Anti-quishing na straně vydavatele. Datová rezidence na straně úložiště.
Každý Pro odkaz prochází sedmivrstvým anti-quishing pipelineem při vydání, při každé změně cíle a na průběžném plánu. Log skenování obsahuje pouze zemi a třídu zařízení, žádnou IP, žádný user agent, žádné cookie, žádný behaviorální profil k úniku. Jednoregionální D1 je dostupný na Agency a Custom Enterprise.
Data, která sbíráme
Každý bajt, který skončí na našich serverech, patří do jednoho ze čtyř kbelíků:
Data účtu
E-mail, úroveň plánu, stav plánu, Stripe zákaznické + ID předplatného, volitelný název týmu + label pracovního prostoru. Nic víc. Žádný telefon, žádná adresa (fakturační adresa zůstává u Stripe), žádný behaviorální profil.
Data kódu
Cílová URL, 7místný Base58 shortcode, label + tagy, které nastavíte, volitelný design QR (barvy / logo / rámeček), volitelné heslo, volitelný plán. Vlastníte vy; exportovatelné jako CSV kdykoli.
Data skenů
UTC denní kbelík + země (z CF-IPCountry) + třída zařízení (mobile / tablet / desktop / unknown). Surový User-Agent je okamžitě zahozen po klasifikaci. IP nikdy nevstoupí do databáze. Kešováno v KV pro hot path přesměrování, agregováno do D1 přes ctx.waitUntil. Agregáty zemí pod 5 skenů se sloučí do "Other" k potlačení re-identifikace.
Metadata auditu / fakturace
Append-only log mutací (kdo co udělal, kdy, v jakém rozsahu), retence 180 dní. Události webhook Stripe deduplikované pro idempotenci, žádné PII zákazníka nad rámec ID zákazníka Stripe. Log požadavků GDPR (export / smazání / obnova), uchováno po smazání účtu jako důkaz dodržení lhůty.
Pro úplné schéma viz docs/SCHEMA.md v našem zdrojovém repozitáři; každý sloupec je zdokumentován s politikou retence.
Kde data žijí
| Povrch | Poskytovatel | Region | Jednoregionální možnost? |
|---|---|---|---|
| Dashboard + API | Cloudflare Pages Functions | Globální edge (nejbližší PoP) | Ano, pouze Agency+ |
| Záznamy kódů (D1) | Cloudflare D1 (SQLite) | Primární region přiřazen při zřizování (dnes: ENAM) | Ano, Agency+ shard na nájemce |
| Hot path přesměrování (KV) | Cloudflare Workers KV | Globálně replikováno na edge pro <50ms p99 | Není dostupné (replikace je produktem) |
| Šifrované zálohy | Cloudflare R2 | Primární region přiřazen při vytvoření bucketu | Ano, jurisdikční bucket EU / APAC na vyžádání |
| Platby | Stripe | US, regionální zpracování PII přes vlastní rezidenci Stripe | Přes smlouvu Stripe |
| Transakční e-mail | ZeptoMail (Zoho) | IN (region EU Zoho dostupný na vyžádání) | Ano, region EU Zoho |
Co přesně překračuje hranice
- Skeny nikdy nepřekračují hranice ztrátovým způsobem. Sken z Lisabonu zasáhne lisabonský Cloudflare PoP, worker zapíše den/zemi/zařízení do KV na edge a asynchronně agreguje do D1 v primárním regionu. IP původního skenujícího žije v efemerním stavu požadavku Cloudflare po dobu HTTP požadavku a nikdy není trvale uložena do naší databáze.
- Požadavky dashboardu se ukončují na nejbližším Cloudflare PoP a volají D1 přes soukromou síť Cloudflare. Naše Pages Functions čtou/zapisují D1 v přiřazeném regionu; edge PoP obsluhuje bundle HTML + JS z globální cache statických aktiv.
- Webhooky Stripe překračují hranici jednou, Stripe (US) POSTuje na náš Cloudflare Pages endpoint, který ověří HMAC, zapíše minimální řádek (event_id, type) pro idempotenci a odešle downstream události.
- Transakční e-mail (Zepto) překračuje hranici jednou za odeslání, náš worker předá vykreslený template Zepto API; Zepto doručí na mailserver příjemce. Obsah jsou pozvánkové odkazy, oznámení životního cyklu fakturace a upozornění na limit skenů, žádná data skenů zákazníka.
Anti-quishing pipeline
QR phishing vzrostl o 146 % v Q1 2026. Standardní dodavatel krátkých odkazů reaguje až po stížnosti zákazníka. My kontrolujeme každý odkaz při vydání, pokaždé když se cíl změní na naší straně, a na průběžném plánu, protože zákazník může přesměrovat svou vlastní URL na vlastním serveru, aniž by kdy zavolal naše API. Stejný pipeline threat intelligence, který pohání náš veřejný skener na check.qr.abundera.ai, běží proti každému odkazu, který vydáme.
Sedm detekčních vrstev, každá s čekající patentovou přihláškou v USA. Každá vrstva přispívá do jednotného verdiktu; zásah v jakékoli z nich může zablokovat vytvoření, odmítnout změnu cíle nebo pozastavit již aktivní odkaz.
| Vrstva | Co zachytí | Kdy běží |
|---|---|---|
| Mutabilita řetězce přesměrování | Kolik nezávislých stran kontroluje cestu mezi naším krátkým odkazem a finální stránkou. Dvouúrovňový řetězec přes cizí přesměrovač je jiná riziková třída než přímý cíl. | Vytvoření, změna cíle, průběžná kontrola |
| Multimodální analýza payloadu | WiFi, kontakt, telefonie, e-mail, kalendář, geolokace, kryptoměna, Android intent a inline-data payloady mají každý typově specifický analyzátor. Tvrdě blokovaná schémata jsou odmítnuta při odeslání. | Vytvoření, změna cíle |
| Cloaking crawler vs. prohlížeč | Stránky, které skenerům zobrazují čistý obsah a lidem phishing. Detekováno paralelními fetch požadavky s řízenou variancí otisku prstu a skóre divergence. | Vytvoření, průběžná kontrola |
| Mutabilita cílového serveru | Čerstvě registrované domény, zcela nové certifikáty, TLD s vysokou obměnou, chybějící HSTS a degradace transportního schématu. Nezávislé na řetězci přesměrování; statický jednoúrovňový řetězec na šest dní starý certifikát na podezřelém TLD stále dostane příznak. | Vytvoření, změna cíle, průběžná kontrola |
| Provenience fyzické instance | Kolektivní hash ledger klíčovaný dekódovaným payloadem. Jediný QR skenovaný napříč mnoha vzdálenými regiony v krátkém okně se zobrazí jako kandidát na útok nálepkou. Každý odkaz, který vydáme, dostane při vytvoření čistý provenienční záznam, takže overlay útoky na legitimní Pro kódy jsou zachyceny. | Průběžně |
| Divergence vizuální značky | Pokud kód nese logo značky, jejíž sada kanonických domén neobsahuje dekódovaný cíl, kód je divergentní od značky. Platí pro každý Pro kód využívající funkci středového loga; phisher nemůže vydat kód s logem Chase odkazující na non-Chase doménu. | Vytvoření, změna loga, změna cíle |
| Topologie senzoru / místa | Pro kódy vázané na místo (parkovací automaty, check-in v hotelu, menu restaurací, muzejní exponáty) je ambientní RF kontext skenujícího zařízení kontrolován oproti registrované topologii daného místa. Neshoda vrátí anomálii kontextu senzoru i při úplně prvním skenu podvodné nálepky. Tier Enterprise; provozovatel místa registruje očekávanou topologii při vytvoření kódu. | Každý sken |
Problém změn na straně zákazníka
Cílová URL Pro odkazu žije na serveru zákazníka, ne na našem. Zákazník může přesměrovat example.com/promo z reálné promo stránky na phishingovou stránku, aniž by kdy zavolal Abundera API. Tento případ považujeme za primární cestu zneužití, ne za okrajový případ. Průběžné kontroly aktivních cílů běží podle plánu a naše vrstva detekce cloakingu cílí specificky na stránky, které se změní po odeslání. Když cíl začne selhávat kontroly po vytvoření, odkaz je automaticky pozastaven, vlastník dostane e-mail s konkrétním verdiktem a událost je zaznamenána v auditní stopě.
Falešné poplachy a odvolání
Threat intelligence se někdy mýlí. Legitimní značka na čerstvě vydaném certifikátu, reálná promo stránka, která se legitimně změnila, přesunutá doména. Každý blok a každé automatické pozastavení obsahuje konkrétní vrstvu verdiktu, která se spustila, vstup, který ho vyvolal, a odvolání jedním kliknutím, které eskaluje k člověku do jednoho pracovního dne. Chybujeme na straně pozastavení, ne smazání; pozastavený odkaz lze znovu aktivovat během sekund, jakmile je odvolání vyřízeno.
Jednoregionální rezidence (Agency+ a Custom Enterprise)
Pro zákazníky pouze v EU nebo APAC mohou zákazníci úrovně Agency požádat o:
- D1 umístěné v jedné jurisdikci (EU: EEUR nebo WEUR; APAC: APAC). Cloudflare dodržuje nápovědu
locationpři vytváření databáze; spustíme shard D1 na nájemce v požadovaném regionu (ADR-0010). - R2 bucket ve stejné jurisdikci, noční šifrované zálohy D1 do R2 přistávají v odpovídajícím regionu.
- Region EU Zepto pro transakční e-mail, konfigurováno na úrovni služby, žádná změna kódu.
- KV zůstává globální, replikace na edge je jádrem záruky přesměrování <50ms. Pokud je jednoregionální KV tvrdým požadavkem, promluvte s námi; můžeme vyhodnotit, zda je regionálně omezená varianta Worker proveditelná pro vaši kampaň.
Cena za jednoregionální doplněk je paušální (bez přirážky za místo) a závisí na konkrétní kombinaci. Napište na enterprise@abundera.ai s cílovou jurisdikcí a odhadovaným objemem skenů a my vypracujeme nabídku.
Postoj k souladu s předpisy
- GDPR, minimum dat ze záměru designu (pouze země + třída zařízení, žádná IP, žádný UA, žádné cookies) plus export jedním kliknutím a 30denní tvrdé smazání. DPA + EU SCC dostupné pro všechny platící úrovně.
- CCPA, pokryto stejným povrchem exportu + smazání. "Prodej dat" není nic, co děláme: žádné sdílení s třetími stranami, žádní reklamní partneři, žádný retargeting.
- SSO + SCIM zřizování, jednotné přihlášení SAML 2.0 + OIDC a životní cyklus uživatelů a skupin SCIM 2.0 (úrovně Agency + Custom Enterprise). Soulad s RFC 7643/7644 ověřen (20/20 na testovací sadě odvozené od PingIdentity). Příznak funkce na připojení znamená, že SCIM je ve výchozím nastavení vypnuto a povoleno pro každého zákazníka; omezeno na 50 RPS na token; zaznamenáno v auditu. Okta/Entra/JumpCloud fungují dnes jako vlastní SCIM aplikace, zatímco záznamy v partnerských katalozích probíhají.
- SOC 2 Type II, ve vymezování rozsahu. Proces 6 až 9 měsíců. Pokud je to pro vás tvrdý požadavek, napište na enterprise@abundera.ai; můžeme sdílet aktuální stav a předpokládaný harmonogram.
- PCI-DSS, mimo náš přímý rozsah; platby zpracovává Stripe end-to-end (certifikát PCI Level 1).
Oznamování bezpečnostních zranitelností
Našli jste zranitelnost? Napište na security@abundera.ai. Koordinované oznamování, potvrdíme do 24 hod. (pracovní dny), provedeme třídění do 72 hod. a domluvíme s vámi opravu a harmonogram zveřejnění. Zatím žádný bug bounty program; výzkumníky veřejně uznáváme na abundera.ai/security/thanks/ jakmile je oprava nasazena.