数据安全说明
最后更新:2026-05-18
徐州芒旭软件科技有限公司 致力于保护您的数据安全。本文档说明我们采取的安全措施、数据存储位置以及安全事件应急响应机制,依据《中华人民共和国数据安全法》和《中华人民共和国网络安全法》的要求制定。
一、安全管理体系
1.1 组织架构
- 设立数据安全负责人,统筹数据安全管理工作
- 建立数据安全管理制度和操作规程
- 定期开展员工数据安全意识培训
- 建立数据安全考核与问责机制
1.2 数据分类分级
我们对处理的数据实行分类分级管理(依据《数据安全法》第二十一条):
| 数据等级 | 说明 | 保护措施 |
|---|---|---|
| 公开数据 | 产品介绍、公司信息等 | 基础防护 |
| 内部数据 | 业务统计、运营数据 | 访问控制 + 日志审计 |
| 敏感数据 | 用户个人信息、交易数据 | 加密存储 + 脱敏展示 + 严格权限 |
| 核心数据 | 密钥、系统配置 | 最高级别加密 + 物理隔离 + 双人操作 |
二、技术安全措施
- 传输安全:全站 HTTPS(TLS 1.2/1.3),API 通信使用 HMAC 签名认证
- 存储安全:数据库加密存储(AES-256),敏感字段独立加密
- 访问控制:RBAC 四级权限体系,最小权限原则,操作审计日志
- 网络安全:防火墙、WAF、DDoS 防护、入侵检测系统
- 应用安全:输入验证、SQL 注入防护、XSS 防护、CSRF Token
- AI 安全:Prompt 注入防护、输出内容过滤、模型访问权限控制
三、数据备份与恢复
- 数据库每日自动全量备份,保留 30 天
- 增量备份每 6 小时执行一次
- 备份数据加密存储在异地容灾中心
- 每季度进行备份恢复演练
- RPO(恢复点目标)≤ 6 小时,RTO(恢复时间目标)≤ 4 小时
四、数据存储位置
所有用户数据存储在中华人民共和国境内的数据中心,不进行跨境传输。服务器部署在通过等级保护认证的机房。
五、安全事件响应
依据《网络安全法》第二十五条和 PIPL 第五十七条,我们建立了安全事件应急响应机制:
- 发现阶段(0-1小时):安全监控系统自动告警,安全团队确认事件级别
- 遏制阶段(1-4小时):隔离受影响系统,阻止损害扩大
- 通知阶段(24-72小时):向受影响用户和监管机构报告
- 恢复阶段(72小时内):系统修复并恢复服务
- 复盘阶段(7天内):事件分析报告,完善防护措施
六、安全审计与评估
- 每年至少进行一次外部安全评估
- 定期进行渗透测试和漏洞扫描
- 关键系统变更前进行安全影响评估
七、安全事件报告
如您发现任何安全漏洞或可疑活动,请联系:
安全团队邮箱:security@example.com
紧急电话: