页面 / 配置最佳实践偏差
Bug Bounty Program:公开 bounty 计划目前在 roadmap 2026 Q4 上线。现阶段对所有提交有效漏洞的研究人员,我们提供书面致谢、Hall of Fame 列名、以及 Maxfound Geo 周边礼品(T 恤 / 贴纸 / 内部年度报告)。重大漏洞额外提供一次性现金致谢(金额按 Critical / Medium / Low 分档)。
Chapter 06 · LLM Data Handling
LLM 数据处理
我们最常被问的 #1 问题:「你们调那么多 LLM,我的数据会不会被拿去训练?」答案:不会,全合同条款约束。
客户数据永不进入训练
客户的 brand fact-claims、私有 prompt、内部知识库内容永远不会用于训练任何 LLM 模型。我们与上游 LLM 供应商的合同明确禁止此用途。
默认 prompt 不含客户 PII
我们的标准探针 prompt 由「品牌词 + 业务词 + 通用对照问句」组成 · 不含客户员工姓名、客户邮箱、客户内部地址 · 除非客户在 dashboard 中明确粘贴。
上游 AI 供应商清单化管理
国内模型(DeepSeek / Kimi / 智谱 GLM / 通义千问 / 豆包方舟等)按供应商条款、备案/登记信息、API 调用用途建立清单;企业客户可索取当期 subprocessor 与模型披露表。
境外模型默认不作为大陆公开发布主通道
OpenAI / Anthropic / Google / Perplexity / OpenRouter 等仅在客户明确启用、自带 key 或合同约定后调用;涉及个人信息跨境时按个人信息保护要求单独告知、取得同意并留痕。
Prompt 包客户隔离
LLM 探针执行使用客户独立 prompt 包 · 不与其他客户的 prompt / 上下文混用 · 每次调用独立 session · 无跨客户记忆 · 无 LLM 端 fine-tune。
Customer Content 不用于任何训练
客户在我们平台上传 / 生成的所有内容(custom prompt、品牌 fact 库、监测目标、案例),均不会被任何 LLM 用作训练材料 · 也不进入我们自己的模型训练管线(如有)。
底线声明:Customer Content 不会被任何 LLM 用作训练 · 不会被我们用作训练 · 不会出现在任何对外公开的数据集 · 客户解约后我们承担数据销毁义务并提供书面证明。
AI Model Disclosure · 模型公示
已接入 / 可选 AI 服务清单
当前披露 8 类 AI 服务;模型名称、备案号或上线编号在 AI 内容免责声明页持续补录。最后核对:2026-06-15。
Chapter 07 · Subprocessors
第三方依赖披露
完整供应商清单 · 涉及客户数据的新增 / 变更会在生效前通知 Enterprise 客户。
| 服务 | 用途 | 数据传输 | 位置 | 合同 / 条款 | 认证 |
|---|---|---|---|---|---|
| 阿里云 RDS PostgreSQL | 主数据库 | 用户元数据 / 品牌资料 / 扫描结果 / 审计日志 / 订单数据 | 中国大陆(杭州地域优先) | 云服务条款 | 云平台公开合规资质 |
| 阿里云 OSS | 对象存储 | 用户上传素材 / 报告附件 / 生成图片与视频文件 | 中国大陆(杭州地域优先) | 云服务条款 | 云平台公开合规资质 |
| 阿里云 DirectMail | 事务邮件投递 | 收件人邮箱 + 邮件模板变量 + 投递状态 | 中国大陆 | 云服务条款 | 邮件服务合规以阿里云公开说明为准 |
| 阿里云短信服务 | 手机号验证 / 安全通知 | 手机号 + 验证码模板变量 + 发送状态 | 中国大陆 | 云服务条款 | 短信签名/模板审核通过后启用 |
| 支付宝 / 微信支付 | 支付处理 | 订单号 / 支付状态 / 退款状态 / 发票所需信息 | 中国大陆 | 支付服务条款 | 支付机构公开资质 |
| 境内 AI 服务商 | 品牌探针 / 内容生成 / 图片视频生成 | 提示词 / 品牌资料 / 用户选择上传的素材 | 中国大陆优先 | 供应商条款 | 备案/登记信息见 AI 内容免责声明 |
LLM 上游供应商
DeepSeek / Kimi(月之暗面)/ 智谱 GLM / 通义千问(阿里云)/ 豆包(火山方舟)为大陆商用优先供应商;ChatGPT / Claude / Gemini / Perplexity / OpenRouter 等为客户明确启用或自带 key 的可选通道。
变更通知机制
新增 / 变更任一 subprocessor · 我们在生效前 30 天通过邮件 + dashboard banner 通知 Enterprise 客户 · 客户有 14 天反对窗口 · 如反对成立可提前解约 + 按比例退款。
Chapter 08 · Compliance Roadmap
合规进展(实事求是 · 不夸张)
我们诚实区分「已完成 / 进行中 / 计划中」三种状态 · 不把 roadmap 当 done · 不把底层平台认证算成自家认证。
已完成
大陆 ICP 展示
maxfound.cn 页脚展示主体与 ICP 备案号,并链接到工信部备案系统
已完成
HTTPS-only
公网入口统一 HTTPS,HTTP 自动跳转;内部端口不直接暴露到公网
已完成
法律入口补齐
服务条款、隐私政策、退款规则、举报入口、联系支持、安全页已公开
已完成
白帽合规承诺书 v1.0
7 条核心承诺 · 拒绝 11 种黑帽手法(已签 · 公开存档)
进行中
AI 生成标识与模型公示
AI 辅助生成提示、复制/发布提示、模型服务清单已上线;具体备案号/上线编号需按最新官方清单持续补录
目标时间:持续更新
进行中
日志留存不少于 6 个月
访问日志、应用日志、审计日志、安全事件日志已列入 180 天以上留存基线
目标时间:2026 Q2 完成证据归档
进行中
等保 2.0 定级 / 备案
建议先按二级开展系统边界、资产清单、定级建议、备案材料准备;完成前不对外宣称已通过
目标时间:2026 Q3 提交/取得回执
计划中
ISO 27001 信息安全管理体系
ISMS 框架文档化中 · 认证审计计划
目标时间:2027 视客户要求启动
关联:白帽合规承诺书 v1.0 已签发 · 拒绝 11 种黑帽手法 · 查看完整承诺书 · 合规进展每季度复盘并更新此页面。
Chapter 09 · Data Subject Rights
用户权利(GDPR / PIPL)
6 大数据主体权利 · 全部支持自助通道 · 24 小时内人工兜底。
| 权利 | 渠道 | SLA |
|---|---|---|
知情权 / 查询权 | GET /api/me + /api/audit-log(自助) | 实时 |
数据可携权(导出) | 邮件 export@maxfound.cn · 或 dashboard 一键导出 | 24 小时内返完整 ZIP(CSV + JSON) |
更正权 | Dashboard 直接编辑 · 或邮件 support@maxfound.cn | 实时(自助)/ 3 工作日(人工) |
删除权(被遗忘权) | POST /api/account/delete · 或邮件 legal@ | 立即软删 + 30 天硬删 |
限制处理权 / 反对权 | Dashboard 设置 · 关闭特定数据用途 | 实时生效 |
撤销同意 | 任何时候在 cookie banner 关闭非必要 cookie | 实时 · 不影响核心功能 |
Chapter 10 · Self-Hosting
自我托管(Enterprise 选项)
对于政府 / 金融 / 国防 / 大型集团 · 我们支持私有部署 · 单租户 · BYO LLM · 离线 air-gapped。
私有部署(Helm Chart)
Kubernetes 1.27+ · Helm 3 chart · 支持 EKS / AKS / 阿里云 ACK / 自建集群 · 半年安全补丁通道 · 升级回滚脚本随包发布。
单租户 PostgreSQL / RDS 实例
独享 Postgres compute + storage · 自管 backup 周期 · 可选阿里云 RDS / 自建 Postgres · 客户可拥有独立数据库管理员权限。
Bring Your Own LLM Key
客户自行充值 8 大 LLM API key(DeepSeek/Kimi/智谱/通义/豆包/ChatGPT/Claude/Gemini)· 我们只收 platform fee · 客户对 LLM 调用与计费有完全自主权。
Air-Gapped 离线部署
完全离线环境 · 通过本地 LLM 推理(vLLM / SGLang)替代云端 API · 适合政府 / 金融 / 国防 / 大型集团内网 · 须 Enterprise 高阶定制合同。
商业说明:自我托管为 Enterprise 高阶定制选项 · 起步合同金额另议 · 包含初次部署支持、季度安全补丁、专属技术支持工程师(TAM)。请发邮件至 enterprise@maxfound.cn 详谈。
Chapter 11 · Contact
联系方式
一站式联络入口 · 安全 / 法务 / 数据处理协议 / Bug bounty / Enterprise
Security · 安全报告
security@maxfound.cn
漏洞报告 · 安全研究协作 · 责任披露 · PGP key TBD(2026 Q2 发布)
SLA:Critical 24h · Medium 3 工作日 · Low 10 工作日
Legal · 法务联络
legal@maxfound.cn
数据处理协议索取 · 合同附件签署 · 数据主体权利申请 · 合规疑问 · 删除请求
SLA:数据处理协议 24h 内提供 · 删除请求即时受理
Enterprise · 企业定制
enterprise@maxfound.cn
私有部署 · 单租户 · BYO LLM key · 离线 air-gapped · 专属 TAM · 自定义 SLA
SLA:商务团队 1 工作日内回复 + 安排技术架构会议
Bug Bounty · 漏洞致谢
暂未开放公开 bounty
现阶段:书面致谢 + Hall of Fame 列名 + 周边礼品 + 重大漏洞额外现金致谢
公开 Bounty 计划:roadmap 2026 Q4 上线
还有未尽调清单?
B2B 大客户的法务、采购、安全团队通常有自家定制的 vendor questionnaire · 请直接发到 legal@maxfound.cn · 我们 5 工作日内逐条回复 · 复杂场景可安排架构会议。