信任

·English →

Anvil 安全

最后更新:2026年4月19日

Anvil 是您收入管道的核心系统,我们把这份责任放在首位。本页用通俗语言说明保护 客户数据的安全控制、认证与实践。合同约束层面的内容请参阅我们的 数据处理附录(DPA)

默认加密

传输使用 TLS 1.3,静态存储使用 AES-256-GCM。密钥托管于硬件级 KMS,采用信封加密。

最小权限访问

工程师在没有批准的激活会话时对生产环境零访问权限。所有管理员强制启用 MFA + SSO。

事件透明

48 小时数据泄露通知、重大事件发布公开复盘、实时状态页。

1. 数据保护

传输加密

用户与 Anvil 之间的所有流量均通过 HTTPS + TLS 1.3 传输。我们启用 HSTS(max-age 1 年) 并已加入 preload 名单。内部服务间通信在我们的私有网络内加密。

静态加密

PostgreSQL、MongoDB、Redis 持久化及对象存储均使用 AES-256-GCM 加密。 数据库备份使用独立密钥加密,并存放于不同地理区域。

密钥管理

数据加密密钥(DEK)由硬件级 KMS 中的密钥加密密钥(KEK)包装。密钥按既定周期轮换; 任何人都无法获取 DEK 的明文。

凭据保护

应用凭据保存在加密的密钥管理服务中,运行时注入,绝不提交到代码库。 每次提交都会运行凭据扫描。

租户隔离

每个租户表的每行数据都带有租户标识。授权在应用层强制执行,每次部署都运行 跨租户回归测试。存储路径按租户命名空间隔离。

数据驻留

客户数据主要托管于中国香港特别行政区。企业客户可申请仅欧盟或仅美国数据驻留方案, 具体报价请联系我们。

2. 身份认证与访问

终端用户身份

支持邮箱密码、Google OAuth 以及企业版 SAML / OIDC 单点登录。密码使用 Argon2id 加盐哈希。多次失败尝试将锁定账户。

多因素认证(MFA)

所有套餐均支持 TOTP 及 WebAuthn / Passkey。OWNER 和 ADMIN 角色强制启用 MFA

会话管理

访问令牌是短时效(15 分钟)的 JWT,使用 RS256 签名;刷新令牌轮换使用, 存放于 __Host- 前缀的 HttpOnly Cookie。CSRF 通过双重提交令牌与 SameSite=Lax Cookie 防护。

基于角色的访问控制(RBAC)

内置角色:OWNER、ADMIN、MANAGER、MEMBER、VIEWER。权限在服务端强制执行; UI 会隐藏用户无权操作的功能,但不依赖 UI 作为安全屏障。

员工访问

工程师不具备常驻生产访问权限。紧急访问有时限,需同行审批,并全程记录。 所有访问使用硬件安全密钥,并通过受管理的零信任代理。

API 密钥与 Webhook

API 密钥按作用域限定、可撤销、有速率限制,且静态哈希存储。Webhook 使用 HMAC 密钥签名,包含时间戳并支持防重放。

3. 基础设施安全

网络

Cloudflare 作为边缘网关提供 DDoS 防护、WAF、机器人管理及 TLS 终止。 源站仅通过鉴权隧道接入 — 真实 IP 不对外公开。

网络分段

服务按信任域分组。服务间通信在支持的地方使用服务网格 mTLS,其余则使用私有网络。 数据库无公网入口。

系统加固

主机使用精简、定期打补丁的基础镜像。容器镜像在可行时基于 distroless 构建, 每次构建都扫描 CVE。若存在 CRITICAL 级 CVE,部署将被拒绝。

配置管理

所有基础设施以代码(IaC)定义。漂移自动检测并告警。手动变更属例外情况, 且须经同行评审。

供应链安全

依赖版本锁定,升级前评审。我们订阅各语言生态的安全公告,依据严重级别 在约定 SLA 内发布升级。

构建流水线

CI 运行于短生命周期的临时 Runner,权限最小化。构建产物签名,部署前校验签名。

4. 安全开发生命周期

  • 代码评审:每次变更强制评审,生产分支禁止自合并。
  • CI 中集成 SAST、DAST、依赖、凭据及容器扫描;发现的问题分级并按 SLA 跟进。
  • 威胁建模:涉及认证、支付或个人信息的新系统须完成威胁建模。
  • 年度第三方渗透测试(全量范围)。摘要报告可在 NDA 下提供。
  • Bug 赏金 / 负责任披露 — 详见下文。
  • 安全冠军(Security Champion)计划:每个小队至少一名受训冠军。

5. 监控与检测

  • 集中化、防篡改的日志存储;安全事件日志至少保留 1 年。
  • 对鉴权异常、权限提升、数据导出量异常、WAF 告警等进行实时告警。
  • 应用错误使用 Sentry;性能指标与链路使用 OpenTelemetry。
  • 数据库审计日志覆盖管理操作及跨租户读写。
  • 安全团队每周评审高风险审计事件。

6. 事件响应

Runbook

完整的事件响应流程,包含严重级别划分、命名角色(事件指挥、对外沟通、记录员) 及预置沟通模板。

7×24 On-Call

工程 On-Call 轮班。安全事件会在工程 On-Call 之外同时通知安全负责人。

通知 SLA

个人数据泄露确认后,我们会在 48 小时内 通过 DPA 登记的 安全联系人通知受影响客户。

事后复盘

重大事件一律进行无责根因分析。不涉及其他客户的摘要会发布到状态页。

7. 弹性、备份与灾难恢复

  • 备份:PostgreSQL 每日全量 + 每小时增量加密备份;对象存储启用版本控制并跨区域复制。
  • 保留:滚动 35 天。企业版支持法律保留及更长保留期。
  • 恢复演练:每季度至少执行一次完整数据库恢复至干净环境,并验证数据完整性。
  • 目标值:主数据库 RPO ≤ 1 小时、RTO ≤ 4 小时。实测数据可在 NDA 下向客户提供。
  • 多可用区:无状态服务跨可用区 active-active 部署。有状态服务通过健康检查自动故障转移。

8. 人员与供应商

  • 在法律允许的范围内进行背景调查。
  • 入职时签署保密协议与可接受使用政策。
  • 每年进行安全意识培训与钓鱼演练。
  • 访问生产环境的任何设备都须符合受管设备姿态(磁盘加密、锁屏、EDR)。
  • 引入任何可访问客户数据的处理方前进行供应商评审。详见 子处理方列表
  • 入职 / 调岗 / 离职流程覆盖访问权限的授予与撤销。

9. 合规与认证

生效中

GDPR 与 UK GDPR

控制者与处理者义务、SCCs(Module Two)、UK IDTA、DPIA 支持。

生效中

香港 PDPO

依据《个人资料(私隐)条例》承担资料使用者义务 — 我们的注册地司法管辖。

生效中

CCPA / CPRA

服务提供方角色,不出售或共享个人信息,尊重 GPC 信号。

生效中

PIPL

企业版可使用标准合同路径实现中国大陆数据出境。

计划 2026 年 Q4

SOC 2 Type II

观察窗口将于 2026 年 Q2 开启。差距评估已完成,整改中。

计划 2027 年

ISO 27001:2022

按 2022 版附录 A 控制项实施。Stage 1 审核目标 2027 年。

企业版客户可在 NDA 下索取我们的 SIG-Lite、CAIQ 或供应商问卷。

10. 数据保留与删除

  • 终端用户的删除请求将在 30 天内处理(法律要求更快时从其规定)。
  • 账户终止后,数据保留 30 天供导出,之后依据 DPA 在 60 天内删除或匿名化。
  • 包含已删除数据的备份按标准轮换清理(≤ 35 天)。我们不对备份做手动编辑。
  • 如有需要可出具删除证明。

11. 负责任披露

我们欢迎安全研究人员的漏洞报告。请发送邮件至 security@anvilhk.com (将转发至 738888@proton.me),并提供以下内容:

  • 问题及受影响资产的清晰描述。
  • 最小化的概念验证步骤,避免接触真实客户数据。
  • 若希望署名,请附上您的姓名或代号。

我们承诺:

  • 2 个工作日内确认收到。
  • 5 个工作日内给出初步评估。
  • 对依据我们 security.txt 范围内善意行事的研究人员,不采取法律行动。
  • 经同意后在名人堂页面致谢研究人员。

付费 Bug Bounty 项目正在 2026 年规划中。上线之前,我们会对高影响问题酌情支付奖励。

12. 状态与透明度

  • 实时状态页:status.anvilhk.com
  • 计划维护至少提前 72 小时在状态页公告。
  • 我们每年发布透明度报告,汇总执法和政府机关的数据请求数量。

13. 联系我们

在我们完成企业邮箱迁移之前,以上所有别名地址均转发至 738888@proton.me。