ScamLens

安全 — ScamLens

ScamLens 严肃对待安全。我们如何处理数据、事件和善意漏洞披露。

报告漏洞

请发送邮件至 [email protected],并附上漏洞描述、复现步骤和影响。我们将在 48 小时内确认收到,并争取在 7 天内修复严重问题。

请参阅我们的 漏洞披露政策,了解适用范围、安全港条款和致谢规则。

机器可读摘要:/.well-known/security.txt

我们如何保护数据

  • 全站强制使用 TLS 1.2+(HSTS preload,1 年)。
  • Cloudflare Zero Trust + 每个命名空间独立的 D1 隔离。
  • API 密钥静态加密(AES-256-GCM),按项目隔离作用域。
  • 除已记录的威胁情报聚合外,不会向任何第三方共享用户提交的内容。
  • 所有云集成均采用最小权限 IAM;密钥每 90 天轮换一次。

事件响应

正在进行的事件和历史事后复盘将发布在 status.scamlens.org(即将上线)。重大事件将在 72 小时内向受影响用户披露,符合 GDPR Article 33 的要求。

合规

  • GDPR / UK GDPR:合法依据已记录;数据处理协议(DPA)可应要求提供。
  • CCPA / CPRA:尊重 Do-Not-Sell;数据主体请求(DSAR)在 45 天内处理完成。
  • SOC 2 Type II:审计计划于 2026 Q3 启动。
  • PCI:支付由 Stripe 处理;ScamLens 不存储任何银行卡数据。

致谢

随着我们确认有效报告,本页将列出帮助加固 ScamLens 的研究者名人堂。