Keamanan yang benar-benar bisa Anda baca.
Tidak ada diagram pemasaran. Hanya apa yang kami lakukan untuk menjaga data Anda tetap pribadi, kecil, dan di tangan Anda — di situs ini dan di setiap produk yang kami kirim.
Satu asal. Terenkripsi di kabel. Nol pihak ketiga. Retensi singkat. Subprosesor yang disebutkan.
Lima baris di atas adalah seluruh postur dalam satu tarikan napas. Semua di bawah adalah bukti pendukung — apa arti setiap baris, bagaimana itu ditegakkan, dan bagaimana melaporkan masalah ketika ada yang salah.
Bagaimana kami menjalankan situs dan platform
Enkripsi di setiap kabel
Semua halaman publik dan lalu lintas produk berjalan melalui TLS 1.3 dengan cipher modern. Sertifikat dikeluarkan oleh Let's Encrypt dan dirotasi otomatis. HTTP Strict Transport Security diatur dengan max-age yang panjang. Apa pun yang Anda ketik tidak pernah melintasi web terbuka dalam teks polos. Panggilan internal antar layanan menggunakan TLS timbal balik di tempat di mana jalur jaringan dapat diamati.
Nol panggilan pihak ketiga
Tidak ada analitik, tidak ada piksel, tidak ada jaringan iklan, tidak ada font eksternal, tidak ada video tertanam, tidak ada widget media sosial. Browser Anda hanya berbicara dengan asal kami. Ini ditegakkan dalam continuous integration oleh skrip bernama no-third-party.mjs yang memindai situs yang dibangun dan menggagalkan rilis jika ada host eksternal muncul di bundel. Janji adalah unit test, bukan baris pemasaran. On this marketing site only. Individual products in our portfolio may use named subprocessors — see each product privacy notice for the full list.
Build yang ditandatangani dan diverifikasi
Setiap image kontainer yang kami kirim dibuat dari kumpulan bagian yang dikunci. Lockfile ada di git. Kami meninjau saran sebelum memutakhirkan bagian apa pun. Rilis ditandatangani dan diperiksa di host sebelum berjalan. Build yang gagal di gerbang mana pun — ukuran bundle, a11y, pihak ketiga — tidak dapat mencapai produksi.
Jendela retensi singkat
Log server disimpan selama empat belas hari untuk debugging dan kemudian dihapus. Email formulir kontak disimpan hanya selama waktu yang dibutuhkan untuk membalas dan mengarsipkan percakapan, lalu diarsipkan hingga dua puluh empat bulan untuk pencatatan, kemudian dihapus. Backup berputar dalam siklus tiga puluh hari dan dienkripsi saat istirahat.
Lingkungan produk yang terisolasi
Setiap produk berjalan dengan database, rahasia, dan aturannya sendiri. Pelanggaran pada satu alat tidak dapat tumpah ke yang lain. Beberapa fitur menghubungkan produk. Single sign-on. Routing dukungan. Sinyal penipuan. Kami memindahkan hanya minimum yang diperlukan antar produk. Setiap alur ada di halaman privasi setiap produk.
Admin di balik allow-list
Akses ke admin Payload CMS dan ke server yang mendasari dibatasi di lapisan proxy ke daftar pendek alamat internet yang disetujui secara tertulis. Autentikasi multi-faktor wajib untuk setiap akun administrator. Tidak ada kredensial "admin" bersama — setiap tindakan dapat dikaitkan dengan orang yang disebutkan namanya.
Rahasia di vault, tidak pernah di kode
Kata sandi database, kunci API, rahasia penandatanganan, dan sertifikat hidup di vault rahasia terenkripsi dan disuntikkan saat runtime. Pemindaian kode sumber memblokir setiap commit yang mencoba menyematkan kredensial. Rahasia yang dirotasi menyebar ke layanan yang berjalan dalam hitungan menit.
Bagaimana kami menangani data Anda
Anda mengirim lebih sedikit, kami menyimpan lebih sedikit
Kami hanya meminta minimum yang dibutuhkan produk untuk berfungsi. Tidak ada kotak yang dicentang sebelumnya. Tidak ada bidang "opsional" yang diam-diam menjadi wajib untuk mendapatkan hasil. Kami tidak membeli atau memperkaya data pribadi dari pihak ketiga.
Data Anda milik Anda
Ekspor dari setiap produk adalah fitur kelas pertama, bukan upsell. Hapus, dan data Anda dihapus — bukan "soft-deleted selamanya" di balik sakelar yang tidak Anda lihat. Format standar (CSV, JSON, ICS, PDF) di pintu keluar. Tanpa lock-in proprietary.
Tanpa pelatihan pada konten Anda
Fitur AI hanya menggunakan data yang Anda pilih untuk dikirim. Data tetap dalam lingkup akun Anda. Konten pribadi Anda tidak pernah digunakan untuk melatih model bersama. Tidak pernah dicampur dengan data pelanggan lain. Tidak pernah dikirim ke AI pihak ketiga yang menyimpan prompt Anda.
Respons insiden yang transparan
Jika peristiwa keamanan menyentuh data Anda, kami memberi tahu Anda dalam tujuh puluh dua jam. Dengan kata-kata sederhana. Kami katakan apa yang terjadi, apa yang kami lakukan, dan apa yang dapat Anda lakukan selanjutnya. Kami menerbitkan post-mortem publik setelah pekerjaan selesai. Kami tidak akan pernah menyembunyikan pelanggaran di balik pembaruan kebijakan yang sunyi.
Hak akses, atas permintaan
Anda dapat meminta salinan polos dari setiap data pribadi yang kami simpan. Anda dapat meminta kami memperbaikinya. Anda dapat meminta kami menghapusnya. Anda dapat meminta kami mengirim salinan bersih ke layanan lain. Kami merespons dalam tiga puluh hari, gratis. Kami dapat membalas dalam salah satu dari empat belas bahasa yang dipakai situs ini.
Daftar pendek subprosesor yang disebut
Segelintir vendor membantu kami menjalankan platform — misalnya mitra hosting kami, mitra email-relay, dan setiap pemroses jalur pembayaran yang digunakan suatu produk saat checkout. Setiap satu disebutkan namanya pada halaman trust kami dengan tujuan yang dilayaninya dan data yang disentuhnya. Kami tidak pernah menambahkan subprosesor baru dalam diam.
Standar yang kami pegang teguh
Kami mengikuti seperangkat standar yang kecil dan bernama — dan kami jujur tentang audit mana yang belum kami peroleh.
PIPEDA (Kanada)
Perusahaan induk kami didirikan di Alberta. Kami mengikuti Personal Information Protection and Electronic Documents Act. Kami bertanggung jawab kepada Office of the Privacy Commissioner of Canada. Di sana juga Anda dapat membawa kekhawatiran privasi, setelah menulis kepada kami terlebih dahulu.
Hak setara GDPR, secara global
Kami memperluas hak-hak dari GDPR Eropa ke setiap pengguna, di setiap benua. Perlakuan yang setara adalah bagian dari misi. Bukan kotak kepatuhan yang terikat pada tempat tinggal Anda.
WCAG 2.2 Level AA
Aksesibilitas adalah properti keamanan — situs yang tidak dapat Anda gunakan adalah situs yang tidak dapat Anda percayai. Setiap halaman dibangun setidaknya pada WCAG 2.2 AA, dengan pemeriksaan axe-core yang menggagalkan build pada pelanggaran apa pun. Baca pernyataan lengkap di /legal/accessibility.
Tidak ada FedRAMP, tidak ada SOC 2 — belum
Kami jujur tentang apa yang tidak kami miliki. Kami terlalu kecil hari ini untuk mempertahankan audit SOC 2 Type II atau otorisasi FedRAMP, dan kami tidak akan mengklaim mereka dalam pemasaran. Saat sebuah produk masuk ke pasar yang membutuhkan salah satunya, kami akan memperolehnya sebelum produk itu ditawarkan di sana.
Menemukan sesuatu? Tolong beri tahu kami terlebih dahulu.
Email security@intelligentsingularityinc.com dengan deskripsi dan langkah-langkah untuk mereproduksi. Kami mengonfirmasi laporan dalam satu hari kerja. Kami memilah dalam tiga. Kami memberi kredit peneliti dengan nama dalam post-mortem ketika perbaikan dirilis, kecuali mereka meminta untuk tetap anonim. Kami tidak mengancam atau menuntut peneliti keamanan dengan niat baik, titik.