核心安全措施
1. TLS 1.3 加密传输
所有数据传输均采用 TLS 1.3 协议加密,确保数据在传输过程中的安全:- 端到端的加密保护,从用户到服务器全程加密
- 防止数据在传输过程中被窃取或篡改
- 最新的加密标准,提供最强的安全保护
2. 最小化数据存储
MixRoute API 作为中转平台的核心优势:- 不存储请求内容:不会保存您的 API 请求内容(输入和输出)
- 不查看用户数据:技术团队无法查看具体的对话内容
- 隐私优先:最大限度保护用户隐私
3. 有限日志记录
基础日志范围 我们只记录计费和故障排查必需的基础信息:- 请求时间戳:用于日志分析和故障排查
- Token 长度统计:输入和输出的 Token 计数
- 使用的模型名称:用于计费和服务统计
- 响应状态:成功或错误状态记录
- ❌ 用户输入的文本
- ❌ AI 输出的具体回复
- ❌ 具体的对话内容
- ❌ 图片或文件内容
- ❌ 个人身份信息
4. 短期日志保留
我们採用短期日誌保留,所有系统日誌仅留存 7 天。目的是降低潜在的资料外洩风险并实践隐私保护原则,有助于优化云端资源配置并控制储存成本。 此机制亦确保了服务运作能严格遵循现行资料保护法规的合规要求。访问控制机制
1. 严格的权限管理
我们基于最小权限原则,制定授权访问制度 :- 最小权限原则:只有经过授权的技术人员才能访问日志
- 匿名化处理:访问的日志数据已进行匿名化处理
- 必要性审核:仅在故障排查等必要情况下才会访问
- 操作记录:所有访问操作都有完整的审计日志
2. 技术团队管理
MixRoute的技术团队成员需定期接受最新的资料安全与隐私保护培训。在权限控管方面,我们落实了动态的管理机制,透过定期执行权限轮换与存取审核,有效降低内部风险,并确保资源存取符合「最小权限原则」。安全保障体系
1. 定期安全审计
MixRoute 团队定期进行全面的安全评估:- 系统漏洞扫描:定期检查系统安全漏洞
- 代码安全审查:审核代码中的潜在安全风险
- 基础设施检查:评估服务器和网络安全
- 流程优化:持续改进安全管理流程
合规性保障
MixRoute 严格遵守 GDPR 及《个人信息保护法》等个资保护法规,确保每一笔资料的处理均合法且透明。 我们全面对标 AI 服务产业的安全标准,建立了完善的内部机制以积极配合相关部门的监管与稽核要求,确保服务架构与营运流程始终处于最严谨的合规监测之下。安全最佳实践
用户侧建议
API Key 管理
- 使用环境变量存储敏感信息
- 不要在代码中硬编码 Key
- 定期轮换 API Key
敏感信息处理
- 避免在请求中包含敏感个人信息
- 使用脱敏数据进行测试
- 谨慎处理商业机密内容
网络安全
- 使用 HTTPS 协议访问 API
- 在安全的网络环境中使用服务
- 及时更新客户端软件
MixRoute 平台侧保障
- 多层防护:部署多层安全防护措施
- 实时监控:24/7 安全监控和威胁检测
- 应急响应:建立完善的安全事件响应机制
- 备份恢复:定期备份和灾难恢复演练
- 及时通知:在发现安全事件后 24 小时内通知用户
- 详细说明:提供事件详情和影响范围
- 解决方案:说明采取的补救措施
- 预防措施:分享后续的预防改进措施