Câu trả lời ngắn gọn, thành thật cho những câu hỏi nhóm bảo mật của bạn sẽ hỏi.

1. Phân tích ưu tiên quyền riêng tư

Theo ADR-0004, pipeline quét không bao giờ ghi địa chỉ IP hay User-Agent thô. Khi nhận, chúng tôi đọc CF-IPCountry (quốc gia) và chuyển UA qua regex loại thiết bị (mobile / tablet / desktop / unknown), sau đó loại bỏ chuỗi thô. Dữ liệu cấp thành phố là tổng hợp cuộn từ request.cf.city, không có hàng theo lượt quét, không có identifier có thể kết nối. Tổng hợp quốc gia dưới 5 lượt quét gộp vào "Other" để ngăn tái nhận dạng.

2. Bản sao lưu được mã hóa

Mỗi đêm lúc 03:00 UTC một Worker riêng biệt chụp ảnh D1 vào R2. Bản sao lưu được mã hóa AES-GCM với khóa dữ liệu xoay vòng KDF được bọc bởi BACKUP_ENCRYPTION_KEY. Mỗi bundle mang SHA-256 digest + manifest để phát hiện giả mạo (xem bảng backups). Lưu trữ: 7 năm cho tenant Pro. Khóa mã hóa được giữ trong ba bản sao độc lập (Worker secret, vault 1Password, đóng gói ngoại tuyến), mất cả ba sẽ làm bản sao lưu lịch sử không thể khôi phục, vì vậy chúng tôi coi nó là điểm sự thật vận hành duy nhất.

3. API Shield + CSP nghiêm ngặt

Đặc tả OpenAPI 3.1 công khai của chúng tôi được tải lên Cloudflare API Shield và mỗi yêu cầu đến /api/* được xác thực theo đó. Schema drift được loại bỏ bởi hook post_deploy tải lại đặc tả mỗi lần deploy sản xuất. Ở phía frontend, Content Security Policy nghiêm ngặt cấm script nội tuyến ở mọi nơi, mỗi trang tham chiếu JS qua <script src>, và make check trước khi deploy từ chối gửi trang vi phạm quy tắc.

4. Nhật ký kiểm tra + sổ cái GDPR

Mỗi thay đổi (tạo/patch/xóa mã, lời mời nhóm, phát hành khóa, thay đổi gói, chỉnh sửa webhook) ghi hàng chỉ thêm vào audit_log với người thực hiện, phạm vi và dấu thời gian, lưu trữ 180 ngày và sweeper cắt tỉa. Sổ cái yêu cầu GDPR (gdpr_requests) theo dõi mỗi lượt xuất / xóa / khôi phục; các hàng tồn tại sau khi xóa tài khoản (FK ON DELETE SET NULL, email được giữ lại) để chúng tôi có thể chứng minh thực hiện đúng hạn mọi yêu cầu theo luật định nhiều năm sau khi tài khoản biến mất.

5. Bảo vệ xác thực

Auth được ủy quyền cho lớp danh tính abundera.ai được chia sẻ (EdDSA JWT qua JWKS). Có sẵn cho khách hàng Pro:

• 2FA (TOTP), Mật khẩu một lần dựa trên thời gian RFC 6238, bất kỳ ứng dụng authenticator chuẩn nào, mã sao lưu được phát khi đăng ký.
• SAML 2.0 SSO, Okta, Entra ID, JumpCloud, Google Workspace, IdP tùy chỉnh. Có sẵn trên Team trở lên (đi kèm trên Agency/Enterprise).
• Cấp phát SCIM 2.0, Vòng đời người dùng + nhóm RFC 7643/7644, giới hạn tốc độ mỗi token, ghi nhật ký kiểm tra. Tắt theo mặc định; bật theo từng khách hàng.
• Khóa API, Business trở lên, lưu dưới dạng sha256(raw); giá trị abnd_qrpro_... thô chỉ được trả về khi tạo và không bao giờ nữa.

6. Sub-processor

Danh sách ngắn: Cloudflare (lưu trữ, D1, KV, R2, API Shield), Stripe (thanh toán), Zoho / ZeptoMail (email giao dịch), Twilio (xác minh điện thoại + SMS). Xem /trust/subprocessors/ để biết danh sách chuẩn với vùng, danh mục dữ liệu và cam kết thông báo thay đổi 30 ngày của chúng tôi.

7. Thỏa thuận xử lý dữ liệu

DPA phù hợp GDPR của chúng tôi (EU SCCs, phụ lục UK, phụ lục FADP Thụy Sĩ) có thể tải xuống tại abundera.ai/legal/dpa/. Áp dụng cho tất cả bậc trả phí tự động, không cần chữ ký đối ứng riêng trừ khi quy trình mua sắm của bạn cần (chúng tôi sẽ ký theo yêu cầu tại legal@abundera.ai).

8. SOC 2

SOC 2 Type II, đang tiến hành, mục tiêu Q3 2026. Chúng tôi đang lên kế hoạch phạm vi / cửa sổ quan sát với công ty kiểm toán liền kề Big-4. Cho đến khi báo cáo được phát hành, chúng tôi sẽ không hiển thị huy hiệu SOC 2. Nếu hoàn thành SOC 2 là yêu cầu mua sắm cứng với bạn hôm nay, email enterprise@abundera.ai, chúng tôi có thể chia sẻ bằng chứng kiểm soát hiện tại, mô tả hệ thống nháp và ngày chứng thực dự kiến trên NDA.

9. Không có pixel bên thứ ba, bao giờ hết

Đây là cam kết mang tải và ranh giới sản phẩm, không phải mặc định chúng tôi có thể thay đổi âm thầm. Chúng tôi không nhúng Google Analytics, Google Tag Manager, Meta Pixel, TikTok Pixel, LinkedIn Insight, Hotjar, FullStory hay bất kỳ trình theo dõi bên thứ ba nào, không vào phản hồi chuyển hướng, không vào trang đích được lưu trữ, không vào bề mặt dashboard mà người quét nhìn thấy. Người quét của bạn không bao giờ bị theo dõi lại. Nếu bạn cần phân bổ dựa trên pixel trên đích đến của mình, hãy thêm các tham số UTM (hoặc pixel) của bạn vào URL đích; chúng tôi không tham gia. Bản thân chuyển hướng là 302 từ worker của chúng tôi đến URL của bạn, không có gì khác chạy.

10. Công bố có trách nhiệm

Tìm thấy gì đó? Bắt đầu tại /.well-known/security.txt để biết thông tin liên lạc hiện tại, khóa PGP và phạm vi. Email security@abundera.ai, chúng tôi xác nhận trong 24 giờ (ngày làm việc), phân loại trong 72 giờ và phối hợp sửa + công bố với bạn. Nhà nghiên cứu báo cáo với thiện chí nhận được ghi nhận công khai tại abundera.ai/security/thanks/ sau khi bản sửa được ra mắt.

11. Trạng thái + uptime

Trạng thái trực tiếp, sức khỏe thành phần và lịch sử sự cố có tại /status/. Đường nóng chuyển hướng được giám sát mỗi 5 phút bởi Worker bên ngoài; các thành phần bị suy giảm hoặc ngừng hoạt động được phản ánh trên trang trạng thái trong một chu kỳ thăm dò.