传输加密
浏览器与 Stayloop 之间的所有通信均使用 HTTPS(TLS 1.2 及以上)。 Cloudflare 在边缘节点终止 TLS,然后以加密方式回源到后端服务。
存储加密
账户数据存放在 Supabase Postgres 中,由托管方提供存储层加密。 上传的租赁文件存放在 Supabase Storage,通过有时效的签名链接发放访问权限——不存在公开桶。
权限控制
- 行级权限(RLS):所有保存个人数据的 Postgres 表均启用行级权限,用户只能读写自己拥有的记录。
- 服务端密钥:service-role key 只在服务端 API 路由中使用,绝不会出现在客户端打包中。
- 认证:由 Supabase Auth 处理,密码不会到达我们的服务器。
AI 处理
文档文本与元数据会发送到 Anthropic API 进行分析。Stayloop 使用 Anthropic 企业数据条款: 请求与响应不会用于模型训练,仅在交付服务所需期限内保留。
审计日志
敏感工作流事件——申请提交、筛查决策、租约草稿——会写入只追加(append-only)的审计日志。 你可以从账户中检索该日志,但无法编辑或删除其中的记录。
漏洞报告
如发现安全问题,请发邮件至 [email protected]。我们承诺:
- 3 个工作日内回复确认。
- 与你协调一致的披露时间线。
- 如你希望,会公开致谢。
请勿在未事先沟通的情况下对生产服务进行自动化扫描,请勿访问或修改其他用户的数据。
合规情况
Stayloop 对齐加拿大 PIPEDA 框架,完整数据处理说明见 隐私声明。 SOC 2 Type II 工作正在推进,当前状态以首页 trust line 为准。