安全政策

最后更新:2024年12月1日

在Apilium Corp OU,安全是我们构建的一切的基础。作为开发者,我们理解保护您的代码和数据的关键重要性。本安全政策概述了我们保护Apilium Forge IDE和所有相关服务的综合方法。

1. 我们的安全承诺

我们承诺:

  • 保护您代码和数据的机密性、完整性和可用性
  • 在未经明确同意的情况下,绝不使用您的代码来训练AI模型
  • 实施行业领先的安全控制和最佳实践
  • 通过本政策对我们的安全实践保持透明
  • 持续监控、测试和改进我们的安全态势
  • 对安全事件做出迅速和透明的响应

认证和评估

我们维护以下安全认证并定期接受评估:

  • SOC 2 Type II认证(进行中)
  • 年度第三方渗透测试
  • 持续漏洞扫描
  • 独立公司的定期安全审计

详细的安全报告可在apilium.com/security获取

2. 基础设施安全

代码数据流

当您使用Apilium Forge IDE时,您的代码通过我们的安全基础设施流动:

  • 您的代码在传输过程中使用TLS 1.3加密
  • 请求通过我们托管在AWS上的后端服务器处理
  • AI处理由我们的模型提供商执行,具有零保留协议
  • 启用隐私模式后,请求完成后不会存储明文代码

基础设施合作伙伴

主要基础设施

  • AWS(Amazon Web Services)- 主要云基础设施(美国和欧盟地区)
  • Cloudflare - DDoS保护、WAF和CDN服务
  • Google Cloud Platform - 二级/备份基础设施

AI模型提供商

我们与领先的AI提供商合作,所有提供商都为隐私模式用户提供零数据保留协议:

  • Anthropic(Claude模型)
  • OpenAI(GPT模型)
  • 在安全基础设施上的定制微调模型

3. 技术安全措施

加密

传输中的数据:在Apilium Forge和我们服务器之间传输的所有数据都使用TLS 1.3和强密码套件加密

静态数据:所有存储的数据都使用AES-256-GCM加密

加密密钥使用AWS KMS管理,每90天自动轮换

对于企业客户,我们提供端到端加密,只有您拥有解密密钥

访问控制

  • 所有员工账户都需要多因素身份验证(MFA)
  • 用于特权访问的硬件安全密钥(FIDO2/WebAuthn)
  • 基于角色的访问控制(RBAC),遵循最小权限原则
  • 生产系统的即时访问配置
  • 季度访问审查和离职时立即停用
  • 管理访问的IP白名单和VPN要求

网络安全

  • 具有自定义规则集的Web应用程序防火墙(WAF)
  • 企业级DDoS缓解(Cloudflare Magic Transit)
  • 网络分段,为敏感服务提供私有子网
  • 入侵检测/防御系统(IDS/IPS)
  • 持续的网络流量监控和异常检测
  • 定期的外部和内部渗透测试

应用程序安全

  • 具有安全门的安全软件开发生命周期(SSDLC)
  • 强制性代码审查,采用以安全为重点的检查清单
  • CI/CD管道中的静态应用程序安全测试(SAST)
  • 已部署应用程序的动态应用程序安全测试(DAST)
  • 用于依赖漏洞的软件组成分析(SCA)
  • 所有开发人员的定期安全培训
  • 防止OWASP Top 10和SANS Top 25漏洞

客户端(IDE)安全

Apilium Forge IDE在设计时就考虑了安全性:

  • 所有平台(Windows、macOS、Linux)的代码签名二进制文件
  • 具有回滚功能的自动安全更新
  • 沙盒扩展执行环境
  • 缓存数据和凭据的本地加密
  • 可配置的网络访问与白名单域
  • 支持.apiliumignore以排除敏感文件的AI处理

4. 组织安全

员工安全培训

所有Apilium员工都接受全面的安全培训:

  • 入职时的安全意识培训
  • 季度安全培训更新和评估
  • 每月网络钓鱼模拟演习
  • 工程师的角色特定安全培训
  • 年度事件响应桌面演习

安全政策

我们维护和执行全面的安全政策:

  • 信息安全政策和标准
  • 可接受使用和访问控制政策
  • 事件响应和通信计划
  • 业务连续性和灾难恢复计划
  • 供应商安全评估要求
  • 数据分类和处理政策
  • 变更管理和发布程序

员工审查

所有有权访问客户数据的员工都会根据其角色和职责接受背景调查,并签署保密协议。

5. 隐私模式安全保证

在Apilium Forge中启用隐私模式(默认启用)时,我们提供以下安全保证:

  • 所有AI模型提供商的零数据保留
  • 我们的服务器上不会存储明文代码超过即时请求处理
  • 您的代码永远不会用于训练AI模型
  • 所有AI请求都包含强制执行的隐私标头(x-privacy-mode)
  • 缺少标头时,请求默认使用保护隐私的行为
  • 代码库索引仅存储混淆的嵌入,而不存储明文代码

企业隐私选项

  • 本地部署以实现完全数据主权
  • 专用基础设施,与其他客户隔离
  • 自定义数据驻留要求(仅限欧盟、特定地区)
  • 自带密钥(BYOK)加密
  • 私有网络连接(AWS PrivateLink、VPN)

6. 数据保护

数据分类

我们根据敏感级别对所有数据进行分类:

  • 公开:营销材料、公共文档
  • 内部:内部流程、非敏感业务数据
  • 机密:客户账户数据、支持通信
  • 受限:客户代码、凭据、安全配置

备份和恢复

我们维护强大的备份和灾难恢复能力:

  • 加密的、地理分散的备份
  • 数据库的时间点恢复(最多35天)
  • 恢复时间目标(RTO):4小时
  • 恢复点目标(RPO):1小时
  • 季度灾难恢复测试
  • 多区域故障转移能力

7. 安全事件响应

事件响应流程

我们遵循结构化的事件响应流程:

  • 检测:全天候自动监控和警报
  • 分类:安全团队在15分钟内评估
  • 遏制:立即隔离受影响的系统
  • 调查:根本原因分析和影响评估
  • 根除:消除威胁并加固系统
  • 恢复:受控的服务恢复
  • 事后分析:吸取教训和流程改进

安全漏洞通知

如果发生影响您数据的安全漏洞,我们承诺:

  • 在确认漏洞后72小时内通知受影响的用户
  • 明确说明哪些数据受到影响
  • 解释我们为纠正事件采取的步骤
  • 指导您可以采取的保护自己的步骤
  • 根据法律要求通知相关监管机构
  • 定期更新,直到事件得到解决

8. 漏洞披露计划

我们维护负责任的披露计划并欢迎安全研究。

范围内

  • Apilium Forge IDE(所有平台)
  • api.apilium.com和所有子域
  • portal.apilium.com(客户门户)
  • apilium.com(网站)

如何报告

如果您发现安全漏洞:

  • 发送电子邮件至[email protected],提供详细的漏洞信息
  • 提供重现步骤、潜在影响和概念验证
  • 对于敏感报告,使用我们的PGP密钥(可在我们的安全页面获取)
  • 在公开披露之前给我们最多90天的时间进行修复

我们的承诺

我们对安全研究人员的承诺:

  • 24小时内确认收到
  • 5个工作日内进行初步评估
  • 告知修复进度
  • 在我们的安全致谢中给予认可(如果不要求匿名)
  • 对善意的安全研究不采取法律行动

我们为符合条件的漏洞提供奖励。请联系我们获取当前计划详情。

9. 第三方安全

供应商安全要求

所有有权访问客户数据的供应商都必须满足我们的安全要求:

  • 完整的安全问卷和风险评估
  • SOC 2 Type II或同等认证
  • 具有符合GDPR的条款的数据处理协议(DPA)
  • 年度安全审查和重新认证
  • 漏洞的立即通知要求

子处理器

当前有权访问客户数据的子处理器:

  • AWS(基础设施)- 美国/欧盟
  • Anthropic、OpenAI(AI模型)- 美国,零保留
  • Stripe(支付处理)- 美国/欧盟
  • Cloudflare(CDN/安全)- 全球
  • MongoDB Atlas(数据库)- 欧盟
  • SendGrid(电子邮件)- 美国

我们会在添加新的子处理器之前提前30天通知客户。当前列表可在apilium.com/compliance获取

10. 物理安全

我们的基础设施托管在具有全面物理安全的企业级数据中心:

  • 全天候保安人员和视频监控
  • 多因素物理访问控制(生物识别+门禁卡)
  • 人员陷阱入口系统和访客陪同要求
  • 环境控制(消防、气候控制、UPS、发电机)
  • SOC 2 Type II认证设施
  • 定期物理安全审计

11. 政策更新

我们每季度审查本安全政策,并更新以反映我们的安全实践、技术和法规的变化。重大变更将通过电子邮件传达给所有用户。

12. 联系信息

对于与安全相关的问题或报告安全问题:

Company: Apilium Corp OU

Address: 爱沙尼亚,塔林

安全团队:[email protected]

PGP密钥:可在apilium.com/security获取

信任中心:apilium.com/security

一般查询:[email protected]