Header Portal

安全中心

Bombyx 如何保护您的数据并维护平台的完整性。

上次更新时间:2026 年 6 月 29 日

我们的安全承诺

在 Bombyx,安全并非事后考虑,而是我们一切工作的基石。我们代表客户处理敏感的物流数据、运营流程和业务关键信息,并对此高度重视。本安全中心概述了我们为保护您数据的机密性、完整性和可用性而实施的技术和组织措施。

 

加密

数据在传输和存储过程中均采用行业标准协议进行加密。

访问控制

平台全面实施基于角色的访问控制和多因素身份验证。

监控

全天候持续安全监控和异常检测。

事件响应

制定了快速识别、控制和回收的明确程序。

基础设施安全

Bombyx平台托管在企业级云基础设施上,并具有多层物理和逻辑安全控制措施:

  • 拥有 SOC 2 Type II 和 ISO 27001 认证的数据中心云服务提供商;
  • 地理冗余和自动故障转移,确保高可用性;
  • 使用防火墙、入侵检测系统 (IDS) 和 Web 应用防火墙 (WAF) 进行网络分段;
  • 定期进行基础设施漏洞扫描和渗透测试;
  • 系统软件及其依赖项的自动补丁管理。

数据加密

我们采用强大的加密技术,在每个阶段保护您的数据安全:

  • 传输中: 您浏览器或应用程序与我们的服务器之间传输的所有数据均使用 TLS 1.2 或更高版本进行加密。我们在所有端点强制执行 HTTPS。
  • 静态数据:所有存储的数据均使用 AES-256 加密。数据库备份也经过加密。
  • 支付数据: 卡片信息绝不会传输到 Bombyx 服务器或存储在其上。所有支付处理均由 Stripe 处理,Stripe 拥有 PCI DSS 1 级认证——这是支付卡行业的最高标准。

访问控制和身份验证

我们实施严格的访问控制,以最大程度地降低未经授权访问的风险:

  • 基于角色的访问控制 (RBAC): 用户仅被授予其角色所需的最低访问权限(最小权限原则);
  • 多重身份验证 (MFA):所有用户帐户均可使用并鼓励启用 MFA;
  • 会话管理: 自动会话超时和安全会话令牌管理;
  • 内部访问: Bombyx 员工仅通过启用多因素身份验证 (MFA) 的安全 VPN 访问生产系统。所有内部访问均会被记录和审计。

安全监控与检测

Bombyx 会持续监控我们的基础设施和平台:

  • 使用安全信息和事件管理 (SIEM) 工具进行实时日志聚合和分析;
  • 自动发出可疑活动警报,包括登录异常、异常数据访问和配置更改;
  • 定期审查访问日志和审计跟踪;
  • 第三方安全扫描和定期渗透测试。

事件响应

Bombyx 制定了正式的事件响应计划 (IRP),以高效处理安全事件:

  • 检测: 自动和手动检测潜在的安全事件;
  • 遏制措施:立即隔离受影响的系统,以防止扩散;
  • 调查: 根本原因分析和取证审查;
  • 恢复: 从具有完整性验证的安全备份中恢复系统;
  • 通知: 如发生个人数据泄露,我们将按照适用法律的要求(根据 GDPR 规定,将在 72 小时内)通知受影响的用户和相关监管机构。

员工安全

我们的团队是我们安全态势的关键组成部分:

  • 所有员工在入职前均需接受背景调查;
  • 安全意识培训在入职时进行,之后每年进行一次;
  • 能够接触敏感数据的员工须签署保密协议;
  • 客户数据的访问权限严格限制在“需要知道”的原则下,并且所有操作都会被记录。

供应商和第三方安全

我们采用基于风险的第三方安全方法:

  • 所有子处理商和关键供应商在合作前均会进行安全状况评估;
  • 所有处理个人数据的供应商均需签署数据处理协议(DPA);
  • 供应商对Bombyx系统的访问权限受到控制、监控和时间限制。

业务连续性和灾难恢复

我们制定了全面的计划,以确保服务的连续性:

  • 每日自动备份,采用加密存储和异地复制;
  • 恢复点目标 (RPO):灾难性事件中最多 24 小时的数据丢失;
  • 恢复时间目标 (RTO):目标是在 4 小时内恢复;
  • 灾难恢复流程会定期进行测试。

负责任的信息披露政策

Bombyx 欢迎安全研究人员和广大社区提交报告。如果您发现我们平台存在潜在漏洞,请负责任地进行报告:

  • 请勿利用或试图利用您发现的漏洞;
  • 请勿访问、修改或删除用户数据;
  • 请将调查结果详细描述后发送至 support@bom-byx.com
  • 请给我们一段合理的时间进行调查和补救,然后再公开披露。

我们会在48小时内确认收到所有报告,并及时向您通报进展情况。我们不会对出于善意的安全研究人员采取法律行动。