你真的能读懂的安全。
没有营销图示。只是我们为了保持你的数据私密、小巧、并掌握在你手中所做的事——在本站以及我们交付的每个产品上。
一个来源。线路加密。零第三方。短保留。命名的子处理方。
上面五行就是一口气讲完的全部姿态。下面的所有内容都是支持证据——每一行的含义、如何执行,以及出问题时如何报告。
我们如何运营网站和平台
每条线路加密
所有公共页面和产品流量都通过 TLS 1.3 与现代密码套件传输。证书由 Let's Encrypt 颁发并自动轮换。HTTP 严格传输安全(HSTS)设置了较长的 max-age。你输入的任何内容都不会以明文穿越开放互联网。在网络路径可能被观察到的地方,内部服务间调用使用相互 TLS。
零第三方调用
无分析工具、无像素、无广告网络、无外部字体、无嵌入视频、无社交媒体小部件。你的浏览器只与我们的源通信。这一点由持续集成中的一个名为 no-third-party.mjs 的脚本强制执行,它扫描构建后的站点,如果包中出现任何外部主机就让发布失败。承诺是一个单元测试,不是一句营销语。 On this marketing site only. Individual products in our portfolio may use named subprocessors — see each product privacy notice for the full list.
签名并验证的构建
我们交付的每个容器镜像都由锁定的部件集合构建。锁文件在 git 中。我们在升级任何部件之前会审阅相关公告。发布在运行前会被签名并在主机上校验。任何未通过门禁——包大小、可访问性、第三方——的构建都无法进入生产。
短保留窗口
服务器日志保留十四天用于调试,然后删除。联系表单邮件仅保留到我们回复并归档对话所需的时间,之后为存档目的最多保存二十四个月,然后删除。备份按三十天周期滚动,并在静态时加密。
隔离的产品环境
每个产品都有自己的数据库、自己的密钥、自己的规则。一个工具的入侵不会扩散到另一个。某些功能在产品之间联动。单点登录。支持路由。欺诈信号。我们只在产品之间移动所需的最少内容。每个流程都在各自产品的隐私页面上说明。
管理在白名单后面
访问 Payload CMS 管理面板和底层服务器在代理层被限制为一份书面批准的、简短的互联网地址清单。每个管理员账户都需要多因素认证。没有共享的"管理员"凭证——每个操作都可以追溯到一个有名有姓的人。
密钥在保险库中,从不在代码里
数据库密码、API 密钥、签名机密和证书存放在加密的密钥保险库中,并在运行时注入。源代码扫描会拦截任何试图嵌入凭证的提交。轮换的密钥会在几分钟内传播到运行中的服务。
我们如何处理您的数据
你发更少,我们存更少
我们只索取产品工作所需的最小信息。没有预先勾选的复选框。没有那种悄悄变成获取结果之必要的"可选"字段。我们不从第三方购买或丰富个人数据。
你的数据是你的
从每个产品导出都是一等公民功能,而不是增值销售。删除,你的数据就被移除——不是"永久软删除"藏在你看不到的开关后面。出口时使用标准格式(CSV、JSON、ICS、PDF)。没有专有锁定。
不用你的内容训练
AI 功能仅使用你选择提交的数据。该数据仍然绑定在你的账户范围内。你的私人内容从不用于训练共享模型。从不混入另一个客户的数据中。从不发送到会保留你提示的第三方 AI。
透明的事件响应
如果安全事件影响了你的数据,我们会在七十二小时内告知你。用通俗的话。我们说出发生了什么、我们做了什么以及你接下来可以做什么。工作完成后我们会发布公开的事后分析。我们绝不会通过悄悄更新政策来隐藏漏洞。
请求即可访问
你可以索要我们持有的每一份个人数据的简洁副本。你可以让我们更正。你可以让我们删除。你可以让我们将干净的副本发送到另一项服务。我们在三十天内免费回复。我们可以用本站支持的十四种语言中的任何一种回复。
一份简短的、有名字的子处理方清单
少数供应商帮我们运行平台——例如我们的托管合作伙伴、邮件中继合作伙伴,以及产品在结账时使用的任何支付通道处理方。每一个都在我们的信任页面上以姓名标注,说明其服务目的和接触的数据。我们绝不会悄悄新增子处理方。
我们坚持的标准
我们遵循一组小而具名的标准——并且我们对尚未获得的审计保持诚实。
PIPEDA(加拿大)
我们的母公司在艾伯塔省设立。我们遵循《个人信息保护与电子文件法案》。我们对加拿大隐私专员办公室负责。那也是你在先写信给我们之后,可以提起隐私关切的地方。
全球范围的 GDPR 等效权利
我们将欧洲 GDPR 中的权利扩展到每一个大陆上的每一位用户。平等对待是使命的一部分。不是绑定到你所在位置的合规复选框。
WCAG 2.2 AA 级
可访问性是一种安全属性——你无法使用的网站就是你无法信任的网站。每一页至少按 WCAG 2.2 AA 构建,任何违规都会让 axe-core 检查使构建失败。请在 /legal/accessibility 阅读完整声明。
尚无 FedRAMP、尚无 SOC 2
我们对我们没有的东西保持诚实。我们今天太小,无法维持 SOC 2 Type II 审计或 FedRAMP 授权,我们也不会在营销中声称拥有它们。当某个产品进入需要其中之一的市场时,我们会在该产品在那里提供之前获得它。
发现什么了?请先告诉我们。
请将描述和重现步骤发邮件至 security@intelligentsingularityinc.com。我们在一个工作日内确认报告。在三天内分类处理。修复发布时,我们在事后报告中按姓名致谢研究人员,除非他们要求匿名。我们绝不威胁或起诉善意的安全研究人员,就这么简单。