Pháp lý
Tổng quan bảo mật
Cách chúng tôi bảo vệ dữ liệu mà bạn và những người trả lời tin tưởng giao phó cho chúng tôi.
Cập nhật lần cuối:
Bảo mật đường truyền
Toàn bộ traffic API và web đều phục vụ qua TLS 1.2+. HSTS được kích hoạt trên domain production. Chứng chỉ được xoay tự động qua Let's Encrypt.
Dữ liệu tĩnh
Postgres dùng mã hoá đĩa của instance được quản lý. Báo cáo trên S3 được mã hoá mặc định bằng SSE-S3; SSE-KMS với key cấp tenant đang trên roadmap. Cấu hình AI-provider của admin được mã hoá ở tầng ứng dụng bằng AES-GCM (256-bit).
Kiểm soát truy cập
Truy cập API yêu cầu API key (gắn prefix, hash khi lưu, có thể thu hồi) hoặc JWT mint từ chính key đó. Endpoint admin yêu cầu role=admin. Chúng tôi áp dụng least-privilege nội bộ; mọi truy cập production đều được ghi log.
Báo cáo lỗ hổng
Vui lòng báo cáo bất kỳ lỗ hổng nào về security@psyforge.dev kèm thông tin để chúng tôi tái hiện. Chúng tôi sẽ phản hồi trong vòng 72 giờ và mục tiêu khắc phục vấn đề nghiêm trọng trong 7 ngày. Hiện chưa có chương trình bounty trả tiền nhưng chúng tôi sẽ ghi công người báo cáo (nếu được đồng ý).
Kiểm toán và chứng chỉ
PsyForge đang ở giai đoạn alpha; chưa có chứng chỉ SOC 2 hay ISO 27001. Chúng tôi đang theo dõi các chương trình này nội bộ và sẽ công bố mốc thời gian mục tiêu trước khi ra mắt công khai.
Có câu hỏi hoặc lo ngại? Liên hệ qua email legal@psyforge.dev