Anti-quishing på utstederens side. Datalagring på lagringssiden.
Hver Pro-lenke kjøres gjennom et syvlags anti-quishing-rørledning ved utstedelse, ved hver destinasjonsendring og på en rullerende plan. Skanneloggen er kun land og enhetsklasse, uten IP, uten brukeragent, uten informasjonskapsel, uten atferdsprofil å lekke. Enkeltregion D1 er tilgjengelig på Agency og Custom Enterprise.
Data vi samler inn
Alle byte som ender opp på tjenerene våre er i én av fire bøtter:
Kontodata
E-post, plannivå, planstatus, Stripe-kunde + abonnements-ID-er, valgfritt teamnavn + arbeidsstedsetikett. Det er alt. Ingen telefon, ingen adresse (faktureringsadresse forblir hos Stripe), ingen atferdsprofil.
Kodedata
Destinations-URL-en, en 7-tegns Base58-kortkode, en etikett + tagger du setter, valgfri QR-design (farger / logo / ramme), valgfri passordport, valgfri plan. Eiet av deg; eksporterbar som CSV når som helst.
Skannedata
UTC dagsbøtte + land (fra CF-IPCountry) + enhetsklasse (mobil / nettbrett / stasjonær / ukjent). Rå User-Agent forkastes umiddelbart etter klassifisering. IP går aldri inn i databasen. Bufret i KV for omdirigeringens hurtigvei, aggregert i D1 via ctx.waitUntil. Landsaggregater under 5 skanninger slås inn i «Other» for å hindre re-identifisering.
Revisjons- / faktureringsmetadata
Kun-append-logg over endringer (hvem gjorde hva, når, i hvilket omfang), 180-dagers bevaring. Stripe webhook-hendelser deduplisert for idempotens, ingen kunde-PII utover Stripe-kunde-ID. GDPR-forespørselslogg (eksport / slett / gjenopprett), beholdt etter kontosletting som bevis på overholdelse.
For det fullstendige skjemaet, se docs/SCHEMA.md i vår kilderepo; alle kolonner er dokumentert med en oppbevaringspolicy.
Hvor dataene lagres
| Overflate | Leverandør | Region | Enkeltregion-alternativ? |
|---|---|---|---|
| Dashbord + API | Cloudflare Pages Functions | Global kant (nærmeste PoP) | Ja, kun Agency+ |
| Kodeoppføringer (D1) | Cloudflare D1 (SQLite) | Primærregion tildelt ved klargjøring (i dag: ENAM) | Ja, Agency+ per-leietaker-shard |
| Omdirigeringens hurtigvei (KV) | Cloudflare Workers KV | Kant-replikert globalt for <50ms p99 | Ikke tilgjengelig (replikering er produktet) |
| Krypterte sikkerhetskopier | Cloudflare R2 | Primærregion tildelt ved bøtteopprettelse | Ja, EU/APAC-jurisdiksjonsbøtte på forespørsel |
| Betalinger | Stripe | US, regional PII-håndtering via Stripes egen lagringsordning | Via Stripe-kontrakt |
| Transaksjonell e-post | ZeptoMail (Zoho) | IN (Zohos EU-region tilgjengelig på forespørsel) | Ja, Zoho EU-region |
Hva som krysser en grense, nøyaktig
- Skanninger krysser aldri en grense på en tapende måte. En skanning fra Lisboa treffer Lisboas Cloudflare PoP, arbeideren skriver dag/land/enhet inn i KV ved kanten og aggregerer asynkront inn i D1 i primærregionen. Den opprinnelige skannerens IP lever i Cloudflares flyktige forespørselstilstand for varigheten av HTTP-forespørselen og lagres aldri i databasen vår.
- Dashbordforespørsler avsluttes ved nærmeste Cloudflare PoP og kaller D1 over Cloudflares private nettverk. Pages Functions leser/skriver D1 i sin tildelte region; kant-PoP-en serverer HTML + JS-pakken fra den globale statiske aktivabufferen.
- Stripe webhooks krysser grensen én gang, Stripe (US) POST-er til vårt Cloudflare Pages-endepunkt, som verifiserer HMAC-en, skriver en minimal (event_id, type) rad for idempotens og sender nedstrøms hendelser.
- Transaksjonell e-post (Zepto) krysser grensen én gang per sending, arbeideren vår sender en gjengitt mal til Zetpos API; Zepto leverer til mottakerens e-posttjener. Innholdet er invitasjonslenker, faktureringslivssyklusvarsler og skannegrensevarsler, ingen kundeskannedata.
Anti-quishing-rørledning
QR-phishing økte med 146 % i Q1 2026. Den vanlige kortlenkeleverandøren reagerer etter en kundeklage. Vi sjekker hver lenke ved utstedelse, hver gang destinasjonen endres på vår side, og på en rullerende plan fordi en kunde kan peke sin egen URL på sin egen tjener uten noen gang å kalle vår API. Den samme trusselinformasjonsrørledningen som driver vår offentlige skanner på check.qr.abundera.ai kjøres mot hver lenke vi utsteder.
Sju deteksjonslag, hvert med en pågående US-patentsøknad. Hvert lag mater inn i et samlet resultat; et treff på ett enkelt lag kan blokkere opprettelse, avvise en destinasjonsendring eller suspendere en allerede aktiv lenke.
| Lag | Hva det fanger | Når det kjøres |
|---|---|---|
| Omdirigerings-kjede-mutabilitet | Hvor mange uavhengige parter som kontrollerer stien mellom vår kortlenke og den endelige siden. En to-hopp-kjede gjennom andres viderekobling er en annen risikoklasse enn en direkte destinasjon. | Opprettelse, destinasjonsendring, rullerende re-sjekk |
| Multimodal nyttlastanalyse | WiFi, kontakt, telefoni, e-post, kalender, geolokalisering, kryptovaluta, Android-intent og inline-data-nyttelaster får hver sin typesspesifikke analysator. Hardblokerte skjemaer avvises ved innsending. | Opprettelse, destinasjonsendring |
| Skanner-kontra-nettleser-kamuflasje | Sider som serverer rent innhold til skannere og phishing til mennesker. Oppdaget ved parallelle hentinger med kontrollert fingeravtrykksvariasjon og en avviksscore. | Opprettelse, rullerende re-sjekk |
| Destinasjonstjener-mutabilitet | Nyregistrerte domener, nye sertifikater, TLD-er med høy gjennomtrekk, manglende HSTS og nedgradering av transportprotokoll. Uavhengig av omdirigeringskjeden; en statisk ett-hopp-kjede til et seks dager gammelt sertifikat på et tvilsomt TLD flagges likevel. | Opprettelse, destinasjonsendring, rullerende re-sjekk |
| Fysisk-instans-proveniens | Folkefinansiert hash-register nøklet med avkodet nyttelast. En enkelt QR skannet over mange ulike regioner i et kort tidsvindu dukker opp som kandidat for klistremerke-angrep. Hver lenke vi utsteder får en ren proveniens-oppføring ved opprettelse, slik at overlay-angrep mot legitime Pro-koder fanges opp. | Kontinuerlig |
| Visuelt-merke-avvik | Hvis en kode bærer en merkelogo hvis kanoniske domene-sett ikke inkluderer den avkodede destinasjonen, er koden merkeavvikende. Gjelder alle Pro-koder som bruker senterlogo-funksjonen; en phisher kan ikke levere en Chase-logomerket kode som peker på et ikke-Chase-domene. | Opprettelse, logoendring, destinasjonsendring |
| Sensor- / stedstolopologi | For stedsbundne koder (parkeringsautomater, hotell-innsjekk, restaurantmenyer, museumsutstillinger) sjekkes skanneenhetens omgivende RF-kontekst mot den registrerte topologien for det stedet. Avvik returnerer en sensorkontestavvik selv ved den aller første skanningen av en falsk klistrelapp. Enterprise-nivå; stedsoperatøren registrerer forventet topologi ved kodeopprettelse. | Hver skanning |
Kundesidende endringsproblemet
En Pro-lenkes destinations-URL ligger på kundens tjener, ikke vår. Kunden kan peke example.com/promo fra en ekte promo til en phishing-side uten noen gang å kalle Abundera API-en. Vi behandler dette som den primære misbruksbanen, ikke et kanttilfelle. Rullerende re-sjekker mot aktive destinasjoner kjøres etter plan, og kamuflasjedeteksjonslaget retter seg spesifikt mot sider som endrer seg etter innsending. Når en destinasjon begynner å feile sjekker etter opprettelse, settes lenken automatisk på pause, eieren mottar e-post med det spesifikke resultatlaget, og hendelsen logges i revisjonsloggen.
Falske positiver og klager
Trusselinformasjon tar feil noen ganger. Et legitimt merke på et nylig utstedt sertifikat, en ekte promo der siden ble legitimt endret, et flyttet domene. Hver blokkering og hver automatisk pause inkluderer det spesifikke resultatlaget som utløste den, inndata som trigget det, og en ett-klikks klage som eskalerer til et menneske innen én virkedag. Vi feiler på siden av pause fremfor sletting; en satt-på-pause-lenke kan aktiveres igjen på sekunder når klagen er behandlet.
Enkeltregionlagring (Agency+ og Custom Enterprise)
For kun EU- eller kun APAC-kjøpere kan Agency-nivåkunder be om:
- D1 plassert i én enkelt jurisdiksjon (EU: EEUR eller WEUR; APAC: APAC). Cloudflare respekterer et
location-hint ved databaseopprettelse; vi starter opp et per-leietaker D1-shard i den forespurte regionen (ADR-0010). - R2-bøtte i samme jurisdiksjon, nattlige krypterte D1 → R2-sikkerhetskopier lander i den tilsvarende regionen.
- Zepto EU-region for transaksjonell e-post, konfigurert på tjenestenivå, ingen kodeendring.
- KV forblir global, kantreplikering er kjernen i <50ms-omdirigeringsgarantien. Hvis enkeltregion KV er et hardt krav, snakk med oss; vi kan vurdere om en kun-regional Worker-variant er gjennomførbar for kampanjen din.
Priser for enkeltregion-tillegget er fastpris (ingen per-sete-påslag) og avhenger av den spesifikke kombinasjonen. Send e-post til enterprise@abundera.ai med din mål-jurisdiksjon + forventet skannevolum, og vi gir tilbud.
Samsvarsposisjon
- GDPR, minimumsdata som design (kun land + enhetsklasse, ingen IP, ingen UA, ingen informasjonskapsler) pluss ett-klikks eksport og 30-dagers hard sletting. DPA + EU SCC-er tilgjengelig for alle betalte nivåer.
- CCPA, dekket av samme eksport + slette-overflate. «Salg av data» er ikke noe vi gjør: ingen tredjeparts deling, ingen annonsepartnere, ingen målretting.
- SSO + SCIM-klargjøring, SAML 2.0 + OIDC single sign-on og SCIM 2.0 bruker- og gruppelivssyklus (Agency + Custom Enterprise-nivåer). RFC 7643/7644-samsvar verifisert (20/20 på PingIdentity-derivert testsuite). Per-tilkobling funksjonflagg betyr at SCIM er av som standard og aktivert per kunde; hastighetsbegrenset til 50 RPS per token; revisjonsloggført. Okta/Entra/JumpCloud fungerer i dag som tilpassede SCIM-apper mens partnerkatalogsoppføringer er i gang.
- SOC 2 Type II, i omfangsplanlegging. 6-9 måneders prosess. Hvis dette er et hardt krav for deg, send e-post til enterprise@abundera.ai; vi kan dele gjeldende status + forventet tidslinje.
- PCI-DSS, utenfor omfang for oss direkte; betalinger håndteres ende-til-ende av Stripe (PCI Level 1-sertifisert).
Sikkerhetsinformasjon
Fant en sårbarhet? Send e-post til security@abundera.ai. Koordinert avsløring, vi bekrefter innen 24t (virkedager), triage innen 72t og koordinerer en fiks + avsløringsprosess med deg. Ingen bug bounty-program ennå; vi anerkjenner forskere offentlig på abundera.ai/security/thanks/ når en fiks er levert.