传输(in transit)
全站 TLS 1.3 · HSTS preload · HTTPS-only · HTTP 自动 301 升级 · 内部服务间通信走 mTLS · API 端口禁明文。
Security & Compliance · 安全与合规白皮书
南瓜 GEO · 安全 & 合规
南瓜 GEO 把 B2B SaaS 大客户级别的安全实践 · 落地到每一行代码
数据保护 / 访问控制 / 审计 / GDPR / LLM 数据处理 · 11 章 · B2B 大客户尽调一站式回答
v2.0更新日期:下次复盘:每季度
HTTPS-only
TLS 1.3 全栈 · HSTS preload
SOC 2 ready
底层 Vercel/Neon 已认证 · 自审 2026 Q4
GDPR 兼容
出境 / 删除 / 导出全支持
数据加密
AES-256 at rest · TLS 1.3 in transit
Chapter 02 · Data Protection
数据保护
传输 / 存储 / 备份 / 跨境 / 租户隔离 / 销毁 · 六层防御 · 每层都有可核验的实现细节。
存储(at rest)
Neon Postgres encryption at rest(AES-256,AWS KMS 托管密钥)· 客户敏感字段(OAuth refresh token、API key 散列)双重加密 · Vercel env 中的 secret 走 envelope encryption。
备份(backup)
每日自动 snapshot 备份 · 标准档 7 天 retention · Pro 档 30 天 · Enterprise 档 90 天 + 跨可用区冗余 · 季度恢复演练。
跨境(cross-border)
中文 AI(DeepSeek/Kimi/智谱/通义/豆包)数据全程在国内可用区 · 海外 AI(ChatGPT/Claude/Gemini)跨境时按 GDPR Article 49(明确同意/合同必要性)处理 · 不向第三国传输任何客户 PII。
租户隔离(tenancy)
每客户独立 Postgres schema · row-level security(RLS)强制启用 · 应用层每次查询附 organization_id 过滤 · 物理隔离选项见第 10 章「自我托管」。
销毁(destruction)
合同终止 30 天内硬删除主表 · 备份滚动覆盖(最长 90 天)· 提供书面《数据销毁证明》· 软删期间客户可随时一键撤销。
Chapter 03 · Access Control
访问控制
用户身份 / MFA / API key / 角色权限 / Session / SSO · 多层防御 · 最小权限原则。
用户身份验证
支持 magic link(邮件一次性链接)/ SMS OTP(阿里云国内 + Twilio 国际)/ 9 大 OAuth 提供商(Google/GitHub/Microsoft/飞书/钉钉/企微/QQ/微博/Apple)· 默认无密码登录降低撞库风险。
多因素认证(MFA)
TOTP(Google Authenticator / 1Password / 微软 Authenticator)+ WebAuthn 硬件密钥支持 · 即将上线(Roadmap 2026 Q3)· Enterprise 套餐可强制全员开启。
API key 管理
格式 nangua_<24 byte hex>(48 字符)· 仅创建时明文展示一次 · 数据库存 SHA-256 散列 · 全局速率限制 30 请求/min/key · 可按 key 单独撤销 + scope(read / write / admin)。
角色与权限
四级角色:Admin(全权)/ Editor(读写)/ Viewer(只读)/ 子品牌成员(Growth 套餐及以上专属,仅访问指定品牌资源)· 颗粒化资源 ACL。
Session 安全
HMAC-SHA256 签 cookie · 30 天 TTL · httpOnly · Secure · sameSite=lax · CSRF token 双重提交 · 异常 IP / UA 变化触发二次验证。
企业 SSO(SAML / OIDC)
SAML 2.0 + OIDC · 支持 Okta / Auth0 / Azure AD / 飞书 / 钉钉企业身份源 · SCIM 自动 provisioning · Enterprise 套餐专属。
Chapter 04 · Audit Log
审计日志
所有创建 / 修改 / 撤销操作全量留痕 · 客户可自助拉取自己的审计数据。
audit_log 表字段
| 字段 | 类型 | 说明 |
|---|---|---|
| actor_id | uuid | 操作发起用户 / API key 标识 |
| actor_type | enum | user / api_key / system / admin |
| target_type | string | 被操作资源类型(brand / prompt / report / ...) |
| target_id | string | 被操作资源唯一标识 |
| action | string | 操作动词:create / update / delete / revoke / export |
| metadata | jsonb | 操作上下文(before/after diff、原因、关联 trace) |
| ip | inet | 客户端 IP · IPv4/IPv6 双栈 |
| user_agent | text | 客户端 UA 完整字符串 |
| request_id | uuid | 关联 Vercel Edge log + 后端 trace 全链路 |
| timestamp | timestamptz | 事件发生 UTC 时间 · 毫秒级精度 |
Retention · 保留期
按套餐分级
- 标准档:1 年热存储
- Pro 档:2 年热存储 + 3 年冷归档
- Enterprise:5 年完整保留 · 可定制
Self-Serve · 自助拉取
客户可随时调用
GET /api/audit-log ?from=2026-01-01 &to=2026-05-14 &action=delete Authorization: Bearer nangua_xxx
返回 JSON / CSV · 仅返回当前账号 organization 范围内的事件 · 支持时间窗 + action + actor 过滤。
Chapter 05 · Vulnerability Response
漏洞响应
负责任披露(responsible disclosure)· 三级响应 SLA · bug bounty roadmap。
Disclosure Channel · 责任披露
security@nanguageo.com
我们承诺不会对善意安全研究人员发起法律行动。请在向社区公开之前,先通过此邮箱给我们 90 天合理修复窗口。
发送漏洞报告PGP / GPG 加密
PGP key TBD · 涉及敏感漏洞细节建议加密 · 公钥将于 2026 Q2 发布到 keys.openpgp.org 与本页面。
建议附带
受影响 URL / API 端点 · PoC 复现步骤(截图或最小 curl)· 您建议的严重程度 · 您希望的署名方式
响应 SLA · 三级分类
Critical · 高危
响应:24 小时内确认修复:72 小时内热修复 + 公开 incident report示例:RCE / 越权读取他人数据 / 认证绕过 / 大规模数据泄露
Medium · 中危
响应:3 个工作日内确认修复:7 个工作日内修复并通知示例:存储型 XSS / CSRF / 越权写入但范围有限 / 密钥泄露低敏感
Low · 低危
响应:10 个工作日内确认修复:30 个工作日内修复示例:信息泄露(如版本号)/ 反射型 XSS 在非敏感页面 / 配置最佳实践偏差
Bug Bounty Program:公开 bounty 计划目前在 roadmap 2026 Q4 上线。现阶段对所有提交有效漏洞的研究人员,我们提供书面致谢、Hall of Fame 列名、以及南瓜 GEO 周边礼品(T 恤 / 贴纸 / 内部年度报告)。重大漏洞额外提供一次性现金致谢(金额按 Critical / Medium / Low 分档)。
Chapter 06 · LLM Data Handling
LLM 数据处理
我们最常被问的 #1 问题:「你们调那么多 LLM,我的数据会不会被拿去训练?」答案:不会,全合同条款约束。
客户数据永不进入训练
客户的 brand fact-claims、私有 prompt、内部知识库内容永远不会用于训练任何 LLM 模型。我们与上游 LLM 供应商的合同明确禁止此用途。
默认 prompt 不含客户 PII
我们的标准探针 prompt 由「品牌词 + 业务词 + 通用对照问句」组成 · 不含客户员工姓名、客户邮箱、客户内部地址 · 除非客户在 dashboard 中明确粘贴。
上游 LLM 供应商 DPA 全覆盖
国内五家(DeepSeek / Kimi / 智谱 GLM / 通义千问 / 豆包方舟)均签署数据处理协议(DPA),合同条款明确「不使用客户输入训练自有模型」。
海外 LLM 走 API 模式
ChatGPT(OpenAI)/ Claude(Anthropic)/ Gemini(Google)均使用付费 API 模式 · 按各家政策,API 数据默认不进入训练(OpenAI 政策保留 30 天日志后销毁)。
Prompt 包客户隔离
LLM 探针执行使用客户独立 prompt 包 · 不与其他客户的 prompt / 上下文混用 · 每次调用独立 session · 无跨客户记忆 · 无 LLM 端 fine-tune。
Customer Content 不用于任何训练
客户在我们平台上传 / 生成的所有内容(custom prompt、品牌 fact 库、监测目标、案例),均不会被任何 LLM 用作训练材料 · 也不进入我们自己的模型训练管线(如有)。
底线声明:Customer Content 不会被任何 LLM 用作训练 · 不会被我们用作训练 · 不会出现在任何对外公开的数据集 · 客户解约后我们承担数据销毁义务并提供书面证明。
Chapter 07 · Subprocessors
第三方依赖披露
完整 subprocessor 清单 · GDPR Article 28 合规 · 任一新增 / 变更我们将在 30 天内邮件通知 Enterprise 客户。
| 服务 | 用途 | 数据传输 | 位置 | DPA | 认证 |
|---|---|---|---|---|---|
| Neon Postgres | 主数据库 | 用户元数据 / 扫描结果 / 审计日志 | us-east-1(多 AZ) | 已签 | SOC 2 Type II |
| Resend | 事务邮件投递 | 收件人邮箱 + 邮件内容 | us-east-1 | 已签 | SOC 2 Type II |
| Stripe | 支付处理 | 卡号(PCI 隔离 · tokenized)/ 账单地址 | 全球(依客户地区) | 已签 | PCI DSS Level 1 |
| Cloudflare | CDN + DDoS 防护 + DNS | HTTP 流量元数据 + 缓存内容 | 全球边缘节点 | 已签 | SOC 2 Type II / ISO 27001 |
| Vercel | Next.js 部署平台 | 服务端运行日志 / 构建产物 | iad1(主) + 全球 Edge | 已签 | SOC 2 Type II |
| Feishu(飞书) | Feishu 集成 / SDR 同步 | leads 信息(可选 · 客户授权后开启) | 国内(字节) | 已签 | 等保三级 |
LLM 上游供应商
DeepSeek / Kimi(Moonshot AI)/ 智谱 GLM / 通义千问(阿里)/ 豆包(字节方舟)/ ChatGPT(OpenAI)/ Claude(Anthropic)/ Gemini(Google)· 全部签署 API 服务条款 · 严格按各家 enterprise / api 数据政策运作。
变更通知机制
新增 / 变更任一 subprocessor · 我们在生效前 30 天通过邮件 + dashboard banner 通知 Enterprise 客户 · 客户有 14 天反对窗口 · 如反对成立可提前解约 + 按比例退款。
Chapter 08 · Compliance Roadmap
合规进展(实事求是 · 不夸张)
我们诚实区分「已完成 / 进行中 / 计划中」三种状态 · 不把 roadmap 当 done · 不把底层平台认证算成自家认证。
已完成
GDPR ready
数据出境 / 删除 / 导出 / DPA / DPO 联系方式全部支持
已完成
HTTPS-only · TLS 1.3 全栈
HSTS preload list 已申请 · 内部服务 mTLS
已完成
底层平台 SOC 2 Type II
Vercel / Neon / Cloudflare / Resend / Stripe 均已认证(继承式)
已完成
白帽合规承诺书 v1.0
7 条核心承诺 · 拒绝 11 种黑帽手法(已签 · 公开存档)
进行中
ICP 备案
国内商用必备 · 上海主体已提交 · 等待管局回执
目标时间:2026 Q2 完成
计划中
等级保护备案
等保 2.0 二级 · 国内政企客户准入门槛
目标时间:2026 Q3 完成
计划中
SOC 2 Type I 独立审计
由 Big-4 一线 / Vanta 合作的独立审计机构出具报告
目标时间:2026 Q4 启动
计划中
ISO 27001 信息安全管理体系
ISMS 框架文档化中 · 认证审计计划
目标时间:2027 启动
关联:白帽合规承诺书 v1.0 已签发 · 拒绝 11 种黑帽手法 · 查看完整承诺书 · 合规进展每季度复盘并更新此页面。
Chapter 09 · Data Subject Rights
用户权利(GDPR / PIPL)
6 大数据主体权利 · 全部支持自助通道 · 24 小时内人工兜底。
| 权利 | 渠道 | SLA |
|---|---|---|
知情权 / 查询权 | GET /api/me + /api/audit-log(自助) | 实时 |
数据可携权(导出) | 邮件 export@nanguageo.com · 或 dashboard 一键导出 | 24 小时内返完整 ZIP(CSV + JSON) |
更正权 | Dashboard 直接编辑 · 或邮件 support@nanguageo.com | 实时(自助)/ 3 工作日(人工) |
删除权(被遗忘权) | POST /api/account/delete · 或邮件 legal@ | 立即软删 + 30 天硬删 |
限制处理权 / 反对权 | Dashboard 设置 · 关闭特定数据用途 | 实时生效 |
撤销同意 | 任何时候在 cookie banner 关闭非必要 cookie | 实时 · 不影响核心功能 |
Chapter 10 · Self-Hosting
自我托管(Enterprise 选项)
对于政府 / 金融 / 国防 / 大型集团 · 我们支持私有部署 · 单租户 · BYO LLM · 离线 air-gapped。
私有部署(Helm Chart)
Kubernetes 1.27+ · Helm 3 chart · 支持 EKS / AKS / 阿里云 ACK / 自建集群 · 半年安全补丁通道 · 升级回滚脚本随包发布。
单租户 Neon 实例
独享 Postgres compute + storage · 自管 backup 周期 · 可选地理位置(中国 / 美国 / 欧盟) · 客户拥有数据库 root 凭证。
Bring Your Own LLM Key
客户自行充值 8 大 LLM API key(DeepSeek/Kimi/智谱/通义/豆包/ChatGPT/Claude/Gemini)· 我们只收 platform fee · 客户对 LLM 调用与计费有完全自主权。
Air-Gapped 离线部署
完全离线环境 · 通过本地 LLM 推理(vLLM / SGLang)替代云端 API · 适合政府 / 金融 / 国防 / 大型集团内网 · 须 Enterprise 高阶定制合同。
商业说明:自我托管为 Enterprise 高阶定制选项 · 起步合同金额另议 · 包含初次部署支持、季度安全补丁、专属技术支持工程师(TAM)。请发邮件至 enterprise@nanguageo.com 详谈。
Chapter 11 · Contact
联系方式
一站式联络入口 · 安全 / 法务 / DPA / Bug bounty / Enterprise
Security · 安全报告
security@nanguageo.com
漏洞报告 · 安全研究协作 · 责任披露 · PGP key TBD(2026 Q2 发布)
SLA:Critical 24h · Medium 3 工作日 · Low 10 工作日
Enterprise · 企业定制
enterprise@nanguageo.com
私有部署 · 单租户 · BYO LLM key · 离线 air-gapped · 专属 TAM · 自定义 SLA
SLA:商务团队 1 工作日内回复 + 安排技术架构会议
Bug Bounty · 漏洞致谢
暂未开放公开 bounty
现阶段:书面致谢 + Hall of Fame 列名 + 周边礼品 + 重大漏洞额外现金致谢
公开 Bounty 计划:roadmap 2026 Q4 上线
还有未尽调清单?
B2B 大客户的法务、采购、安全团队通常有自家定制的 vendor questionnaire · 请直接发到 legal@nanguageo.com · 我们 5 工作日内逐条回复 · 复杂场景可安排架构会议。