安全性
Expertise AI 安全措施
我们已实施全面的安全控制措施来保护您的数据并确保我们平台的完整性。
我们的安全措施符合行业标准框架,包括OWASP Top 10,提供企业级保护以应对现代安全威胁。
安全性
我们已实施全面的安全控制措施来保护您的数据并确保我们平台的完整性。
我们的安全措施符合行业标准框架,包括OWASP Top 10,提供企业级保护以应对现代安全威胁。
访问令牌使用非对称RS256签名,包括用户身份、会话跟踪和自动过期。每个令牌都经过加密验证,并且可以在需要时立即撤销会话。
用户会话使用安全的仅HTTP cookie和短期会话令牌进行保护。会话在不活动期间后自动过期,令牌安全存储并在注销或可疑活动时失效。会话数据永远不会暴露给客户端脚本,从而降低会话劫持的风险。
培训材料和上传的文件通过60秒后过期的短期预签名URL提供,最大限度地减少敏感内容的暴露窗口。
所有传输中的数据都使用启用了HTTP严格传输安全(HSTS)的行业标准HTTPS进行保护。我们执行内容安全策略(CSP),实施框架保护,并禁用内容类型嗅探,以防御常见的基于浏览器的攻击。
所有API密钥在存储前都使用行业标准算法进行哈希处理。出站Webhook可以使用HMAC签名进行加密签名,允许您验证从我们平台发送的数据的真实性。
基于URL的导入和远程资源获取经过严格验证。我们仅允许标准HTTP/HTTPS协议,并自动阻止对内部网络、私有IP范围和其他潜在危险目的地的请求。
生产API访问受到严格的CORS白名单保护,确保只有授权的域可以与您的数据交互。HTTP参数污染攻击通过拒绝重复参数自动阻止。
仪表板无法嵌入第三方框架,防御点击劫持攻击和未经授权的嵌入。
我们的平台在不同的聊天机器人和账户之间实施严格的隔离。每个聊天机器人的资源完全分离,防止未经授权的跨租户访问。
组织中的每个聊天机器人都受到细粒度权限的保护,这些权限强制执行读写访问控制。团队成员只能访问他们明确授权查看或修改的资源,确保适当的职责分离。
对话数据遵守在聊天机器人级别配置的共享策略。无论对话是限于特定团队成员还是更广泛地共享,这些权限都在服务器端执行,无法绕过。
用户密码使用行业标准算法进行哈希处理,从不以明文存储。密码重置流程使用加密签名的限时令牌,无法重复使用或伪造。
登录尝试通过电子邮件地址和IP地址进行监控。重复的登录失败尝试会触发自动临时锁定,保护账户免受凭证填充攻击。
每个聊天机器人的训练数据和知识库都存储在隔离的向量数据库命名空间中,防止不同聊天机器人或账户之间的交叉污染。
所有敏感凭证都存储在AWS Secrets Manager中,从不提交到代码或配置文件。数据库连接通过具有强制加密的安全RDS代理进行路由。
使用移动窗口算法在所有聊天端点上应用全面的速率限制。这可以防御拒绝服务攻击和自动滥用,同时确保合法用户体验不间断的服务。
所有用户生成的内容,包括剧本配置、聊天机器人名称、规则和触发器,在存储前都会使用行业标准HTML清理库自动清理。这可以防止恶意脚本被注入平台。
我们的平台采用智能垃圾邮件检测和持久IP黑名单功能。合法流量被列入白名单以最小化误报,同时保持对恶意行为者的强大保护。
上传的文件需经过严格验证,包括文件名清理、文件类型验证和大小限制。恶意文件路径会自动被拒绝,以防止目录遍历攻击。
整个仪表板的搜索查询和用户输入受长度约束和速率限制,减少注入尝试和滥用的攻击面。
小部件嵌入可以通过父域验证限制到特定域。基于时间的活动小时通过限制何时可以访问您的聊天机器人来进一步减少暴露。
所有与安全相关的事件都会被记录,包括授权失败、速率限制违规、配额超标和被拒绝的文件上传。这为复杂的安全分析和详细的合规要求提供了全面的审计跟踪。
我们的后端基础设施和仪表板应用程序都通过企业级错误跟踪进行监控。这包括在发生错误时自动激活的详细会话回放功能,实现快速诊断和解决。
所有上传的文件和远程导入的内容在存储或处理之前都会使用服务器端防病毒保护进行扫描。这包括培训材料、头像图片以及从外部URL导入的任何内容。
严格的白名单管理不同目的可上传的文件类型。文件大小受到限制以防止资源耗尽攻击,内容在处理前会被验证。
聊天小部件和嵌入可以按IP地址或地理位置进行限制。这些限制会根据您的配置实时执行。
自动化的机器人流量会被检测并从分析和遥测中过滤,确保您的参与度指标反映真实的用户互动。
出站Webhook包含HMAC签名,您可以验证以确保请求确实来自我们的平台。Webhook密钥安全生成,可随时轮换。
Stripe Webhook事件使用官方签名验证方法进行验证,确保计费事件是真实且未被篡改的。
与WhatsApp、Instagram和其他消息平台的集成使用验证令牌、事件去重和真实性检查来防止伪造消息和重放攻击。