安全声明

本安全声明介绍了 Kapsule Group Limited（Kapsule Cloud）为保护在我们平台上托管的数据而实施的技术和组织措施。本声明由《数据处理协议》引用，并且会不时更新以反映我们安全态势的改进。

我们的核心原则是纵深防御：我们采用多层独立控制措施，确保任何单一故障都不会导致客户数据泄露。

我们维护有文件记录的信息安全和隐私政策，至少每年审查一次，当平台或威胁形势发生重大变化时进行更新。

指定的隐私官员负责数据保护合规性。安全责任由基础设施团队中的指定人员承担。

所有人员在入职时和之后每年接受隐私和安全培训。有权访问生产系统的人员受法律允许范围内的背景调查。

安全事件和近似未遂事件被记录、审查，并用于持续改进控制措施。

对生产系统和客户数据的访问受严格的基于角色的访问控制管理，遵循最小权限原则：人员仅被授予执行其特定角色所需的访问权限。

对所有拥有生产基础设施、托管控制面板、源代码和云提供商控制台访问权限的人员强制实施双因素身份验证（2FA）。

定期审查访问权限，在角色变更或人员离职时立即撤销。访问事件和权限提升均被记录。

生产环境和非生产环境严格分离。客户环境在托管平台内彼此逻辑隔离。

对生产服务器的所有管理访问均通过SSH密钥对进行身份验证；基于密码的SSH身份验证已被禁用。

客户与我们平台之间传输的所有数据均使用 TLS 1.2 或更高版本加密。TLS 证书自动签发，并在到期前自动续期。

离线备份使用 restic 与 AES-256 加密。加密密钥与备份数据分开存储，并进行离线备份。如果密钥丢失，备份数据将无法恢复，因此密钥存放在多个安全的离线位置。

加密备份存储在 Cloudflare R2 对象存储中，位于大洋洲地区，与我们的主要 Hetzner 基础设施在地理位置上进行了隔离。

敏感的平台数据（包括秘钥、API 密钥和凭证）存储在专用的秘钥管理系统中，绝不嵌入源代码或签入版本控制的配置文件中。

面向客户的服务受到Cloudflare网络应用防火墙（WAF）和DDoS防护的保护，可在攻击到达我们基础设施前吸收容量型和应用层攻击。

客户托管环境采用网络分段：每个网站在隔离的上下文中运行，无法在网络层访问其他客户的数据。

操作系统、平台软件和应用依赖项按定期节奏进行修补。关键安全补丁在发布后24-72小时内应用。面向互联网的基础设施定期扫描已知漏洞。

防火墙规则将入站访问限制为必要的最少端口和服务。不必要的服务默认禁用。

由独立合格测试人员定期进行渗透测试。重大发现已得到修复并重新测试。

访问事件、配置变更、身份验证尝试和安全相关的系统事件被记录到集中式日志系统。日志至少保留90天。

平台健康状况和安全信号以24x7方式进行监控。警报被路由到值班人员以便立即调查。

我们维护一份有文件记载的事件响应计划，其中包含明确定义的严重级别、升级路径和沟通程序。该计划至少每年审查和测试一次。

在发生影响客户个人信息的已确认可通知隐私泄露事件的情况下，我们将在意识到该事件后的72小时内通知受影响的客户，如Privacy Act 2020和数据处理协议所要求。

Sentry用于在整个平台堆栈中进行实时错误追踪和应用性能监控。

客户站点文件、数据库和电子邮件数据使用 restic 每日备份到 Cloudflare R2（大洋洲地区）。备份使用 AES-256 加密进行静态加密。

所有付费计划的备份保留期限最少为 30 天。较高级别的计划包括额外的每周和每月快照。具体计划的保留详情请参见《服务水平协议》。

恢复程序已在我们的内部运行手册中记录，并定期进行测试。平台团队定期进行恢复演练以验证备份完整性。

Kapsule Cloud 平台代码库（包括配置和预配脚本）每日备份到 kapsulenz 组织下的私有 GitHub 存储库，为平台本身提供独立的恢复路径。

每个基础设施组件（托管服务器、邮件服务器、门户）的灾难恢复程序已记录在案，目标恢复时间为 2-4 小时，具体取决于组件和数据大小。

所有可以访问客户数据的人员都受到保密义务的约束，这些义务要么源于合同，要么源于法律。

我们与所有次级处理者保持书面数据处理协议。这些协议要求次级处理者实施的保护措施不低于我们《数据处理协议》中的保护措施，包括保密性、安全性和有限目的处理义务。

我们至少每年审查一次次级处理者清单，以确保其持续的适用性。在与次级处理者合作前，我们会根据我们的最低安全要求对其进行评估。

次级处理者的当前清单已发布于 kapsulecloud.com/legal/sub-processors。

生产服务器运行于位于德国的 Hetzner 数据中心。Hetzner 的设施达到 Tier III 级或相当水平，并提供：具有多因素身份验证的受控物理访问入口；24小时7天在线安保人员；冗余电源（不间断电源和柴油发电机）；冗余冷却系统；火灾检测和灭火装置。

对服务器硬件的物理访问仅限于获授权的 Hetzner 人员。Kapsule Cloud 人员无权例行访问生产硬件；所有管理访问均通过加密通道远程执行。

停用的存储介质在重新使用或处置前，根据 Hetzner 数据中心的规程进行安全擦除或销毁。

我们遵循安全的软件开发生命周期。所有生产代码变更在部署前均需强制进行同行代码审查。自动化依赖扫描在每次构建时运行，以识别第三方软件包中的已知漏洞。

密钥使用专用的密钥管理系统进行管理。任何凭证、API 密钥或敏感配置值均不得提交到源代码库。

发布前测试包括功能性、回归性和安全性重点测试运行。对身份验证、支付或数据处理流程的变更将受到额外审查。

面向客户的输入在所有应用程序边界处进行验证和清理。我们对 OWASP Top 10 风险应用标准防护，包括 SQL 注入、跨站脚本和跨站请求伪造。

KPanel 身份验证：密码使用 Argon2id（内存硬化，抗 GPU 破解）进行哈希处理。新密码在被接受前通过 k-匿名前缀查找对 Have I Been Pwned 数据库进行检查。登录支持基于 TOTP 的双因素身份验证、短信一次性密码和硬件密钥（WebAuthn/FIDO2）。支持通过 Google、GitHub 和 Apple Sign In 进行 OAuth 登录，每个均针对提供商的 JWKS 端点进行验证。魔法链接电子邮件登录的速率限制为每个地址每小时三个请求，可作为恢复方法使用。会话令牌在密码学上是随机的，以哈希形式存储在数据库中，并在 30 天无活动后过期。

客户数据在托管、数据库和应用层进行逻辑隔离。每个客户的文件、数据库和电子邮件账户均在单独的系统账户下进行隔离，不存在客户间的交叉访问。

当客户终止服务时，客户个人信息可在30天内导出，之后将从实时系统中永久删除。加密备份副本将在下一个定期轮换周期内清除，且删除时间不超过从实时系统中删除后的30天。

记录在案的数据删除程序确保数据从所有相关系统中被移除，包括实时数据库、缓存和应用存储，而不仅仅是主数据存储。

用于处理数据主体请求（访问、更正、删除）的程序已记录在案并经过测试。KPanel导出工具允许客户在服务期间随时检索其数据。

如果您对我们的安全实践有任何疑问，或希望报告可疑的安全漏洞，请通过 [email protected] 与我们联系。

Kapsule Group Limited，新西兰基督城。