Anti-quishing linkin myöntäjän puolella. Dataresidenssi tallennuksen puolella.
Jokainen Pro-linkki kulkee seitsemänkerroksisen anti-quishing-putkilinjan läpi luomishetkellä, jokaisen kohdemuutoksen yhteydessä ja kiertoaikataulun mukaisesti. Skannausloki sisältää vain maan ja laiteryhmän, IP-osoitetta, käyttäjäagenttia, evästeitä tai käyttäytymisprofiilia ei ole vuodettavaksi. Yhden alueen D1 on saatavilla Agency- ja Custom Enterprise -tasoilla.
Kerättävä data
Jokainen palvelimillemme päätyvä tavu kuuluu yhteen neljästä luokasta:
Tilitiedot
Sähköposti, tilaustyyppi, tilauksen tila, Stripe-asiakas- ja tilaustunnukset, valinnainen tiimin nimi ja työtilan nimi. Siinä kaikki. Ei puhelinnumeroa, ei osoitetta (laskutusosoite jää Stripelle), ei käyttäytymisprofiilia.
Kooditiedot
Kohde-URL, 7-merkkinen Base58-lyhytkoodi, asettamasi nimi ja tunnisteet, valinnainen QR-muotoilu (värit / logo / kehys), valinnainen salasanasuojaus, valinnainen aikataulu. Sinulle kuuluvia; vietävissä CSV-muodossa milloin tahansa.
Skannaustiedot
UTC-päivävälinen aikaikkuna + maa (CF-IPCountry:sta) + laiteryhmä (mobiili / tabletti / pöytäkone / tuntematon). Raaka User-Agent hylätään välittömästi luokittelun jälkeen. IP-osoite ei koskaan päädy tietokantaan. Välimuistitetaan KV:ssä uudelleenohjauksen nopealle polulle, kootaan D1:een ctx.waitUntil:n kautta. Maakoosteita, joissa alle 5 skannausta, yhdistetään "Muu"-ryhmään uudelleentunnistamisen estämiseksi.
Auditointi- ja laskutusmetatiedot
Liitettävä loki muutoksista (kuka teki mitä, milloin, missä laajuudessa), 180 päivän säilytys. Stripe-webhook-tapahtumat deduplikoitu idempotenssin varmistamiseksi, ei asiakkaan henkilötietoja Stripe-asiakastunnusta lukuun ottamatta. GDPR-pyyntöloki (vienti / poisto / palautus), säilytetty tilin poistamisen jälkeen määräaikaistodistusta varten.
Koko skeeman dokumentaatio löytyy docs/SCHEMA.md-tiedostosta lähdekoodivarastossamme; jokaisella sarakkeella on säilytyskäytäntö.
Missä data sijaitsee
| Pinta | Palveluntarjoaja | Alue | Yhden alueen vaihtoehto? |
|---|---|---|---|
| Koontinäyttö + rajapinta | Cloudflare Pages Functions | Globaali edge (lähin PoP) | Kyllä, vain Agency+ |
| Kooditietueet (D1) | Cloudflare D1 (SQLite) | Ensisijainen alue asetetaan provisionoinnissa (tänään: ENAM) | Kyllä, Agency+ asiakaskohtainen shard |
| Uudelleenohjauksen nopea polku (KV) | Cloudflare Workers KV | Globaalisti replikoitu edge <50ms p99:lle | Ei saatavilla (replikointi on tuote) |
| Salatut varmuuskopiot | Cloudflare R2 | Ensisijainen alue asetetaan ämpärin luonnissa | Kyllä, EU / APAC -lainkäyttöalueen ämpäri pyydettäessä |
| Maksut | Stripe | USA, alueellinen henkilötietojen käsittely Stripen oman residenssin kautta | Stripe-sopimuksen kautta |
| Tapahtumapohjainen sähköposti | ZeptoMail (Zoho) | IN (Zohon EU-alue saatavilla pyydettäessä) | Kyllä, Zoho EU -alue |
Mitä tarkalleen siirretään rajojen yli
- Skannaukset eivät ylitä rajoja häviöllisesti. Lissabonista tuleva skannaus osuu Lissabonin Cloudflare-PoP:iin, worker kirjoittaa päivän/maan/laitteen KV:hen edgellä ja koostaa asynkronisesti D1:een sen ensisijaisella alueella. Alkuperäisen skannaajan IP sijaitsee Cloudflaren tilapäisessä pyyntötilassa HTTP-pyynnön ajan eikä tallennu koskaan tietokantaamme.
- Koontinäytön pyynnöt päättyvät lähimpään Cloudflare-PoP:iin ja kutsuvat D1:tä Cloudflaren yksityisverkon kautta. Pages Functions -funktiot lukevat ja kirjoittavat D1:een sen asetetussa alueessa; edge-PoP palvelee HTML + JS -paketin globaalista staattisten resurssien välimuistista.
- Stripe-webhookit ylittävät rajan kerran, Stripe (USA) lähettää POST-pyynnön Cloudflare Pages -päätepisteeseemme, joka tarkistaa HMAC:n, kirjoittaa minimaalisen (event_id, type) -rivin idempotenssia varten ja lähettää jatkotapahtumat.
- Tapahtumapohjaiset sähköpostit (Zepto) ylittävät rajan kerran lähetystä kohden, workerimme antaa renderöidyn mallin Zepton API:lle; Zepto toimittaa sen vastaanottajan postipalvelimelle. Sisältö on kutsulinkejä, laskutuksen elinkaari-ilmoituksia ja skannausrajan hälytyksiä, ei asiakkaan skannaustietoja.
Anti-quishing-putkilinja
QR-tietojenkalastelu kasvoi 146 % vuoden 2026 ensimmäisellä neljänneksellä. Tavallinen lyhytlinkkitoimittaja reagoi vasta asiakasvalituksen jälkeen. Me tarkistamme jokaisen linkin luomishetkellä, jokaisen kohdemuutoksen yhteydessä ja kiertoaikataulun mukaisesti, koska asiakas voi ohjata oman URL:nsa omalla palvelimellaan kutsumatta koskaan API:amme. Sama uhkatiedusteluputkilinja, joka käyttää julkista skanneriamme osoitteessa check.qr.abundera.ai, tarkistaa jokaisen myöntämämme linkin.
Seitsemän tunnistuskerrosta, joista jokaisella on vireillä oleva yhdysvaltalainen patenttihakemus. Jokainen kerros syöttää yhtenäiseen tuomioon; osuma millä tahansa kerroksella voi estää luomisen, kieltää kohdemuutoksen tai keskeyttää jo aktiivisen linkin.
| Kerros | Mitä se havaitsee | Milloin se suoritetaan |
|---|---|---|
| Uudelleenohjausketjun muunneltavuus | Kuinka monta riippumatonta osapuolta hallitsee polkua lyhytlinkkimme ja lopullisen sivun välillä. Kahden hypyn ketju jonkun toisen uudelleenohjaajan kautta on eri riskitaso kuin suora kohde. | Luominen, kohdemuutos, kiertoajanjakso |
| Monimoodinen hyötykuorma-analyysi | WiFi, yhteystiedot, puhelinpalvelut, sähköposti, kalenteri, paikannusdata, kryptovaluutta, Android-aikomus ja inline-datahyötykuormat saavat kukin tyyppikohtaisen analysaattorin. Estetyt skeemat hylätään lähetyksessä. | Luominen, kohdemuutos |
| Crawler-selain-naamiointi | Sivut, jotka tarjoavat puhtaan sisällön skannerille ja tietojenkalastelun ihmisille. Havaitaan rinnakkaisilla hauilla hallitulla sormenjälkivarianssilla ja poikkeamapisteytyksellä. | Luominen, kiertoajanjakso |
| Kohdepalvelimen muunneltavuus | Juuri rekisteröidyt verkkotunnukset, uudet varmenteet, korkean vaihtuvuuden TLD:t, puuttuva HSTS ja siirtoprotokollajärjestelmän heikentäminen. Riippumaton uudelleenohjausketjusta; staattinen yksihyppyinen ketju kuusipäiväisellä varmenteella epäilyttävällä TLD:llä merkitään silti. | Luominen, kohdemuutos, kiertoajanjakso |
| Fyysisen esiintymän alkuperä | Joukkoistettua hajautuskirjanpitoa dekoodatun hyötykuorman perusteella. Yksi QR-koodi, joka skannataan useilla eri alueilla lyhyessä ajassa, nousee tarrakohde-ehdokkaaksi. Jokaiselle myöntämällemme linkille kirjataan puhdas alkuperämerkintä luomishetkellä, joten päällekkäiset hyökkäykset laillisia Pro-koodeja vastaan havaitaan. | Jatkuva |
| Visuaalinen brändikelpaamattomuus | Jos koodi sisältää brändilogon, jonka kanonisessa verkkotunnusjoukossa ei ole dekoodattua kohdetta, koodi on brändikelpaamaton. Koskee kaikkia Pro-koodeja, jotka käyttävät center-logo-ominaisuuttamme; tietojenkalastelija ei voi lähettää Chase-logoilla varustettua koodia, joka osoittaa muualle kuin Chase-verkkotunnukseen. | Luominen, logomuutos, kohdemuutos |
| Anturi- ja toimipaikan topologia | Toimipaikkaan sidotuille koodeille (parkkimittarit, hotellin sisäänkirjautuminen, ravintoloiden menut, museonäyttelyt) skannaavan laitteen ympäristön RF-konteksti tarkistetaan kyseisen toimipaikan rekisteröityä topologiaa vasten. Poikkeama palauttaa antoritekstipoikkeaman jo vilpillisen tarran ensimmäisestä skannauksesta. Enterprise-taso; toimipaikan hallinnoija rekisteröi odotetun topologian koodin luomishetkellä. | Jokainen skannaus |
Asiakaspuolen muutosongelma
Pro-linkin kohde-URL sijaitsee asiakkaan palvelimella, ei meillä. Asiakas voi ohjata example.com/promo-osoitteen oikeasta kampanjasta tietojenkalastelusivulle kutsumatta koskaan Abundera API:a. Pidämme tätä ensisijaisena väärinkäyttöpolkuna, ei reunatapauksena. Kiertoajanjakson tarkistukset aktiivisille kohteille suoritetaan aikataulun mukaisesti, ja naamioinnin tunnistuskerros kohdistuu erityisesti sivuihin, jotka vaihtuvat lähetyksen jälkeen. Kun kohde alkaa epäonnistua tarkistuksissa luomisen jälkeen, linkki keskeytetään automaattisesti, omistajalle lähetetään sähköposti tietyllä tuomiolla ja tapahtuma kirjataan auditointipolkuun.
Väärät positiiviset ja valitukset
Uhkatiedustelu on joskus väärässä. Laillinen brändi juuri myönnetyllä varmenteella, aito kampanja, jonka sivu on muuttunut laillisesti, siirretty verkkotunnus. Jokainen esto ja automaattinen keskeytys sisältää tarkan tuomioon johtaneen kerroksen, sen laukaisseen syötteen ja yhden klikkauksen valituksen, joka eskaloidaan ihmiselle yhden arkipäivän kuluessa. Keskeytämme mieluummin kuin poistamme; keskeytetyn linkin voi ottaa uudelleen käyttöön sekunneissa valituksen käsittelyn jälkeen.
Yhden alueen residentti (Agency+ ja Custom Enterprise)
Vain EU- tai vain APAC-ostajille Agency-tason asiakkaat voivat pyytää:
- D1 sijoitettuna yhteen lainkäyttöalueeseen (EU: EEUR tai WEUR; APAC: APAC). Cloudflare kunnioittaa
location-vihjettä tietokannan luonnissa; luomme asiakaskohtaisen D1-shardin pyydetylle alueelle (ADR-0010). - R2-ämpäri samalla lainkäyttöalueella, öiset salatut D1 → R2 -varmuuskopiot tallennetaan vastaavalle alueelle.
- Zepto EU -alue tapahtumapohjaiselle sähköpostille, konfiguroidaan palvelutasolla, ei koodimuutosta.
- KV pysyy globaalina, edge-replikointi on keskeinen osa <50ms uudelleenohjauksen takuulle. Jos yhden alueen KV on ehdoton vaatimus, ota yhteyttä; arvioimme, onko alueellinen Worker-variantti toteutettavissa kampanjallesi.
Yhden alueen lisäosan hinta on kiinteä (ei paikkakertainen) ja riippuu tietystä yhdistelmästä. Lähetä sähköpostia enterprise@abundera.ai haluamasi lainkäyttöalueen ja arvioidun skannausvolyymin kanssa, niin annamme tarjouksen.
Vaatimustenmukaisuus
- GDPR, minimaalinen data suunnitteluperiaatteena (vain maa + laiteryhmä, ei IP:tä, ei UA:ta, ei evästeitä) sekä yhden klikkauksen vienti ja 30 päivän kovalevy-poisto. DPA + EU SCCs saatavilla kaikille maksaville tasoille.
- CCPA, katettu samalla vienti- ja poistopinnalla. "Tietojen myyntiä" ei tapahdu: ei kolmannen osapuolen jakamista, ei mainosyhteistyötä, ei uudelleenkohdentamista.
- SSO + SCIM-provisiointi, SAML 2.0 + OIDC -kertakirjautuminen ja SCIM 2.0 -käyttäjäryhmän elinkaari (Agency + Custom Enterprise -tasot). RFC 7643/7644 -vaatimustenmukaisuus varmistettu (20/20 PingIdentity-johdetulla testipaketilla). Yhteyskohteinen featurelippu tarkoittaa, että SCIM on oletuksena pois käytöstä ja otetaan käyttöön asiakaskohtaisesti; nopeusrajoitus 50 RPS tokenia kohden; auditoitu. Okta/Entra/JumpCloud toimivat tänään mukautettuina SCIM-sovelluksina, kun kumppanikatalogimerkintöjä valmistellaan.
- SOC 2 Type II, suunnitteluvaiheessa. 6–9 kuukauden prosessi. Jos tämä on sinulle pakollinen vaatimus, lähetä sähköpostia enterprise@abundera.ai; voimme kertoa nykyisen tilanteen ja arvioidun aikataulun.
- PCI-DSS, ei koske meitä suoraan; maksut käsitellään kokonaan Stripen kautta (PCI Level 1 -sertifioitu).
Tietoturvapoikkeamien ilmoittaminen
Löysitkö haavoittuvuuden? Lähetä sähköpostia security@abundera.ai. Koordinoitu julkistaminen, kuittaamme 24 tunnin kuluessa (arkipäivinä), triagoimme 72 tunnin kuluessa ja sovimme korjauksen + julkistusaikataulun kanssasi. Ei vielä bug bounty -ohjelmaa; tunnustamme tutkijat julkisesti osoitteessa abundera.ai/security/thanks/ korjauksen julkaisun jälkeen.