安全中心
Bombyx 如何保护您的数据并维护平台的完整性。
上次更新时间:2026 年 6 月 29 日
我们的安全承诺
在 Bombyx,安全并非事后考虑,而是我们一切工作的基石。我们代表客户处理敏感的物流数据、运营流程和业务关键信息,并对此高度重视。本安全中心概述了我们为保护您数据的机密性、完整性和可用性而实施的技术和组织措施。
加密
数据在传输和存储过程中均采用行业标准协议进行加密。
访问控制
平台全面实施基于角色的访问控制和多因素身份验证。
监控
全天候持续安全监控和异常检测。
事件响应
制定了快速识别、控制和回收的明确程序。
基础设施安全
Bombyx平台托管在企业级云基础设施上,并具有多层物理和逻辑安全控制措施:
- 拥有 SOC 2 Type II 和 ISO 27001 认证的数据中心云服务提供商;
- 地理冗余和自动故障转移,确保高可用性;
- 使用防火墙、入侵检测系统 (IDS) 和 Web 应用防火墙 (WAF) 进行网络分段;
- 定期进行基础设施漏洞扫描和渗透测试;
- 系统软件及其依赖项的自动补丁管理。
数据加密
我们采用强大的加密技术,在每个阶段保护您的数据安全:
- 传输中: 您浏览器或应用程序与我们的服务器之间传输的所有数据均使用 TLS 1.2 或更高版本进行加密。我们在所有端点强制执行 HTTPS。
- 静态数据:所有存储的数据均使用 AES-256 加密。数据库备份也经过加密。
- 支付数据: 卡片信息绝不会传输到 Bombyx 服务器或存储在其上。所有支付处理均由 Stripe 处理,Stripe 拥有 PCI DSS 1 级认证——这是支付卡行业的最高标准。
访问控制和身份验证
我们实施严格的访问控制,以最大程度地降低未经授权访问的风险:
- 基于角色的访问控制 (RBAC): 用户仅被授予其角色所需的最低访问权限(最小权限原则);
- 多重身份验证 (MFA):所有用户帐户均可使用并鼓励启用 MFA;
- 会话管理: 自动会话超时和安全会话令牌管理;
- 内部访问: Bombyx 员工仅通过启用多因素身份验证 (MFA) 的安全 VPN 访问生产系统。所有内部访问均会被记录和审计。
安全监控与检测
Bombyx 会持续监控我们的基础设施和平台:
- 使用安全信息和事件管理 (SIEM) 工具进行实时日志聚合和分析;
- 自动发出可疑活动警报,包括登录异常、异常数据访问和配置更改;
- 定期审查访问日志和审计跟踪;
- 第三方安全扫描和定期渗透测试。
事件响应
Bombyx 制定了正式的事件响应计划 (IRP),以高效处理安全事件:
- 检测: 自动和手动检测潜在的安全事件;
- 遏制措施:立即隔离受影响的系统,以防止扩散;
- 调查: 根本原因分析和取证审查;
- 恢复: 从具有完整性验证的安全备份中恢复系统;
- 通知: 如发生个人数据泄露,我们将按照适用法律的要求(根据 GDPR 规定,将在 72 小时内)通知受影响的用户和相关监管机构。
员工安全
我们的团队是我们安全态势的关键组成部分:
- 所有员工在入职前均需接受背景调查;
- 安全意识培训在入职时进行,之后每年进行一次;
- 能够接触敏感数据的员工须签署保密协议;
- 客户数据的访问权限严格限制在“需要知道”的原则下,并且所有操作都会被记录。
供应商和第三方安全
我们采用基于风险的第三方安全方法:
- 所有子处理商和关键供应商在合作前均会进行安全状况评估;
- 所有处理个人数据的供应商均需签署数据处理协议(DPA);
- 供应商对Bombyx系统的访问权限受到控制、监控和时间限制。
业务连续性和灾难恢复
我们制定了全面的计划,以确保服务的连续性:
- 每日自动备份,采用加密存储和异地复制;
- 恢复点目标 (RPO):灾难性事件中最多 24 小时的数据丢失;
- 恢复时间目标 (RTO):目标是在 4 小时内恢复;
- 灾难恢复流程会定期进行测试。
负责任的信息披露政策
Bombyx 欢迎安全研究人员和广大社区提交报告。如果您发现我们平台存在潜在漏洞,请负责任地进行报告:
- 请勿利用或试图利用您发现的漏洞;
- 请勿访问、修改或删除用户数据;
- 请将调查结果详细描述后发送至 support@bom-byx.com;
- 请给我们一段合理的时间进行调查和补救,然后再公开披露。
我们会在48小时内确认收到所有报告,并及时向您通报进展情况。我们不会对出于善意的安全研究人员采取法律行动。