安全架构
查询不会从错的门走出去。
多租户隔离不是运行时检查 —— 而是每条查询都附带的行级过滤,由内核守门人拦截任何跨租户的批操作。下面是客户数据如何待在自己车道里的实时形态。
API · oRPC 内核
org=B → A✕
租户守卫organizationId = ?
每次查询先绑定组织边界。
租户 A
org=A
org=A
org=A
org=A
Acme Manufacturing
82 行 · 14 单
租户 B
org=B
org=B
org=B
org=B
Bright Web Studio
47 行 · 9 单
租户 C
org=C
org=C
org=C
org=C
Cedar Trading Co.
126 行 · 22 单
12,312今日查询0 跨租户
审计日志
财务日志不能被静默改写。
对财务单据的任何 create/submit/cancel/edit 都会写一条哈希链 + 只增不改的日志。任何篡改都会暴露。
- Schema 层只增不改
- AuditLog 在生产角色下没有 UPDATE/DELETE 权限 —— 即使管理员也无法悄悄改写一条记录。
- 哈希链锁定
- 每条记录的哈希都包含上一条的哈希,任何细微篡改都会让其后所有记录的链都失效。
- 一键导出
- 审计员要的全部明细可以按时间段、按单据类型导出为 CSV 或 JSON。
AuditLog · 今日单据变更
LIVE
- #8d3f2c1e14:32:01 UTC· ip 10.0.4.72
- #5b91a40714:31:47 UTC· ip 10.0.4.18
- #f0c2b8e914:31:22 UTC· ip 10.0.4.72
- #7a14d6c214:30:58 UTC· ip 10.0.4.41
- #3e90b1a814:30:11 UTC· ip 10.0.4.18
Schema 约束:AuditLog 在生产角色下无 UPDATE / DELETE 权限
合规清单
已落地的是哪些,尚未完成的是哪些。
我们宁愿具体也不愿含糊。下表用直白语言列出每一项管控;凡是没有勾的,我们都没有权利对外声称。
管控项
状态
说明
租户数据隔离
已落地
每一笔查询都强制 organizationId 行级过滤;内核守卫会拒绝跨租户的批量写入。
传输加密
已落地
所有客户端通信采用 TLS 1.2+;认证 Cookie 仅通过 HTTPS 传输。
静态加密
已落地
主数据库卷加密(云厂商托管密钥);对象存储上传服务端加密。
不可篡改审计日志
已落地
财务单据的每次 create / submit / cancel / delete 都带操作人与前后 diff;管理员亦无权修改日志行。
基于角色的访问控制
已落地
组织级角色(owner / admin / member)+ ERP 模块级角色;邀请在单一组织范围内生效。
关账期过账护栏
已落地
FiscalPeriodSignoff 冻结期末及之前的总账过账;数据库约束强制执行,UI 层无法绕过。
数据库备份
已落地
每日自动备份,30 天保留;恢复流程已形成文档并定期演练。
数据泄露通知流程
已落地
按 DPA 在 72 小时内通知控制方;事故响应手册归工程负责人维护。
SOC 2 Type II
进行中
与第三方审计机构的观察期已启动,获得认证报告后应要求可下发。
ISO 27001
暂未规划
本财年暂未列入路线图;将在 SOC 2 完成后一并评估。
HIPAA
暂未规划
本服务不面向受保护医疗信息(PHI)设计,不签署 BAA。
第三方渗透测试
进行中
首次外部委托正在定义范围;成果摘要将在 NDA 下共享。
凡是不能按要求提交证据的状态,我们不会对外公开。需要详细材料请联系我们。
法律文档
贵方法务会要求的所有文件。
六份正式文档均已发布且有版本号。用户注册时我们会记录其接受的具体版本与内容 SHA-256 哈希,所以「当时同意的是哪一版」永远可证。
安全联系人。 供应商风险问卷、SOC 2 证据索取、负责任披露(responsible disclosure)一律发送至 [email protected]。两个工作日内回复。