Anti-quishing di sisi penerbit. Residensi data di sisi penyimpanan.
Setiap tautan Pro dijalankan melalui pipeline anti-quishing tujuh lapis saat diterbitkan, saat setiap perubahan tujuan terjadi, dan pada jadwal bergulir. Log pemindaian hanya berisi negara dan kelas perangkat; tidak ada IP, tidak ada user agent, tidak ada cookie, tidak ada profil perilaku yang bisa bocor. D1 satu wilayah tersedia pada Agency dan Enterprise Khusus.
Data yang kami kumpulkan
Setiap byte yang masuk ke server kami masuk dalam salah satu dari empat kategori:
Data akun
Email, tier paket, status paket, ID pelanggan + langganan Stripe, nama tim opsional + label ruang kerja. Hanya itu. Tidak ada telepon, tidak ada alamat (alamat penagihan tetap di Stripe), tidak ada profil perilaku.
Data kode
URL tujuan, shortcode 7 karakter Base58, label + tag yang Anda atur, desain QR opsional (warna / logo / bingkai), gerbang kata sandi opsional, jadwal opsional. Milik Anda; dapat diekspor sebagai CSV kapan saja.
Data pemindaian
Kelompok hari UTC + negara (dari CF-IPCountry) + kelas perangkat (mobile / tablet / desktop / unknown). Raw User-Agent dibuang segera setelah klasifikasi. IP tidak pernah masuk ke database. Di-cache di KV untuk jalur redirect, diagregasi ke D1 via ctx.waitUntil. Agregat negara di bawah 5 pemindaian digabungkan ke "Other" untuk mencegah re-identifikasi.
Metadata audit / penagihan
Log append-only dari mutasi (siapa yang melakukan apa, kapan, dalam cakupan apa), retensi 180 hari. Event webhook Stripe dideduplikasi untuk idempotency, tidak ada PII pelanggan di luar ID pelanggan Stripe. Log permintaan GDPR (ekspor / hapus / pulihkan), dipertahankan setelah penghapusan akun untuk bukti pemenuhan tepat waktu.
Untuk skema lengkap, lihat docs/SCHEMA.md di repositori sumber kami; setiap kolom didokumentasikan dengan kebijakan retensi.
Di mana data disimpan
| Permukaan | Penyedia | Wilayah | Opsi satu wilayah? |
|---|---|---|---|
| Dashboard + API | Cloudflare Pages Functions | Edge global (PoP terdekat) | Ya, hanya Agency+ |
| Rekaman kode (D1) | Cloudflare D1 (SQLite) | Wilayah primer ditetapkan saat provisi (saat ini: ENAM) | Ya, shard per tenant Agency+ |
| Jalur redirect (KV) | Cloudflare Workers KV | Direplikasi ke edge global untuk <50ms p99 | Tidak tersedia (replikasi adalah produknya) |
| Backup terenkripsi | Cloudflare R2 | Wilayah primer ditetapkan saat pembuatan bucket | Ya, bucket yurisdiksi EU / APAC atas permintaan |
| Pembayaran | Stripe | AS, penanganan PII wilayah via residensi Stripe sendiri | Via kontrak Stripe |
| Email transaksional | ZeptoMail (Zoho) | IN (wilayah EU Zoho tersedia atas permintaan) | Ya, wilayah EU Zoho |
Apa yang melewati batas, tepatnya
- Pemindaian tidak pernah melewati batas dengan cara yang merusak. Pemindaian dari Lisbon menyentuh PoP Cloudflare Lisbon, worker menulis hari/negara/perangkat ke KV di edge, dan diagregasi secara asinkron ke D1 di wilayah primernya. IP pemindai asli berada dalam status permintaan sementara Cloudflare selama durasi permintaan HTTP dan tidak pernah disimpan ke database kami.
- Permintaan dashboard berakhir di PoP Cloudflare terdekat dan memanggil D1 melalui jaringan privat Cloudflare. Pages Functions kami membaca/menulis D1 di wilayah yang ditetapkan; PoP edge menyajikan bundel HTML + JS dari cache aset statis global.
- Webhook Stripe melewati batas satu kali, Stripe (AS) mem-POST ke endpoint Cloudflare Pages kami, yang memverifikasi HMAC, menulis baris minimal (event_id, type) untuk idempotency, dan mengirimkan event downstream.
- Email transaksional (Zepto) melewati batas satu kali per pengiriman, worker kami menyerahkan template yang dirender ke API Zepto; Zepto mengantarkan ke mailserver penerima. Kontennya adalah tautan undangan, notifikasi siklus hidup penagihan, dan peringatan batas pemindaian, tidak ada data pemindaian pelanggan.
Pipeline anti-quishing
Phishing QR naik 146% pada Q1 2026. Vendor tautan pendek standar bereaksi setelah keluhan pelanggan. Kami memeriksa setiap tautan saat diterbitkan, setiap kali tujuan diubah dari sisi kami, dan pada jadwal bergulir karena pelanggan dapat mengarahkan ulang URL mereka sendiri di server mereka sendiri tanpa pernah memanggil API kami. Pipeline intelijen ancaman yang sama yang menggerakkan pemindai publik kami di check.qr.abundera.ai berjalan terhadap setiap tautan yang kami terbitkan.
Tujuh lapis deteksi, masing-masing dengan pengajuan paten AS yang tertunda. Setiap lapis mengumpan ke verdik terpadu; satu pun yang terkena dapat memblokir pembuatan, menolak perubahan tujuan, atau menangguhkan tautan yang sudah aktif.
| Lapis | Apa yang ditangkap | Kapan dijalankan |
|---|---|---|
| Mutabilitas rantai redirect | Berapa banyak pihak independen yang mengontrol jalur antara tautan pendek kami dan halaman akhir. Rantai dua hop melalui redirector pihak lain adalah kelas risiko berbeda dari tujuan langsung. | Pembuatan, perubahan tujuan, pemeriksaan ulang bergulir |
| Analisis payload multi-modal | Payload WiFi, kontak, telepon, email, kalender, geolokasi, kripto, intent Android, dan data-inline masing-masing mendapat penganalisis spesifik jenisnya. Skema yang diblokir keras ditolak saat submit. | Pembuatan, perubahan tujuan |
| Cloaking crawler-vs-browser | Halaman yang menyajikan konten bersih ke pemindai dan phishing ke manusia. Dideteksi melalui pengambilan paralel dengan variasi sidik jari terkontrol dan skor divergensi. | Pembuatan, pemeriksaan ulang bergulir |
| Mutabilitas server tujuan | Domain yang baru didaftarkan, sertifikat baru, TLD dengan pergantian tinggi, HSTS tidak ada, dan degradasi skema transport. Independen dari rantai redirect; rantai satu hop statis ke sertifikat berumur enam hari di TLD mencurigakan tetap ditandai. | Pembuatan, perubahan tujuan, pemeriksaan ulang bergulir |
| Provenance instans fisik | Ledger hash yang dikumpulkan secara kolektif, dikunci oleh payload yang didekode. Satu QR yang dipindai di banyak wilayah berbeda dalam jendela singkat muncul sebagai kandidat serangan stiker. Setiap tautan yang kami terbitkan mendapat entri provenance bersih saat pembuatan, sehingga serangan overlay terhadap kode Pro yang sah tertangkap. | Berkelanjutan |
| Divergensi merek visual | Jika kode membawa logo merek yang himpunan domain kanoniknya tidak mencakup tujuan yang didekode, kode tersebut adalah divergen-merek. Berlaku untuk setiap kode Pro yang menggunakan fitur logo-tengah kami; phisher tidak dapat mengirimkan kode berlogo Chase yang mengarah ke domain non-Chase. | Pembuatan, perubahan logo, perubahan tujuan |
| Topologi sensor / venue | Untuk kode yang terikat venue (meteran parkir, check-in hotel, menu restoran, pameran museum), konteks RF ambient perangkat pemindai diperiksa terhadap topologi terdaftar untuk venue tersebut. Ketidakcocokan mengembalikan anomali konteks sensor bahkan pada pemindaian pertama stiker palsu. Tier Enterprise; operator venue mendaftarkan topologi yang diharapkan saat pembuatan kode. | Setiap pemindaian |
Masalah perubahan dari sisi pelanggan
URL tujuan tautan Pro berada di server pelanggan, bukan server kami. Pelanggan dapat mengarahkan ulang example.com/promo dari promo nyata ke halaman phishing tanpa pernah memanggil API Abundera. Kami memperlakukan ini sebagai jalur penyalahgunaan utama, bukan kasus tepi. Pemeriksaan ulang bergulir terhadap tujuan aktif berjalan pada jadwal, dan lapis deteksi cloaking kami secara khusus menargetkan halaman yang berubah setelah submit. Ketika tujuan mulai gagal pemeriksaan setelah pembuatan, tautan otomatis dijeda, pemilik dikirim email dengan verdik spesifik, dan kami mencatat event di jejak audit.
Positif palsu dan banding
Intelijen ancaman kadang salah. Merek sah pada sertifikat yang baru diterbitkan, promo nyata yang halamannya berubah secara sah, domain yang dipindahkan. Setiap blokir dan setiap jeda otomatis menyertakan lapis verdik spesifik yang terpicu, input yang memicunya, dan banding satu klik yang dieskalasi ke manusia dalam satu hari kerja. Kami lebih memilih menjeda daripada menghapus; tautan yang dijeda dapat diaktifkan kembali dalam hitungan detik setelah banding selesai.
Residensi satu wilayah (Agency+ dan Enterprise Khusus)
Untuk pembeli hanya EU atau hanya APAC, pelanggan tier Agency dapat meminta:
- D1 ditempatkan dalam satu yurisdiksi (EU: EEUR atau WEUR; APAC: APAC). Cloudflare menghormati petunjuk
locationsaat pembuatan database; kami membuat shard D1 per tenant di wilayah yang diminta (ADR-0010). - Bucket R2 di yurisdiksi yang sama, backup terenkripsi D1 → R2 malam mendarat di wilayah yang cocok.
- Wilayah EU Zepto untuk email transaksional, dikonfigurasi di tingkat layanan, tidak perlu perubahan kode.
- KV tetap global, replikasi edge adalah inti dari jaminan redirect <50ms. Jika KV satu wilayah adalah persyaratan mutlak, hubungi kami; kami dapat mengevaluasi apakah varian Worker regional-saja layak untuk kampanye Anda.
Harga untuk add-on satu wilayah adalah tarif flat (tanpa markup per kursi) dan bergantung pada kombinasi spesifik. Email enterprise@abundera.ai dengan yurisdiksi target + volume pemindaian yang diproyeksikan dan kami akan memberikan penawaran.
Postur kepatuhan
- GDPR, desain data minimal (hanya negara + kelas perangkat, tanpa IP, tanpa UA, tanpa cookie) plus ekspor satu klik dan penghapusan keras 30 hari. DPA + EU SCC tersedia untuk semua tier berbayar.
- CCPA, dicakup oleh permukaan ekspor + hapus yang sama. "Penjualan data" bukan sesuatu yang kami lakukan: tidak ada berbagi pihak ketiga, tidak ada mitra iklan, tidak ada retargeting.
- SSO + provisi SCIM, single sign-on SAML 2.0 + OIDC dan siklus hidup pengguna & grup SCIM 2.0 (tier Agency + Enterprise Khusus). Kepatuhan RFC 7643/7644 terverifikasi (20/20 pada rangkaian pengujian turunan PingIdentity). Flag off-by-default per koneksi berarti SCIM nonaktif secara default dan diaktifkan per pelanggan; dibatasi rate 50 RPS per token; dicatat di log audit. Okta/Entra/JumpCloud berfungsi hari ini sebagai aplikasi SCIM kustom sementara listing katalog mitra sedang dalam proses.
- SOC 2 Type II, dalam penilaian cakupan. Proses 6-9 bulan. Jika ini persyaratan mutlak Anda, email enterprise@abundera.ai; kami dapat berbagi status saat ini + jadwal yang diproyeksikan.
- PCI-DSS, di luar cakupan kami secara langsung; pembayaran ditangani sepenuhnya oleh Stripe (bersertifikat PCI Level 1).
Pengungkapan keamanan
Menemukan kerentanan? Email security@abundera.ai. Pengungkapan terkoordinasi, kami akan mengakui dalam 24 jam (hari kerja), melakukan triase dalam 72 jam, dan mengoordinasikan perbaikan + jadwal pengungkapan bersama Anda. Belum ada program bug bounty; kami memberikan pengakuan publik kepada peneliti di abundera.ai/security/thanks/ setelah perbaikan dirilis.