安全与数据驻留

发码端的反二维码钓鱼。存储端的数据驻留。

每条 Pro 链接在创建时、每次目标变更时、以及滚动排期中均经过七层反二维码钓鱼管道检查。扫描日志仅含国家 + 设备类型,数据库中无 IP、无用户代理、无 Cookie、无行为画像可泄漏。Agency 和定制 Enterprise 可选单一区域 D1。

我们收集的数据

最终存储在我们服务器上的每个字节都属于以下四类之一:

账户数据

邮箱、套餐层级、套餐状态、Stripe 客户 + 订阅 ID、可选的团队名称 + 工作区标签。仅此而已。无手机号、无地址(账单地址保留在 Stripe),无行为画像。

码数据

目标 URL、7 位 Base58 短码、你设置的标签 + 标记、可选的 QR 设计(颜色/Logo/边框)、可选的密码门控、可选的排期。归你所有;可随时导出为 CSV。

扫描数据

UTC 天桶 + 国家(来自 CF-IPCountry)+ 设备类型(mobile / tablet / desktop / unknown)。原始 User-Agent 在分类后立即丢弃。IP 从不进入数据库。通过 ctx.waitUntil 在重定向热路径上缓存到 KV,聚合到 D1。少于 5 次扫描的国家聚合归入「其他」以防止重新识别。

审计/账单元数据

修改操作的追加式日志(谁在何时在何范围内做了什么), , 保留 180 天。Stripe Webhook 事件去重以保证幂等性, , 不含 Stripe 客户 ID 以外的客户个人信息。GDPR 请求日志(导出/删除/恢复), , 在账户删除后保留,以便证明我们及时处理了每个法定请求。

完整架构见我们 源代码仓库 中的 docs/SCHEMA.md;每列均附有保留策略说明。

数据存储在哪里

层面提供商区域单一区域选项?
控制台 + APICloudflare Pages Functions全球边缘(最近 PoP)是, , 仅 Agency+
码记录(D1)Cloudflare D1(SQLite)预配置时分配主区域(当前:ENAM)是, , Agency+ 每租户分片
重定向热路径(KV)Cloudflare Workers KV全球边缘复制,p99 <50ms不可用(复制即产品价值)
加密备份Cloudflare R2创建时分配主区域是, , 可申请 EU / APAC 管辖桶
支付Stripe美国, , 通过 Stripe 自身驻留方案处理区域个人信息通过 Stripe 合同
事务性邮件ZeptoMail(Zoho)印度(可申请 Zoho EU 区域)是, , Zoho EU 区域

具体什么数据会跨境

  • 扫描数据不会以有损方式跨境。来自里斯本的扫描访问里斯本的 Cloudflare PoP,Worker 在边缘将天/国家/设备写入 KV,异步聚合到 D1 的主区域。原始扫描者 IP 在 HTTP 请求期间存在于 Cloudflare 的临时请求状态中,从不持久化到我们的数据库。
  • 控制台请求在最近的 Cloudflare PoP 终止,并通过 Cloudflare 私有网络调用 D1。我们的 Pages Functions 在 D1 的分配区域读写;边缘 PoP 从全球静态资产缓存提供 HTML + JS 包。
  • Stripe Webhook 跨境一次, , Stripe(美国)POST 到我们的 Cloudflare Pages 端点,验证 HMAC,写入最小(event_id, type)行用于幂等性,并分发下游事件。
  • 事务性邮件(Zepto)每次发送跨境一次, , 我们的 Worker 将渲染好的模板提交给 Zepto API;Zepto 送达收件人邮件服务器。内容为邀请链接、账单生命周期通知和扫描上限告警, , 不含客户扫描数据。

反二维码钓鱼管道

2026 年第一季度二维码钓鱼攻击上升 146%。普通短链服务商在收到用户投诉后才做反应。我们在创建时、每次目标变更时、以及滚动排期中检查每条链接,因为客户可以在自己的服务器上重新指向目标 URL,而无需调用我们的 API。驱动我们公共扫描器 check.qr.abundera.ai 的同一套威胁情报管道,对我们发出的每条链接同样运行。

七个检测层,每层均有待授权的美国专利申请。每层输出结果汇入统一判决;任意一层命中都可以阻止创建、拒绝目标变更或暂停已上线的链接。

层级检测内容运行时机
重定向链可变性从我们的短链到最终页面之间,有多少独立方控制路径。通过他人重定向器的两跳链与直达目标的风险等级不同。创建、目标变更、滚动复检
多模态载荷分析WiFi、联系人、电话、邮件、日历、地理位置、加密货币、Android Intent 和内联数据载荷各有类型专属分析器。硬封锁协议在提交时即拒绝。创建、目标变更
爬虫与浏览器伪装向扫描器展示干净内容、向真实用户展示钓鱼内容的页面。通过受控指纹差异的并行抓取和差异分数检测。创建、滚动复检
目标服务器可变性新注册域名、全新证书、高流失率顶级域、缺失 HSTS 以及传输协议降级。独立于重定向链;即使是单跳直达的六天旧证书加上可疑顶级域,同样会被标记。创建、目标变更、滚动复检
物理实例溯源以解码载荷为键的众包哈希账本。同一个 QR 在短时间内跨多个分散区域被大量扫描,即被标记为贴纸攻击候选。我们发出的每条链接在创建时写入干净溯源条目,因此针对合法 Pro 码的覆盖攻击会被捕获。持续
品牌视觉偏离若码内嵌品牌 Logo,但该品牌的规范域名集不包含解码目标,则该码存在品牌偏离。适用于所有使用中心 Logo 功能的 Pro 码;攻击者无法发出指向非 Chase 域名的 Chase 标志码。创建、Logo 变更、目标变更
传感器/场地拓扑对于绑定场地的码(停车计时器、酒店入住、餐厅菜单、博物馆展品),扫描设备的环境 RF 上下文与该场地的注册拓扑进行比对。即使是伪造贴纸的第一次扫描,拓扑不匹配也会返回传感器上下文异常。Enterprise 套餐;场地运营商在码创建时注册预期拓扑。每次扫描

客户侧变更问题

Pro 链接的目标 URL 存在于客户的服务器上,而非我们这里。客户可以将 example.com/promo 从真实促销页重新指向钓鱼页,而无需调用 Abundera API。我们将此视为主要滥用路径,而非边缘情况。针对活跃目标的滚动复检按排期运行,我们的伪装检测层专门针对提交后翻转的页面。当某个目标在创建后开始检查失败,链接会被自动暂停,所有者会收到含具体判决的邮件通知,事件写入审计记录。

误报与申诉

威胁情报有时会出错。合法品牌使用新签发的证书、真实促销页面内容发生合理变更、域名迁移。每次拦截和每次自动暂停都包含触发的具体判决层、触发它的输入内容,以及一键申诉入口,将在一个工作日内升级至人工处理。我们倾向于暂停而非删除;申诉通过后,暂停链接可在数秒内恢复。

单一区域驻留(Agency+ 和定制 Enterprise)

对于仅限 EU 或仅限 APAC 的买家,Agency 套餐客户可申请:

  • D1 放置在单一管辖区(EU:EEUR 或 WEUR;APAC:APAC)。Cloudflare 在数据库创建时接受 location 提示;我们在请求的区域为每个租户创建独立的 D1 分片(ADR-0010)。
  • 同一管辖区的 R2 桶, , 每晚加密的 D1 → R2 备份落在匹配的区域。
  • 事务性邮件使用 Zoho EU 区域, , 在服务级别配置,无需代码变更。
  • KV 保持全球, , 边缘复制是 <50ms 重定向保证的核心。如果单一区域 KV 是硬性要求,请联系我们;我们可以评估区域限定 Worker 变体对你的活动是否可行。

单一区域附加服务的定价按固定费率计算(无每席位加价),取决于具体组合。请发邮件至 enterprise@abundera.ai,注明目标管辖区 + 预计扫描量,我们会报价。

合规态势

  • GDPR, , 最小数据设计(仅国家 + 设备类型,无 IP、无 UA、无 Cookie),加上一键导出和 30 天彻底删除。所有付费套餐均可获得 DPA + EU SCC。
  • CCPA, , 由相同的导出 + 删除功能覆盖。「数据销售」不是我们做的事:无第三方共享、无广告合作伙伴、无再营销。
  • SSO + SCIM 供应, , SAML 2.0 + OIDC 单点登录和 SCIM 2.0 用户 & 群组生命周期(Agency + 定制 Enterprise 套餐)。已验证 RFC 7643/7644 合规性(在 PingIdentity 衍生测试套件上获得满分 20/20)。每连接功能标志意味着 SCIM 默认关闭,按客户启用;每 token 限速 50 RPS;写入审计日志。Okta/Entra/JumpCloud 今天即可作为自定义 SCIM 应用连接,合作伙伴目录上架正在推进中。
  • SOC 2 Type II, , 范围确定中。6-9 个月流程。如果这是你的硬性要求,请发邮件至 enterprise@abundera.ai;我们可以分享当前状态 + 预计时间线。
  • PCI-DSS, , 不在我们直接范围内;支付由 Stripe 端对端处理(PCI Level 1 认证)。

安全披露

发现漏洞?发邮件至 security@abundera.ai。协调披露, , 我们会在 24 小时内(工作日)确认,72 小时内分类,并与你协调修复 + 披露时间线。目前暂无漏洞奖励计划;修复发布后,我们会在 abundera.ai/security/thanks/ 公开感谢善意披露的研究人员。