> ## Documentation Index
> Fetch the complete documentation index at: https://wavecnct.com/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# 安全

> Wave Connect 的安全实践、认证和合规情况

## 概述

Wave Connect 高度重视安全。我们在基础设施、应用开发、访问管理和员工运营等各方面实施行业标准安全实践，以保护您和您团队的数据。

更多详情请访问 [security.wavecnct.com](https://security.wavecnct.com)。

***

## 合规与认证

| 认证                   | 详情                                                                          |
| -------------------- | --------------------------------------------------------------------------- |
| **SOC 2 Type II**    | 已认证。报告可在签署保密协议后提供，请联系 [security@wavecnct.com](mailto:security@wavecnct.com) |
| **CSA STAR Level 1** | 已列入云安全联盟 STAR 注册表                                                           |
| **GDPR**             | 完全合规。企业客户可获得数据处理协议                                                          |
| **EU AI Act**        | 符合适用要求                                                                      |

**遵循的安全标准**（非认证，但已对标）：

* OWASP Top 10
* CSA CAIQ
* CIS 基准
* NIST 对标实践

***

## 基础设施

Wave 的基础设施建立在托管云服务之上，与服务提供商共同承担安全责任。

| 提供商                       | 角色                  |
| ------------------------- | ------------------- |
| **Google Cloud Platform** | 核心应用基础设施、计算和网络      |
| **Vercel**                | 前端交付和边缘网络           |
| **PlanetScale**           | 数据库（MySQL 兼容，全球分布式） |
| **Cloud Storage**         | 文件和资产存储             |

基础设施设计具备高可用性和自动故障转移。所有提供商均持有独立的安全认证（SOC 2、ISO 27001）。

***

## 数据驻留

* 客户应用数据存储并处理于 **美国**
* 数据仅在已批准的地区处理
* Enterprise 客户可咨询数据驻留选项

完整的子处理商列表请参阅我们的[数据处理协议](https://www.wavecnct.com/legal/data-privacy-addendum)。

***

## 加密

**传输中**

* 所有连接使用 TLS 1.3
* 所有端点强制使用 HTTPS
* 启用 HSTS

**静止时**

* 所有存储数据使用 AES-256 加密
* 通过 Google Cloud KMS 进行云托管加密密钥管理
* 通过 Secret Manager 强制执行密钥轮换和访问控制

***

## 身份与访问管理

**身份验证选项**

* SAML 2.0 单点登录
* OpenID Connect（OIDC）
* SCIM 2.0 自动预配和取消预配

**多因素身份验证**

* 启用 SAML 或 OIDC 时通过 SSO 提供商强制执行

**基于角色的访问控制**

| 角色              | 访问权限                    |
| --------------- | ----------------------- |
| **Owner（所有者）**  | 完全账户访问，包括账单和计划管理        |
| **Admin（管理员）**  | 管理用户、模板、联系人和设置          |
| **Manager（经理）** | 管理分配团队的线索和分发模板，无公司级设置权限 |
| **Member（成员）**  | 使用分配的数字名片并查看自己的联系人      |
| **Viewer（查看者）** | 只读访问                    |

**最小权限原则**

* 所有内部访问遵循最小权限原则
* 每季度进行内部访问审查
* 用户离职时通过 SCIM 自动取消预配

***

## 密码安全

* 强制执行最低密码长度和复杂度要求
* 多次登录失败后账户锁定
* 通过已验证邮件进行安全密码重置
* 空闲时强制会话超时

***

## 应用安全

**安全开发生命周期**

* 功能设计阶段进行威胁建模
* 合并前必须进行同行代码审查和拉取请求审批
* 每次发布审查安全要求
* 专门的发布审批流程

**静态分析和扫描**

* 对所有代码变更进行 CodeQL 静态分析
* 自动化依赖项漏洞扫描
* 密钥扫描防止代码中的凭据泄露

**安全编码实践**

* 遵循 OWASP Top 10 指南
* 强制执行输入验证和输出编码
* 定期更新依赖项

***

## 漏洞管理

**扫描**

* 持续自动化依赖项扫描
* 基础设施漏洞扫描

**补丁管理时间表**

| 严重程度 | 目标修复时间 |
| ---- | ------ |
| 严重   | 24 小时  |
| 高    | 7 天    |
| 中    | 30 天   |
| 低    | 90 天   |

**渗透测试**

* 每年进行一次独立第三方渗透测试
* 根据严重程度时间表对发现的问题进行分类和修复

***

## 监控与日志

**收集的日志包括：**

* 身份验证事件（登录、注销、失败尝试）
* 管理员操作（用户变更、设置更新）
* API 活动
* 安全事件

**监控**

* 通过 Google Cloud Monitoring 进行 24/7 云基础设施监控
* 异常和安全事件的自动告警
* 可疑登录检测

***

## 事件响应

Wave 维护正式的事件响应计划，涵盖：

* **严重程度分类**：严重、高、中、低
* **调查流程**：遏制、分析和证据保全
* **根本原因分析**：所有重大事件后进行事后审查
* **客户通知**：按监管要求及时通知受影响客户
* **监管通知**：GDPR 违规通知在 72 小时内发出（如适用）
* **事后总结**：重大事件后内部记录和审查

如需报告安全漏洞，请联系 [security@wavecnct.com](mailto:security@wavecnct.com)。

***

## 业务连续性与备份

**恢复目标**

* RTO（恢复时间目标）：4 小时
* RPO（恢复点目标）：1 小时

**业务连续性计划**

* 已制定正式的 BCP 并每半年进行一次测试
* 定期测试灾难恢复计划

**备份**

* 每日自动备份
* 备份静止时加密
* 定期进行恢复测试
* 备份保留策略与数据分类政策保持一致

***

## 可用性

* 具备自动故障转移的高可用架构
* 状态页面：[status.wavecnct.com](https://status.wavecnct.com)
* Enterprise 客户可获得 SLA

***

## 网络安全

* Google Cloud 防火墙和 Cloud Armor
* 网络层和应用层 DDoS 缓解
* 所有 API 端点的速率限制
* OWASP 对标保护（注入、XSS、CSRF）
* 入侵检测和防御系统（IDS/IPS）

***

## 端点安全

所有员工设备均需遵守：

* 全盘加密
* 公司管理设备策略
* 防病毒和端点保护
* 操作系统和安全自动更新
* 屏幕锁定强制执行
* 远程访问的最低设备要求

***

## 物理安全

Wave 是一家远程优先公司，没有本地数据中心。物理基础设施安全由 Google Cloud 负责管理，其数据中心已获得 ISO 27001、SOC 2 及其他标准的独立认证。

员工遵循安全家庭办公要求，设备在报废时进行安全处置。

***

## 员工安全

* 对所有员工进行背景调查
* 入职时进行安全意识培训
* 每季度进行安全和隐私培训
* 所有员工签署可接受使用政策
* 签订保密协议

***

## 供应商安全

Wave 维护供应商风险管理计划。在接入前对第三方提供商进行审查，并根据其安全状况（SOC 2 报告、安全调查问卷和供应商评估）进行评估。

**主要子处理商**

| 供应商          | 用途       |
| ------------ | -------- |
| Google Cloud | 基础设施和计算  |
| Vercel       | 前端和边缘交付  |
| PlanetScale  | 数据库      |
| Twilio       | 短信通信     |
| Stripe       | 支付处理     |
| Shopify      | 电子商务     |
| Zendesk      | 客户支持     |
| Microsoft    | 生产力工具和集成 |
| MaxMind      | IP 地理定位  |

完整子处理商列表请参阅我们的[数据处理协议](https://www.wavecnct.com/legal/data-privacy-addendum)。

***

## AI 安全

Wave 在以下功能中使用 AI：

* **通用徽章扫描仪**：OCR 提取名片和活动徽章上的联系人信息
* **联系人信息补全**：从公开来源填充缺失的个人资料字段
* **内容审核**：检测个人资料上违反政策的内容

**关键声明：**

* 客户数据**不会**用于训练 AI 模型
* AI 功能在适用情况下可以禁用
* AI 提供商已在我们的子处理商列表中披露

***

## 数据分类

| 分类     | 描述               |
| ------ | ---------------- |
| **公开** | 营销内容、面向公众的文档     |
| **内部** | 运营数据、内部通信        |
| **机密** | 客户数据、业务数据、安全配置   |
| **受限** | 身份验证凭据、加密密钥、审计日志 |

***

## 数据保护

* 逻辑租户隔离：每个组织的数据在应用和数据库层面分离
* 基于角色的访问控制防止跨租户数据访问
* 所有敏感操作均有审计日志
* 在收集时应用数据最小化原则

***

## 企业安全功能

<CardGroup cols={2}>
  <Card title="单点登录（SAML）" icon="key" href="/security/saml-sso">
    通过 SAML 2.0 或 OIDC 使用您的身份提供商对用户进行身份验证。
  </Card>

  <Card title="目录同步（SCIM）" icon="rotate" href="/security/scim">
    自动化用户预配、取消预配和团队映射。
  </Card>

  <Card title="自定义域名" icon="globe" href="/security/custom-domains">
    为 Wave 个人资料和分享链接使用您自己的域名。
  </Card>
</CardGroup>