核心安全措施
1. TLS 1.3 加密傳輸
所有資料傳輸均採用 TLS 1.3 協定加密,確保資料在傳輸過程中的安全:- 端到端的加密保護,從使用者到伺服器全程加密
- 防止資料在傳輸過程中被竊取或篡改
- 最新的加密標準,提供最強的安全保護
2. 最小化資料儲存
MixRoute 作為 AI API 聚合平台:- 不儲存請求內容:不會保存您的 API 請求內容(輸入和輸出)
- 不查看使用者資料:技術團隊無法查看具體的對話內容
- 隱私優先:最大限度保護使用者隱私 作為 API 聚合平台,我們的職責是安全、高效地轉發請求,而不是儲存使用者資料,從根本上保障您的隱私安全。
3. 有限日誌記錄
基礎日誌範圍 我們只記錄計費和故障排查必需的基礎資訊:- 請求時間戳記:用於日誌分析和故障排查
- Token 長度統計:輸入和輸出的 Token 計數
- 使用的模型名稱:用於計費和服務統計
- 回應狀態:成功或錯誤狀態記錄
- ❌ 使用者輸入的文字
- ❌ AI 輸出的具體回覆
- ❌ 具體的對話內容
- ❌ 圖片或檔案內容
- ❌ 個人身份資訊
4. 短期日誌保留
我們採用短期日誌保留,所有系統日誌僅留存 7 天。目的是降低潛在的資料外洩風險並實踐隱私保護原則,有助於優化雲端資源配置並控制儲存成本。 此機制亦確保了服務運作能嚴格遵循現行資料保護法規的合規要求。存取控制機制
1. 嚴格的權限管理
我們基於最小權限原則,制定以下授權存取制度:- 最小權限原則:只有經過授權的技術人員才能存取日誌
- 匿名化處理:存取的日誌資料已進行匿名化處理
- 必要性審核:僅在故障排查等必要情況下才會存取
- 操作記錄:所有存取操作都有完整的稽核日誌
2. 技術團隊管理
MixRoute的技術團隊成員需定期接受最新的資料安全與隱私保護培訓。在權限控管方面,我們落實了動態的管理機制,透過定期執行權限輪換與存取審核,有效降低內部風險,並確保資源存取符合「最小權限原則」。安全稽核
1. 定期安全性評估
MixRoute 團隊定期進行全面的安全評估:- 系統漏洞掃描:定期檢查系統安全漏洞
- 程式碼安全審查:審核程式碼中的潛在安全風險
- 基礎設施檢查:評估伺服器和網路安全
- 流程最佳化:持續改進安全管理流程
2. 合規性保障
MixRoute 嚴格遵守 GDPR 及《個人資料保護法》等個資保護法規,確保每一筆資料的處理均合法且透明。 我們全面對標 AI 服務產業的安全標準,建立了完善的內部機制以積極配合相關部門的監管與稽核要求,確保服務架構與營運流程始終處於最嚴謹的合規監測之下。安全最佳實踐
使用者端建議
API Key 管理
- 使用環境變數儲存敏感資訊
- 不要在程式碼中硬編碼 API Key
- 定期輪換 API Key
敏感資訊處理
- 避免在請求中包含敏感個人資訊
- 使用脫敏資料進行測試
- 謹慎處理商業機密內容
網路安全
- 使用 HTTPS 協定存取 API
- 在安全的網路環境中使用服務
- 及時更新客戶端軟體
MixRoute 平台端保障
- 多層防護:部署多層安全防護措施
- 即時監控:24/7 安全監控和威脅偵測
- 備份恢復:定期備份和災難恢復演練
- 及時通知:在發現安全事件後 24 小時內通知使用者
- 詳細說明:提供事件詳情和影響範圍
- 解決方案:說明採取的補救措施
- 預防措施:分享後續的預防改進措施