安全与合规

OpenBait 的基础设施所在地、加密、子处理器、合规路线图、SDK 审查信息——采购审查所需的全部细节。

本页以中坚企业的安全采购审查所关心的问题为序。如果你的问卷问到未在此页覆盖的内容,联系 [email protected] —— 我们按需提供 DPA、CAIQ / SIG-Lite / VRA 问卷回答以及 bridge letter。

数据位置

  • 生产环境:日本大阪数据中心
  • 基础设施提供商:Xserver Inc.(东京证券交易所上市,ISMS 认证)
  • 备份:日本国内不同区域

客户数据在日本本地存储与处理。唯一跨境例外是 Groq API 的可选 LLM 推理(详见下方)。

加密

传输中

  • 所有对外通信强制 TLS 1.3
  • 证书由 Let's Encrypt 自动续期;HSTS preload(max-age 2 年)

存储中

  • 数据库(MySQL 8.0)部署在 LUKS 磁盘加密 卷上
  • 密钥 / API token 等敏感信息以 AES-256-GCM 加密后存储
  • 密码使用 Argon2id 哈希

访问控制

  • 生产环境接入走 SSH 密钥交换 + 最小权限
  • 内部面板强制 2FA
  • 客户数据访问均有审计日志(保留 90 天)

事件通知 SLA

  • 影响客户数据的事件,自检测起 72 小时内 通知到已登记的安全联系人
  • 通知包含:影响范围、已知原因、响应状态、初步处置计划
  • 安全联系人在 Console 中按组织配置

基础设施

  • 托管:Xserver VPS(日本大阪,Ubuntu 24.04)
  • CDN / 防 DDoS:Cloudflare(全球边缘)
  • 队列:Redis + Asynq(生产 VPS)
  • 数据库:MySQL 8.0(生产 VPS,备份同步)
  • 监控:7×24 自动告警 + 值班轮换

安全开发生命周期(SDL)

  • 设计阶段:STRIDE 威胁建模,新第三方集成前审 DPA
  • 构建阶段:强制 code review、secret 扫描(gitleaks)
  • 测试阶段:依赖漏洞自动扫描、年度渗透测试
  • 部署阶段:GitHub Actions 固定管道,回滚流程文档化

子处理器

OpenBait 所用第三方服务商列表。采购审查用的 DPA 子处理器附件按需发行。

供应商用途数据位置备注
Xserver Inc.生产托管日本(大阪)东证上市、ISMS 认证
CloudflareCDN / DDoS / 边缘证书全球边缘ISO 27001 / SOC 2 Type II
Brevo (Sendinblue)事务邮件发送欧盟GDPR 合规、ISO 27001
GroqAI 推理(可选)美国SOC 2 Type I(详见下方)

合规路线图

当前状态与计划中的认证:

认证状态时间
GDPR符合
个人信息保护法(APPI, 日本)符合
ISMS / ISO 270015 家客户导入后启动2026 Q3 起
SOC 2 Type II评估中2027 年以后
PrivacyMark(日本)评估中待定

尚未完成正式审计,但技术管控(加密、访问控制、审计日志)已按有审计认证的同业水准运行。如采购要求正式认证,请就 ISMS 时间表联系我们。

AI 数据处理(Groq API)

OpenBait 部分功能(AI 案件摘要、威胁分析)使用 Groq API 进行 LLM 推理。

  • 发送数据:域名、截图 URL、HTML 内容摘录
  • 不发送数据:PII、其他客户资产数据、管理员身份信息
  • 保留:Groq 不长期保存输入数据;按其保留政策,30 天内删除
  • 退出:AI 功能可在 Console 设置里完全禁用

SDK 部署审查信息

部署 OpenBait JavaScript SDK 到贵司站点时,安全审查常问:

  • CSP 兼容性:支持 strict-dynamic + nonce;不需要 'unsafe-inline''unsafe-eval'
  • 子资源完整性(SRI):所有 bundle 都带 SHA-384 哈希,篡改可检
  • 自托管(Business 档及以上):SDK bundle 可部署在贵司自有 CDN
  • 可审计源码:审查用非混淆版 + source map 可在 NDA 下提供
  • 隐私:SDK 不识别单个用户;referrer 仅以哈希值匹配 blocklist

技术细节见 Canary + SDK 架构 deep dive

漏洞负责任披露

欢迎安全研究者提交漏洞报告。

  • 地址[email protected]
  • 初始响应:48 小时内
  • 修复目标:Critical / High 7 天内;Medium 30 天内
  • 致谢:修复后经报告者同意,可在发布说明中致谢

合同、DPA、bridge letter

如需以下文档,联系 [email protected]

  • DPA(数据处理协议):日本 / 欧盟格式均可
  • NDA(保密协议):评估阶段技术文档共享用
  • 安全问卷:CAIQ / SIG-Lite / VRA 各种格式均可作答
  • 日本法人请求书 / 合同模板

最后更新:2026-04-23

本页定期复审。重大变更会邮件通知现有客户。

安全与合规 | OpenBait