1. 我們的安全理念
安全融入我們設計和營運服務的方式之中。我們遵循最小權限原則,將敏感操作保留在服務端,並持續審查我們的做法。儘管沒有任何線上服務能保證絕對安全,我們仍採取合理且符合業界標準的措施來保護您的資訊。
- 安全貫穿整個產品
- 應用最小權限原則
- 敏感操作保留在服務端
- 持續審查安全做法
2. 敏感操作在服務端處理
模型 API Key、上傳處理、積分檢查和受保護帳號操作都在服務端執行,不暴露在瀏覽器程式碼中。這減少了攻擊面,避免敏感憑證或邏輯被最終用戶或第三方訪問。
- 服務端模型 API 呼叫
- API Key 絕不暴露給瀏覽器
- 登入鑑權的上傳處理
- 生成開始前檢查積分
3. 加密與資料保護
所有傳輸中的資料均使用 HTTPS/TLS 加密。帳號密碼絕不以明文儲存,而是使用 bcrypt 雜湊處理。上傳圖片儲存在物件儲存中,僅限已認證請求訪問,會話令牌在服務端管理並設有過期時間。
- 傳輸資料使用 HTTPS/TLS 加密
- Bcrypt 雜湊密碼儲存
- 僅限已認證訪問的物件儲存
- 帶過期時間的服務端會話令牌
4. 存取控制
後台頁面需要 admin 角色,並透過 noindex 和安全響應標頭加以保護。用戶私有頁面和生成資產不會進入公開 SEO 抓取路徑,因此私有流程不會暴露給搜尋引擎或未認證訪客。
- 後台區域基於角色的存取控制
- 受保護路由設置安全響應標頭
- 後台頁面的 noindex 控制
- 私有個人中心與資產路由
5. 帳號安全
我們強制執行密碼複雜度規則和限時會話,以降低未授權訪問的風險。您有責任保管好您的憑證。我們建議使用強而唯一的密碼,並在共用裝置上及時退出登入。
- 強制密碼複雜度規則
- 限時會話窗口
- 共用裝置上退出登入
- 及時回報可疑活動
6. 第三方供應商
本服務依賴第三方 AI 模型供應商(包括 OpenAI 和 Google)及雲端基礎設施。我們僅共享完成所請求生成所需的資料,這些供應商維護其自身的安全和隱私體系。除整合部分外,我們不對第三方的安全做法負責。
- 與供應商共享最少資料
- OpenAI 和 Google 處理生成請求
- 雲端基礎設施用於儲存和計算
- 供應商維護其自身安全體系
7. 營運安全措施
我們使用會話過期、積分流水、任務歷史和兜底處理來減少濫用並提升可靠性。失敗任務會被記錄以便對帳積分,營運日誌用於支援排障和濫用偵測。
- 會話過期窗口
- 積分流水與對帳
- 用於可追溯的任務歷史
- 用於濫用偵測的日誌記錄
8. 漏洞回報
如您發現潛在的安全問題,我們鼓勵您透過產品內的客服與回饋渠道負責任地回報。請在我們有合理機會調查並處理之前,避免公開披露該問題。
- 透過產品內客服回報問題
- 提供足以重現的細節
- 給予合理的調查時間
- 在修復前避免公開披露
9. 聯繫我們
如您對我們的安全做法或處理資料的方式有任何疑問,請透過產品內的客服與回饋渠道聯繫我們。我們將及時回應安全相關諮詢。
- 使用產品內的客服渠道
- 我們將及時回應安全諮詢
- 營運方:AISellerKit
- 產品:CommercePix AI