Jawaban singkat dan jujur untuk pertanyaan yang akan diajukan tim keamanan Anda.

1. Analitik yang menghargai privasi

Sesuai ADR-0004, pipeline pemindaian tidak pernah mencatat alamat IP atau raw User-Agent. Saat ingest kami membaca CF-IPCountry (negara) dan melewatkan UA melalui regex kelas perangkat (mobile / tablet / desktop / unknown), lalu membuang string mentah. Data tingkat kota adalah rollup agregat yang diisi dari request.cf.city, tidak ada baris per pemindaian, tidak ada pengenal yang bisa digabungkan. Agregat negara di bawah 5 pemindaian digabungkan ke "Other" untuk mencegah re-identifikasi.

2. Backup terenkripsi

Setiap malam pukul 03.00 UTC, Worker terpisah mengambil snapshot D1 ke R2. Backup dienkripsi AES-GCM dengan kunci data yang dirotasi KDF yang dibungkus oleh BACKUP_ENCRYPTION_KEY. Setiap bundel membawa digest SHA-256 + manifest untuk deteksi gangguan (lihat tabel backups). Retensi: 7 tahun untuk tenant Pro. Kunci enkripsi disimpan dalam tiga salinan independen (secret Worker, vault 1Password, offline tersegel), kehilangan ketiganya akan membuat backup historis tidak dapat dipulihkan, sehingga kami memperlakukannya sebagai satu titik kebenaran operasional.

3. API Shield + CSP ketat

Spesifikasi OpenAPI 3.1 publik kami diunggah ke Cloudflare API Shield dan setiap permintaan ke /api/* divalidasi terhadapnya. Penyimpangan skema dihilangkan oleh hook post_deploy yang mengunggah ulang spesifikasi di setiap deploy produksi. Di sisi depan, Content Security Policy yang ketat melarang skrip inline di mana saja, setiap halaman mereferensikan JS-nya via <script src>, dan make check pra-deploy menolak untuk mengirim halaman yang melanggar aturan.

4. Log audit + buku besar GDPR

Setiap mutasi (buat/patch/hapus kode, undang tim, terbitkan kunci, ubah paket, edit webhook) menulis baris append-only ke audit_log dengan aktor, cakupan, dan timestamp, dipertahankan 180 hari dan dipangkas oleh sweeper. Buku besar permintaan GDPR (gdpr_requests) melacak setiap ekspor / hapus / pulihkan; baris bertahan setelah penghapusan akun (FK ON DELETE SET NULL, email dipertahankan) sehingga kami dapat membuktikan pemenuhan tepat waktu setiap permintaan statutori bertahun-tahun setelah akun ditutup.

5. Perlindungan autentikasi

Auth didelegasikan ke lapisan identitas abundera.ai bersama (EdDSA JWT via JWKS). Tersedia untuk pelanggan Pro:

• 2FA (TOTP), kata sandi satu kali berbasis waktu RFC 6238, aplikasi autentikator standar apa pun, kode cadangan diterbitkan saat pendaftaran.
• SSO SAML 2.0, Okta, Entra ID, JumpCloud, Google Workspace, IdP kustom. Tersedia di Team+ (disertakan di Agency/Enterprise).
• Provisi SCIM 2.0, siklus hidup pengguna + grup RFC 7643/7644, dibatasi rate per token, dicatat di log audit. Nonaktif secara default; diaktifkan per pelanggan.
• Kunci API, Business+, disimpan sebagai sha256(raw); nilai abnd_qrpro_... mentah hanya dikembalikan saat pembuatan dan tidak pernah lagi.

6. Sub-prosesor

Daftar singkat: Cloudflare (hosting, D1, KV, R2, API Shield), Stripe (pembayaran), Zoho / ZeptoMail (email transaksional), Twilio (verifikasi telepon + SMS). Lihat /trust/subprocessors/ untuk daftar lengkap dengan wilayah, kategori data, dan komitmen notifikasi perubahan 30 hari kami.

7. Perjanjian Pemrosesan Data

DPA kami yang selaras GDPR (EU SCC, addendum UK, addendum FADP Swiss) dapat diunduh di abundera.ai/legal/dpa/. Berlaku untuk semua tier berbayar secara otomatis, tidak diperlukan tanda tangan terpisah kecuali proses pengadaan Anda memerlukannya (kami akan menandatangani atas permintaan di legal@abundera.ai).

8. SOC 2

SOC 2 Type II, sedang dalam proses, target Q3 2026. Kami sedang dalam fase penilaian cakupan / perencanaan jendela observasi bersama firma audit besar. Sampai laporan diterbitkan kami tidak akan menampilkan lencana SOC 2. Jika penyelesaian SOC 2 adalah persyaratan pengadaan mutlak Anda saat ini, email enterprise@abundera.ai, kami dapat berbagi bukti kontrol saat ini, deskripsi sistem draf, dan tanggal atestasi yang diproyeksikan dengan NDA.

9. Tidak ada piksel pihak ketiga, selamanya

Ini adalah janji yang mengikat dan batas produk, bukan default yang bisa kami ubah diam-diam. Kami tidak menyuntikkan Google Analytics, Google Tag Manager, Meta Pixel, TikTok Pixel, LinkedIn Insight, Hotjar, FullStory, atau pelacak pihak ketiga lainnya, tidak ke dalam respons redirect kami, tidak ke halaman landing yang kami host, tidak ke permukaan dashboard yang dilihat pemindai Anda. Pemindai Anda tidak pernah di-retarget. Jika Anda membutuhkan atribusi berbasis piksel pada tujuan Anda sendiri, tambahkan parameter UTM (atau piksel) Anda sendiri ke URL tujuan; kami tidak ikut campur. Redirect itu sendiri adalah 302 dari worker kami ke URL Anda, tidak ada yang lain yang berjalan.

10. Pengungkapan bertanggung jawab

Menemukan sesuatu? Mulai dari /.well-known/security.txt untuk kontak saat ini, kunci PGP, dan cakupan. Email security@abundera.ai, kami mengakui dalam 24 jam (hari kerja), melakukan triase dalam 72 jam, dan mengoordinasikan perbaikan + pengungkapan bersama Anda. Peneliti yang melapor dengan itikad baik mendapat kredit publik di abundera.ai/security/thanks/ setelah perbaikan dirilis.

11. Status + uptime

Status langsung, kesehatan komponen, dan riwayat insiden ada di /status/. Jalur redirect dipantau setiap 5 menit oleh Worker eksternal; komponen yang terdegradasi atau tidak beroperasi tercermin di halaman status dalam satu siklus polling.