LoanIntelligence.aiLoanIntelligence.ai
返回法律概览

安全

我们如何保护您的数据

上次更新:November 14, 2025

安全概览

  1. 1零文件保留减少攻击面
  2. 2客户专用加密 - 您的独特密钥保护您的数据
  3. 3每次处理后自动轮换密钥
  4. 4先进处理技术 - 专有算法、信号系统,以及 SOC 2 I 级和 II 级认证的第三方 AI 服务
  5. 5数据质量聚焦 - 通过多层验证确保数据准确性和质量
  6. 6所有数据在整个过程中均已加密
  7. 7零知识安全 - 即使服务器被入侵,您的数据仍保持加密
  8. 8您掌控您的数据 - 存储在您的 Google Drive
  9. 9仅供信息使用 - 数据准确性分析,不构成财务建议
  10. 10符合 GDPR、CCPA、FCRA、ECOA

以安全为首的架构

为隐私和安全而构建

1

零文件保留

您的文件不会被存储在我们的服务器上。文件在每次处理运行期间实时处理,然后立即删除。这消除了最大的攻击向量:存储的文件数据。处理结果使用您的客户专用密钥加密,并存储在您的 Google Drive AppData 中。

2

无状态处理

每个 API 请求都是独立的。会话数据不会在活跃请求之外持续。攻击面极小。

3

请求隔离

专业版和企业版使用专用实例并具有网络隔离,以防止跨客户数据泄露。

传输中的数据

1

HTTPS/TLS 加密

所有 API 请求和响应都使用 TLS 1.3 加密。不接受未加密的 HTTP 流量。

2

SSL 证书

来自可信证书机构的有效 SSL 证书。自动续期和监控。

3

API 安全

API 密钥通过安全头传输。速率限制可防止滥用和 DoS 攻击。

身份验证 & 授权

1

OAuth 2.0

Google OAuth 用于用户身份验证。我们从不存储密码。OAuth 令牌使用 AES-256 加密。

2

安全会话

会话 cookie 具有 httpOnly 和 secure 标志。7-天到期并自动刷新。已启用 CSRF 保护。

3

API 密钥管理

API 密钥在存储前已哈希处理。可随时在仪表盘中轮换密钥。密钥仅限特定权限。

4

多因素身份验证

企业版账号可用 MFA。Google 账户 2FA 保护所有 OAuth 登录。

静态数据

客户专用加密架构

1

文档

不存储在我们的服务器上。处理后立即删除。零文件保留。

2

处理结果

使用您专属的客户密钥进行加密,并存储在您的 Google Drive AppData 中。没有您的 OAuth 权限,我们无法访问您的加密数据。

3

加密密钥

客户专属密钥存储在您的 Google Drive AppData 中。每次处理运行后自动旋转。旧密钥被丢弃。

4

账户数据

电子邮件、姓名、Stripe 客户 ID 存储在加密数据库中。静态存储使用 AES-256 加密。

5

OAuth 令牌

Google OAuth 刷新令牌在存储前使用 AES-256 加密。访问令牌仅在 Drive 同步操作期间保存在内存中。

6

日志

错误日志和使用指标不包含文档内容。最多保留 30 天。静态存储使用加密。

第三方安全

1

Stripe(支付处理)

PCI DSS 级别 1 认证。我们永远不查看信用卡号码。仅存储 Stripe 客户 ID。

2

Google(OAuth & Drive)

OAuth 2.0 仅具有最小权限(drive.file、spreadsheets、drive.appdata)。用户可随时通过 Google 帐户设置撤销访问。您的加密数据和密钥存储在 YOUR Google Drive AppData 中。

3

第三方 AI 服务

我们使用专有算法和信号系统来确保数据准确性和质量。第三方 AI 服务已获得 SOC 2 I 型和 II 型认证,合同禁止使用您的数据进行训练,并以加密方式临时处理传输中的数据。

访问控制

1

最小权限原则

员工仅拥有完成其职责所需的最小访问权限。没有员工能访问客户文件(它们未被存储)。

2

审计日志

所有管理操作均已记录。访问日志定期审查异常情况。

3

职责分离

开发、预发布和生产环境彼此隔离。生产访问仅限运营团队。

监控与事件响应

1

威胁检测

自动监控可疑活动、失败登录尝试以及 API 滥用。实时安全事件警报。

2

事件响应计划

记录的安全事件程序。企业层级的响应团队值班 24/7 .

3

数据泄露通知

如果发生数据泄露,受影响用户将在 72 小时内被通知。遵守 GDPR 和州级泄露通知法律.

合规与认证

1

GDPR 合规

可获取数据处理协议。零保留架构简化合规。删除账户即删除数据,自动拥有删除权.

2

CCPA 合规

我们不出售个人信息。加州居民有权访问和删除数据.

3

SOC 2 II 型(路线图)

正在对企业层级进行正式审计。当前做法符合安全、可用性、机密性原则.

漏洞管理

1

定期更新

依赖项和基础设施定期打补丁。安全更新在披露后 48 小时内应用.

2

安全测试

定期渗透测试和漏洞扫描。每年进行第三方安全审计.

3

负责任披露

报告安全漏洞给 [email protected]。我们在 24 小时内确认报告,并每 72 小时提供更新。

您的安全责任

保持 API 密钥机密。若被泄露立即更换。
为您的 Google 账户使用强大且唯一的密码(OAuth)
通过安全设备访问仪表板。退出共享电脑.
检查 Google OAuth 权限,并定期审核。若不再需要,请撤销访问权限。
立即向 [email protected] 报告可疑活动

需要帮助?

需要安全帮助??

联系我们的法律与安全团队 [email protected],获取事件披露或合规问题的帮助。

[email protected]

我们将在一个工作日内回复.