Anti-quishing di pihak penerbit. Kediaman data di pihak penyimpanan.
Setiap pautan Pro melalui saluran paip anti-quishing tujuh lapisan semasa penerbitan, setiap kali destinasi berubah, dan mengikut jadual bergilir. Log imbasan hanya merekod negara dan kelas peranti, tanpa IP, tanpa ejen pengguna, tanpa kuki, tanpa profil tingkah laku yang boleh bocor. D1 rantau tunggal tersedia pada pelan Agency dan Custom Enterprise.
Data yang kami kumpul
Setiap bait yang tiba di pelayan kami termasuk dalam salah satu daripada empat kategori:
Data akaun
E-mel, peringkat pelan, status pelan, ID pelanggan + langganan Stripe, nama pasukan + label ruang kerja (pilihan). Hanya itu. Tiada nombor telefon, tiada alamat (alamat pengebilan kekal di Stripe), tiada profil tingkah laku.
Data kod
URL destinasi, kod pendek Base58 7 aksara, label + tag yang anda tetapkan, reka bentuk QR pilihan (warna / logo / bingkai), gerbang kata laluan pilihan, jadual pilihan. Milik anda; boleh dieksport sebagai CSV bila-bila masa.
Data imbasan
Baldi hari UTC + negara (daripada CF-IPCountry) + kelas peranti (mudah alih / tablet / desktop / tidak diketahui). Ejen Pengguna mentah dibuang serta-merta selepas pengelasan. IP tidak pernah masuk ke pangkalan data. Dicache dalam KV untuk laluan ubah hala panas, dikumpulkan ke D1 melalui ctx.waitUntil. Agregat negara bawah 5 imbasan digabungkan ke dalam "Lain-lain" untuk menghalang pengecaman semula.
Metadata audit / pengebilan
Log mutasi hanya-tambah (siapa buat apa, bila, dalam skop apa), simpanan 180 hari. Acara webhook Stripe diduplikasi untuk idempotensi, tiada PII pelanggan selain ID pelanggan Stripe. Log permintaan GDPR (eksport / padam / pulih), disimpan selepas pemadaman akaun sebagai bukti pemenuhan tepat masa.
Untuk skema penuh, lihat docs/SCHEMA.md dalam repo sumber kami; setiap lajur didokumenkan dengan polisi pengekalan.
Di mana data disimpan
| Permukaan | Pembekal | Rantau | Pilihan rantau tunggal? |
|---|---|---|---|
| Papan pemuka + API | Cloudflare Pages Functions | Edge global (PoP terdekat) | Ya, Agency+ sahaja |
| Rekod kod (D1) | Cloudflare D1 (SQLite) | Rantau utama ditetapkan semasa peruntukan (kini: ENAM) | Ya, serpih per-penyewa Agency+ |
| Laluan ubah hala panas (KV) | Cloudflare Workers KV | Direplikasi edge secara global untuk <50ms p99 | Tidak tersedia (replikasi adalah produknya) |
| Sandaran terenkripsi | Cloudflare R2 | Rantau utama ditetapkan semasa penciptaan baldi | Ya, baldi bidang kuasa EU / APAC atas permintaan |
| Pembayaran | Stripe | AS, pengendalian PII serantau melalui kediaman Stripe sendiri | Melalui kontrak Stripe |
| E-mel transaksi | ZeptoMail (Zoho) | IN (rantau EU Zoho tersedia atas permintaan) | Ya, rantau EU Zoho |
Apa yang sebenarnya merentasi sempadan
- Imbasan tidak pernah merentasi sempadan dengan cara yang hilang maklumat. Imbasan dari Lisbon mengenai PoP Cloudflare Lisbon, pekerja menulis hari/negara/peranti ke KV di edge, dan mengagregat secara tak segerak ke D1 di rantau utamanya. IP pengimbas asal wujud dalam keadaan permintaan sementara Cloudflare sepanjang tempoh permintaan HTTP dan tidak pernah disimpan ke pangkalan data kami.
- Permintaan papan pemuka ditamatkan di PoP Cloudflare terdekat dan memanggil D1 melalui rangkaian peribadi Cloudflare. Pages Functions kami membaca/menulis D1 di rantau yang ditetapkan; PoP edge menyajikan berkas HTML + JS daripada cache aset statik global.
- Webhook Stripe merentasi sempadan sekali, Stripe (AS) POST ke endpoint Cloudflare Pages kami, yang mengesahkan HMAC, menulis baris minima (event_id, type) untuk idempotensi, dan menghantar acara hiliran.
- E-mel transaksi (Zepto) merentasi sempadan sekali setiap penghantaran, pekerja kami menyerahkan templat yang dirender ke API Zepto; Zepto menghantar ke pelayan mel penerima. Kandungan adalah pautan jemputan, pemberitahuan kitaran hayat pengebilan, dan amaran had imbasan, tiada data imbasan pelanggan.
Saluran paip anti-quishing
Penipuan QR meningkat 146% pada S1 2026. Vendor pautan pendek standard bertindak balas selepas aduan pelanggan. Kami menyemak setiap pautan semasa penerbitan, setiap kali destinasi diubah di pihak kami, dan mengikut jadual bergilir kerana pelanggan boleh menukar hala URL mereka sendiri di pelayan mereka sendiri tanpa pernah memanggil API kami. Saluran paip perisikan ancaman yang sama yang menjalankan pengimbas awam kami di check.qr.abundera.ai berjalan terhadap setiap pautan yang kami terbitkan.
Tujuh lapisan pengesanan, masing-masing dengan permohonan paten AS yang belum selesai. Setiap lapisan menyumbang kepada verd yang disatukan; padanan pada mana-mana satu lapisan boleh menyekat penciptaan, menolak perubahan destinasi, atau menggantung pautan yang sedang aktif.
| Lapisan | Apa yang ditangkap | Bila ia berjalan |
|---|---|---|
| Kemeruapan rantai ubah hala | Berapa banyak pihak bebas yang mengawal laluan antara pautan pendek kami dan halaman akhir. Rantai dua hop melalui pengubah hala pihak lain adalah kelas risiko yang berbeza daripada destinasi terus. | Penciptaan, perubahan destinasi, semakan semula bergilir |
| Analisis muatan berbilang mod | WiFi, kenalan, telefoni, mel, kalendar, geolokasi, mata wang kripto, niat Android, dan muatan data sebaris masing-masing mendapat penganalisis khusus jenis. Skim yang disekat keras ditolak semasa penyerahan. | Penciptaan, perubahan destinasi |
| Penyamaran perayap berbanding pelayar | Halaman yang menyajikan kandungan bersih kepada pengimbas dan phishing kepada manusia. Dikesan melalui pengambilan selari dengan varians cap jari terkawal dan skor divergens. | Penciptaan, semakan semula bergilir |
| Kemeruapan pelayan destinasi | Domain baru didaftarkan, sijil baru diterbitkan, TLD berputaran tinggi, HSTS hilang, dan degradasi skim pengangkutan. Bebas daripada rantai ubah hala; rantai satu hop statik ke sijil berusia enam hari pada TLD mencurigakan masih akan ditandai. | Penciptaan, perubahan destinasi, semakan semula bergilir |
| Asal-usul contoh fizikal | Lejar cincang bersumber ramai yang dikunci oleh muatan yang dinyahkod. Satu QR yang diimbas merentas banyak rantau berbeza dalam tetingkap pendek muncul sebagai calon serangan pelekat. Setiap pautan yang kami terbitkan mendapat entri asal-usul bersih semasa penciptaan, supaya serangan hamparan terhadap kod Pro yang sah dapat dikesan. | Berterusan |
| Divergens jenama visual | Jika kod membawa logo jenama yang set domain kanonikalnya tidak merangkumi destinasi yang dinyahkod, kod itu adalah berlainan jenama. Digunakan pada setiap kod Pro yang menggunakan ciri logo tengah kami; penyerang tidak boleh menghantar kod berlogo Chase yang menuju ke domain bukan Chase. | Penciptaan, perubahan logo, perubahan destinasi |
| Topologi sensor / tempat | Untuk kod yang terikat pada tempat (meter tempat letak kereta, daftar masuk hotel, menu restoran, pameran muzium), konteks RF ambien peranti pengimbas diperiksa terhadap topologi berdaftar untuk tempat tersebut. Ketidakpadanan mengembalikan anomali konteks sensor walaupun pada imbasan pertama pelekat palsu. Peringkat Enterprise; operator tempat mendaftarkan topologi yang dijangkakan semasa penciptaan kod. | Setiap imbasan |
Masalah perubahan di pihak pelanggan
URL destinasi pautan Pro berada di pelayan pelanggan, bukan milik kami. Pelanggan boleh menukar hala example.com/promo dari promosi sebenar ke halaman phishing tanpa pernah memanggil API Abundera. Kami menganggap ini sebagai laluan penyalahgunaan utama, bukan kes tepi. Semakan semula bergilir terhadap destinasi aktif berjalan mengikut jadual, dan lapisan pengesanan penyamaran kami secara khusus menyasarkan halaman yang bertukar selepas penyerahan. Apabila destinasi mula gagal semakan selepas penciptaan, pautan digantung secara automatik, pemilik dimaklumkan melalui e-mel dengan verd khusus, dan acara direkodkan dalam jejak audit.
Positif palsu dan rayuan
Perisikan ancaman kadangkala tersalah. Jenama sah pada sijil baru diterbitkan, promosi sebenar yang halamannya berubah secara sah, domain yang telah berpindah. Setiap sekatan dan setiap penggantungan automatik menyertakan lapisan verd khusus yang mencetuskannya, input yang mencetuskannya, dan rayuan satu klik yang dieskalet kepada manusia dalam satu hari perniagaan. Kami cenderung untuk menggantung berbanding memadam; pautan yang digantung boleh diaktifkan semula dalam masa beberapa saat setelah rayuan diluluskan.
Kediaman rantau tunggal (Agency+ dan Custom Enterprise)
Untuk pembeli EU sahaja atau APAC sahaja, pelanggan peringkat Agency boleh memohon:
- D1 ditempatkan dalam satu bidang kuasa (EU: EEUR atau WEUR; APAC: APAC). Cloudflare menghormati petunjuk
locationsemasa penciptaan pangkalan data; kami mencipta serpih D1 per-penyewa di rantau yang diminta (ADR-0010). - Baldi R2 dalam bidang kuasa yang sama, sandaran D1 ke R2 terenkripsi setiap malam mendarat di rantau yang sepadan.
- Rantau EU Zepto untuk e-mel transaksi, dikonfigurasi di peringkat perkhidmatan, tiada perubahan kod.
- KV kekal global, replikasi edge adalah teras kepada jaminan ubah hala <50ms. Jika KV rantau tunggal adalah keperluan mutlak, hubungi kami; kami boleh menilai sama ada varian Worker rantau sahaja boleh dilaksanakan untuk kempen anda.
Harga untuk tambahan rantau tunggal adalah kadar tetap (tiada tambahan per-tempat duduk) dan bergantung pada kombinasi khusus. E-mel enterprise@abundera.ai dengan bidang kuasa sasaran + jangkaan jumlah imbasan dan kami akan membuat sebut harga.
Pendirian pematuhan
- GDPR, data minimum mengikut reka bentuk (negara + kelas peranti sahaja, tiada IP, tiada UA, tiada kuki) ditambah eksport satu klik dan padam keras 30 hari. DPA + EU SCC tersedia untuk semua peringkat berbayar.
- CCPA, dilindungi oleh permukaan eksport + padam yang sama. "Jualan data" bukan sesuatu yang kami lakukan: tiada perkongsian pihak ketiga, tiada rakan kongsi iklan, tiada penyasaran semula.
- Peruntukan SSO + SCIM, log masuk tunggal SAML 2.0 + OIDC dan kitaran hayat pengguna & kumpulan SCIM 2.0 (peringkat Agency + Custom Enterprise). Pematuhan RFC 7643/7644 disahkan (20/20 pada suite ujian terbitan PingIdentity). Bendera ciri per-sambungan bermakna SCIM adalah lalai-mati dan diaktifkan per pelanggan; had kadar 50 RPS per token; log audit. Okta/Entra/JumpCloud berfungsi hari ini sebagai apl SCIM tersuai sementara penyenaraian katalog rakan kongsi sedang dalam proses.
- SOC 2 Jenis II, dalam skop. Proses 6-9 bulan. Jika ini adalah keperluan mutlak anda, e-mel enterprise@abundera.ai; kami boleh berkongsi status semasa + jangkaan garis masa.
- PCI-DSS, di luar skop kami secara langsung; pembayaran dikendalikan sepenuhnya oleh Stripe (pensijilan PCI Tahap 1).
Pendedahan keselamatan
Jumpa kelemahan? E-mel security@abundera.ai. Pendedahan terkoordinasi, kami akan mengakui dalam 24j (hari bekerja), triage dalam 72j, dan menyelaraskan garis masa pembetulan + pendedahan dengan anda. Tiada program hadiah pepijat lagi; kami mengiktiraf penyelidik secara awam di abundera.ai/security/thanks/ setelah pembetulan dihantar.