你上传的新品资料
比任何东西都重要
我们把"数据机密性"做成了产品的第一原则。因为你交给我们的——上架前的图,开模前的设计、投广告前的素材—— 是你还没公开的商业资产。我们对它们的保护,决定了你敢不敢用我们。
第三方给我们的安全背书——证明你的资料不是"我们说安全就安全"
大客户可选API接口,数据不出企业 欧盟数据保护 GDPR 符合中国《个人信息保护法》
我们如何保护你的数据
数据机密性
从传输、存储到使用全链路加密
- ✓传输加密全站强制 HTTPS / TLS 1.3,HSTS 头部,禁止 HTTP 回退
- ✓存储加密用户密钥 AES-256 静态加密,密钥与数据分离托管
- ✓密钥管理密钥定期轮换,权限最小化
- ✓账号隔离数据严格按账号隔离,服务端强制鉴权,禁止跨账号访问
不用于模型训练
你的资料只服务你这次查询
- ✓训练边界用户上传的图片、文案、设计稿永不进入模型训练集
- ✓第三方限制不会将你的资料共享、出售或转移给任何第三方
- ✓用途透明仅用于本次查询的风险判断,用途清单可在隐私政策中查看
- ✓外部 AI 调用需调用外部 AI 服务时,仅传脱敏特征,原始资料不出招财鸟
用户控制权
数据是你的,删除权也是你的
- ✓一键删除用户可随时删除上传资料和历史报告
- ✓导出权企业版本可见导出全部报告数据,符合 GDPR 第 20 条数据可携权
- ✓注销权注销账号即触发账号下全部数据彻底删除
企业级隔离
大客户可选API接口,数据不出企业
- ✓专有云部署企业定制版可选独立云环境,物理资源完全隔离
- ✓角色权限企业版具有多角色权限隔离(管理员/普通成员/只读),操作全程审计
从你上传到删除的每一步
每一个环节都有明确的安全约束。
1
上传
HTTPS 加密传输,文件类型 MIME+魔数双重校验
2
存储
账号级隔离存储
3
计算
仅用于本次查询,全过程审计留痕
4
报告
仅本人可见
5
删除
用户主动删除 / 到期自动清除,密钥销毁
想拿到你的资料?要先过这些关
应用层防御
主动防御常见 Web 攻击
- ✓OWASP Top 10全面防御 SQL 注入、XSS、CSRF、SSRF、文件上传漏洞、越权访问
- ✓CSP 策略严格内容安全策略,禁止内联脚本和不可信来源
- ✓WAF 应用防火墙云端 WAF + 自定义规则,实时拦截恶意请求
- ✓依赖扫描前后端依赖库每日 CVE 扫描,高危漏洞 24h 内修复
账号与认证
多层认证保障账号安全
- ✓密码哈希使用 argon2id 单向哈希,密码永不明文存储
- ✓登录爆破防护失败次数限制 + 滑块验证 + IP 风控
- ✓多因素认证企业版强制开启 MFA,支持短信 / TOTP / 邮箱
- ✓异地登录提醒异常登录实时通知账号绑定的邮箱和手机
基础设施
云级容灾与监控
- ✓DDoS 防护云厂商高防 IP + CDN,自动清洗大流量攻击
- ✓多地容灾关键数据多副本 + 跨可用区备份,RPO < 5 分钟
- ✓实时监控异常登录、异常查询、异常下载触发自动告警
- ✓恢复演练每季度演练数据恢复,确保备份真实可用
内部管控
员工访问也要留痕
- ✓最小权限员工权限按岗位最小化授予,定期复核
- ✓审批留痕员工查看用户数据需走二级审批 + 全程留痕
- ✓背景调查关键岗位入职背景调查 + 保密协议
- ✓定期培训全员每半年安全培训,钓鱼演练全员覆盖
我们的服务承诺
招财鸟不是律师事务所,不替你担保——这是为了让你的决策更稳,而不是更轻率。
不替代律师
具体法律行动需结合专业律师意见,招财鸟不提供执业法律服务
决策参考
报告用于风险识别和商业决策参考,不构成法律结论
禁用承诺型表述
我们不承诺"百分之百准确""绝对安全""保证不侵权"
AI 生成标识
AI 生成的内容明确标注,遵循生成式 AI 服务管理办法
数据出境
跨境业务符合《数据出境安全评估办法》要求
知识产权来源
判例库与权利数据来源合法,授权完整可追溯
发现安全漏洞?
请告诉我们
我们感谢所有帮助招财鸟变得更安全的研究员。 请通过下方安全邮箱报告漏洞,我们承诺 48 小时内响应, 并在修复后向负责任披露者公开致谢。
请勿公开披露未修复的漏洞。请勿尝试访问、删除或破坏其他用户的数据。
安全联系方式
安全邮箱security@zhaocainiao.com
响应时限48 小时内