1. 資料保護
傳輸加密
使用者與 Anvil 之間的所有流量透過 HTTPS 及 TLS 1.3 傳送。 我們強制 HSTS(max-age 一年)並登記於 preload 名單。服務間內部流量在私網內加密。
靜態加密
PostgreSQL、MongoDB、Redis 持久化儲存與對象儲存均採用 AES-256-GCM 加密。 資料庫備份使用獨立密鑰加密並存放於地理分隔的區域。
密鑰管理
資料加密密鑰由硬件支援的 KMS 持有的密鑰加密密鑰包裹。 密鑰按既定頻率輪換;沒有人能以明文方式存取 DEK。
機密
應用機密儲存於加密機密庫,在執行時注入,絕不提交到源碼管理。 每次推送均執行機密掃描。
租戶隔離
每個帶租戶資料表的每行均帶租戶識別符。 授權在應用層執行;每次部署均運行跨租戶回歸測試。儲存路徑採命名空間。
資料駐留
客戶資料主要託管於中國香港特別行政區。 企業客戶可要求歐盟或美國專屬駐留;請聯絡我們了解定價。
2. 身份驗證與存取
使用者驗證
電郵 + 密碼、Google OAuth,以及 SAML/OIDC SSO(企業)。 密碼使用 Argon2id 加上每用戶鹽值雜湊。多次失敗後鎖定帳戶。
MFA
所有套餐均支援 TOTP 和 WebAuthn/Passkeys。OWNER 和 ADMIN 角色 強制啟用 MFA。
會話
存取權杖為短期(15 分鐘)JWT,以 RS256 簽章;重新整理權杖輪換並儲存在 __Host 前綴的 HttpOnly Cookie 中。 CSRF 以雙重提交權杖及 SameSite=Lax Cookie 緩解。
RBAC
內建角色:OWNER、ADMIN、MANAGER、MEMBER、VIEWER。權限在伺服器端執行; 介面會隱藏使用者無權使用的項目,但不依賴此作為保安機制。
員工存取
工程師無常設生產環境存取。應急存取為限時、需同儕審批,並完整記錄。 所有存取均使用硬件保安金鑰及受管零信任代理。
API 密鑰與 Webhook
API 密鑰範圍受限、可撤銷、有速率限制,並以雜湊形式靜態儲存。 Webhook 以 HMAC 機密簽章;包含時間戳與重放保護。
3. 基礎設施保安
網絡
Cloudflare 位於邊緣,提供 DDoS 緩解、WAF、機械人管理與 TLS 終止。 原點僅可透過已驗證的隧道訪問 — 真實 IP 不對外路由。
分段
服務按信任區域分組。服務間流量在可用之處使用服務網格 mTLS,其他情況使用私網。 資料庫沒有公開入站流量。
加固
主機運行最小化、定期修補的基底映像檔。容器映像檔在可行時基於 distroless 構建, 並在每次構建時掃描 CVE。若存在 CRITICAL CVE,部署會拒絕發布。
組態管理
所有基礎設施以程式碼定義。偏移會被偵測及標示。 手動變更為例外情況,並需同儕評審。
供應鏈
相依性會被釘版並在升級前評審。我們訂閱各語言生態的公告摘要, 依嚴重程度的約定 SLA 推送升級。
構建管線
CI 在臨時 Runner 中運行,權限最小。構件被簽章;部署前驗證簽章。
4. 安全開發
- 代碼評審:每次變更均需評審;不准自我合併至生產分支。
- SAST、DAST、相依性、機密與容器掃描:在 CI 中運行;發現項需分流並 SLA 追蹤。
- 威脅建模:對涉及身份、付款或 PII 的新系統進行。
- 年度第三方滲透測試(全範圍)。摘要可在簽署保密協議後提供。
- 漏洞賞金 / 負責任披露 — 詳見下文。
- 保安大使計劃:每個小組至少一名受訓大使。
5. 監控與偵測
- 集中式、防篡改的日誌儲存,安全事件至少保留 1 年。
- 即時告警:身份驗證異常、權限提升、資料匯出量尖峰、WAF 訊號。
- Sentry 追蹤應用錯誤;OpenTelemetry 提供追蹤與效能指標。
- 資料庫審計日誌:管理員操作及跨租戶讀寫。
- 保安團隊每週審查高風險審計事件。
6. 事件應變
應變手冊
文檔化程序含嚴重度分級、命名角色(事件指揮、溝通負責人、記錄員)及預建的溝通範本。
7×24 待命
輪值工程待命。保安事件會同時通知保安負責人及工程待命。
通知 SLA
確認個人資料外洩後 48 小時內,按 DPA 通知受影響客戶登記的保安聯絡人。
事後檢討
重大事件進行無責備根因分析。不涉及其他客戶的摘要發布於狀態頁。
7. 韌性、備份與災難恢復
- 備份:PostgreSQL 每日加密全量備份 + 小時級增量;對象儲存具版本控制且跨地域複製。
- 保留:35 天滾動。企業套餐提供法律保存及更長保留。
- 恢復演練:至少每季一次在乾淨環境中進行全量資料庫恢復並驗證資料完整性。
- 目標:主資料庫 RPO ≤ 1 小時、RTO ≤ 4 小時。實際測量數字可在保密協議下向客戶提供。
- 多可用區:無狀態服務跨可用區 active-active 運行。有狀態服務自動容錯切換,並以健康檢查閘門控制。
8. 人員與供應商
- 法律允許範圍內的背景調查。
- 入職時簽署保密及可接受使用政策。
- 年度保安意識培訓與釣魚演練。
- 任何存取生產環境的裝置必須符合受管裝置姿態(磁碟加密、螢幕鎖、EDR)。
- 委聘可存取客戶資料的處理者前進行供應商評估。見 子處理方清單。
- 入職 / 轉崗 / 離職流程控制存取配發與回收。
9. 合規與認證
GDPR 與 UK GDPR
控制者與處理者義務、SCCs(模組二)、UK IDTA、DPIA 支援。
HK PDPO
香港《個人資料(私隱)條例》(第 486 章)下的資料使用者義務 — 我們的主要司法管轄區。
CCPA / CPRA
服務提供者角色,不出售或共用個人資訊,尊重 GPC 訊號。
PIPL
企業套餐提供自中國大陸跨境傳輸的標準合約路徑。
SOC 2 Type II
觀察窗口於 2026 Q2 開啟。差距評估已完成;補救進行中。
ISO 27001:2022
實作對齊 2022 附件 A 控制。第一階段審核目標 2027 年。
企業套餐客戶可在保密協議下索取 SIG-Lite、CAIQ 或供應商問卷。
10. 資料保留與刪除
- 終端使用者的刪除請求於 30 天內(或法律要求更快)處理。
- 帳戶終止後,資料保留 30 天供匯出,之後在另 60 天內刪除或匿名化,按 DPA 執行。
- 包含已刪除資料的備份按標準輪換清除(≤ 35 天)。我們不會人手編輯備份。
- 可按請求提供刪除證書。
11. 負責任披露
我們歡迎保安研究人員提交報告。請電郵至 security@anvilhk.com (轉發至 738888@proton.me),內容包括:
- 問題及受影響資產的清晰描述。
- 概念驗證步驟,最小化以避免接觸真實客戶資料。
- 如欲被致謝,請提供您的名字或代號。
我們承諾:
- 於 2 個工作天內確認。
- 於 5 個工作天內提供初步評估。
- 不對善意並在我們 security.txt 政策範圍內行動的研究人員提起法律訴訟。
- 在徵得同意下,於名人堂頁面致謝研究人員。
付費漏洞賞金計劃預計於 2026 年推出。在推出前,我們對高影響問題酌情支付賞金。
12. 狀態與透明度
- 即時狀態位於 status.anvilhk.com。
- 計劃維護在狀態頁上至少提前 72 小時公布。
- 我們每年發布透明度報告,匯總來自執法機關與政府機構的資料請求數量。
13. 聯絡
- 保安通報:security@anvilhk.com
- 私隱與資料保護:privacy@anvilhk.com
- 濫用:abuse@anvilhk.com
- 客戶支援:support@anvilhk.com
所有別名地址在完成公司郵件遷移前,目前均轉發至 738888@proton.me。