01 安全架构概述
芯之语科技采用「纵深防御」安全架构(Defense in Depth),在数据处理的每一个环节设置独立的安全屏障。我们的安全体系由以下五个层次构成:
🛡️ 设备层安全
利用 iOS Keychain 与 Android Keystore 保护密钥,结合生物识别(Face ID / 指纹)实现硬件级身份验证。
🔐 应用层安全
AES-256-GCM 对称加密、PBKDF2 密钥派生、沙箱隔离存储,确保应用数据即使设备被 root 也难以破解。
🌐 传输层安全
全线服务强制 TLS 1.3 加密传输,证书固定(Certificate Pinning)防止中间人攻击。
☁️ 服务端安全
最小权限原则、多重身份认证、WAF 防护、DDoS 缓解,服务器不存储用户明文内容。
🔒 核心承诺:对于「开心记」等隐私产品,我们采用「零知识架构」——服务器无法访问您的任何明文数据,即使面临法律强制要求,我们也无法提供您的主密码或解密内容。
02 分层加密技术
我们的加密策略根据数据敏感度进行分级处理,不同级别的数据采用不同的加密强度与密钥管理策略:
| 数据级别 | 典型数据 | 加密算法 | 密钥管理 |
|---|---|---|---|
| 极高敏感度 | 开心记主密码、加密密钥 | Argon2id + AES-256-GCM | 仅设备内存,不落盘 |
| 高敏感度 | 日记内容、证件照片、密码库 | AES-256-GCM | 用户密码派生密钥 |
| 中敏感度 | 经期记录、情绪日志 | AES-256-CBC | 设备密钥 + 用户密码 |
| 低敏感度 | 应用设置、学习进度 | AES-128-GCM | 设备密钥链存储 |
| 公开数据 | 诗词原文、应用界面资源 | 无加密 | 本地静态资源 |
密钥派生机制:开心记采用 PBKDF2-HMAC-SHA256 算法,迭代次数 100,000 次,结合随机盐值(Salt)生成加密密钥。这意味着即使两个用户使用相同的主密码,其派生出的加密密钥也完全不同。
生物识别集成:Face ID / Touch ID / 指纹仅用于「解锁应用」这一动作,不替代主密码的加密作用。生物识别验证通过后,应用从 iOS Keychain / Android Keystore 中取出预存的密钥进行解密操作。
03 数据生命周期
我们对数据的全生命周期实施端到端安全管理,从创建、传输、存储、使用到销毁,每一个环节都有明确的安全策略:
创建
本地生成,即时加密
传输
TLS 1.3,端到端加密
存储
本地优先,云端可选
使用
内存解密,用完即焚
销毁
安全擦除,不可恢复
- 创建阶段:数据在设备本地生成,生成后立即进入加密流程,明文数据仅在内存中短暂存在;
- 传输阶段:仅在用户主动开启云同步时,数据才会离开设备。传输过程使用 TLS 1.3 加密,并启用证书固定防止劫持;
- 存储阶段:默认本地存储,云端存储为可选功能。即使存储在云端,数据也以加密形态存在;
- 使用阶段:解密操作仅在应用运行时于内存中进行,应用进入后台或锁屏后,敏感密钥从内存中清除;
- 销毁阶段:用户删除数据时,我们执行安全擦除(Secure Erase),覆盖原有数据区域,降低被恢复的可能性。
04 本地优先设计
「本地优先」是芯之语区别于绝大多数互联网产品的核心安全策略。这一设计意味着:
- 数据主权归用户:您的数据首先且主要存储在您自己的设备上,而非我们的服务器;
- 离线可用:应用的核心功能无需网络连接即可完全正常运行;
- 服务独立性:即使我们的公司停止运营或服务器关闭,您设备上的数据依然完整可用;
- 最小攻击面:由于数据不上传,黑客攻击我们服务器无法获取您的个人信息;
- 法律抗性:在面临数据调取要求时,我们能够且只会提供加密后的不可读数据。
📌 架构透明:开心记的源代码中,所有网络请求模块均可被独立审计。您可以通过抓包工具验证——在未开启云备份的情况下,应用不会产生任何包含用户内容的网络流量。
05 传输安全
对于必须通过网络传输的数据(如云同步、崩溃上报、应用更新),我们实施以下安全措施:
- TLS 1.3 强制加密:所有网络通信均使用当前最高版本的传输层安全协议,禁用不安全的 TLS 1.0/1.1;
- 证书固定(Certificate Pinning):应用内置服务器证书公钥指纹,防止中间人攻击和伪造证书;
- 请求签名:敏感 API 请求携带 HMAC-SHA256 签名,防止请求被篡改或重放;
- 速率限制:服务端实施严格的速率限制,防止暴力破解和爬虫攻击;
- IP 封禁:异常流量自动触发 IP 封禁和人工审核流程。
我们定期通过 SSL Labs 等第三方工具检测服务器 TLS 配置,确保始终保持 A+ 评级。
06 安全审计与测试
我们建立了持续的安全审计与测试机制,确保安全防护体系的有效性:
🔍 代码审计
每个版本发布前进行静态代码分析(SAST),使用 SonarQube 等工具检测潜在漏洞。
🧪 渗透测试
每季度聘请第三方安全公司进行黑盒/白盒渗透测试,覆盖网络层、应用层与业务逻辑。
📊 依赖扫描
使用 Dependabot 和 Snyk 持续监控第三方依赖库的安全漏洞,24 小时内响应高危 CVE。
📝 合规审查
每年进行个人信息保护影响评估(PIA),确保数据处理活动符合《个保法》要求。
所有安全审计报告(脱敏后)可向监管部门和重大合作伙伴提供查阅。
07 应急响应机制
我们制定了完善的数据安全事件应急响应预案,确保在发生安全事件时能够快速、有序、透明地处置:
- 监测与发现:通过日志分析、入侵检测系统(IDS)和用户反馈三条渠道实时监测安全威胁;
- 分级响应:根据事件影响范围分为 P0(紧急)、P1(高危)、P2(中危)、P3(低危)四个级别;
- 处置时限:P0 事件 1 小时内启动响应,P1 事件 4 小时内,P2 事件 24 小时内;
- 用户通知:对于可能导致用户个人信息泄露的事件,我们将在 72 小时内通过应用内通知、邮件或短信告知受影响用户;
- 监管报告:对于重大数据泄露事件,我们将按照《个人信息保护法》要求,及时向网信、公安等监管部门报告;
- 事后复盘:每个事件处置完毕后,进行根因分析(RCA)并更新安全策略,防止同类事件再次发生。
🚨 紧急联系:若您发现我们的产品存在安全漏洞或遭遇数据泄露事件,请立即发送邮件至 info@xinzhiyuk.com,标题注明「安全事件」,我们将优先响应。
08 合规与认证
我们的数据处理活动严格遵守以下法律法规与行业标准:
- 《中华人民共和国个人信息保护法》(2021年11月1日施行)
- 《中华人民共和国数据安全法》(2021年9月1日施行)
- 《中华人民共和国网络安全法》(2017年6月1日施行)
- 《App违法违规收集使用个人信息行为认定方法》
- GB/T 35273-2020《信息安全技术 个人信息安全规范》
- Apple App Store 隐私标签要求
- Google Play 数据安全表单要求
运营资质:
黑公网安备 23038202000061 号- 黑 ICP 备 2023005789 号-1
- 电子营业执照已亮照公示
09 用户安全建议
安全是产品与用户的共同责任。我们建议您采取以下措施,进一步提升您的数据安全水平:
🔑 强密码策略
为「开心记」设置至少 12 位的强密码,混合大小写字母、数字和符号。避免使用生日、手机号等易猜测信息。
📱 设备锁屏
开启手机锁屏密码或生物识别。这是保护您本地数据的第一道防线,即使设备丢失也能防止他人直接访问。
💾 定期备份
对重要数据开启加密云备份或定期导出到可信的外部存储。注意:备份文件也应妥善保管。
🔄 及时更新
保持应用和操作系统为最新版本。安全更新通常包含最新的漏洞修复,延迟更新会增加被攻击风险。
⚠️ 特别提醒:请勿将「开心记」的主密码告知任何人,包括自称「芯之语客服」的人员。我们永远不会通过电话、邮件或消息向您索要密码。
10 产品级安全说明
针对三款核心产品,以下补充说明其特定的安全实践:
花朝月夕
- 健康数据采用设备本地 AES-256 加密存储,可选 iCloud 同步时通过 Apple 加密通道传输;
- 应用内不包含社交功能,杜绝了因社交互动导致的数据泄露风险;
- 不提供账户注册,减少了账户被盗用的攻击面。
元宝学诗词
- 诗词内容库为离线资源,无需联网即可使用,从根本上杜绝了内容传输过程中的泄露风险;
- 学习进度等数据仅存储于本地,不涉及用户身份标识;
- 视频内容通过 CDN 分发,不记录用户的观看历史或个人偏好。
开心记
- 零知识架构:服务器无法解密用户内容,我们(包括开发人员、服务器管理员、公司管理层)均无法访问您的明文数据;
- 防暴力破解:主密码验证采用 Argon2id 算法,配合速率限制,大幅提高了暴力破解成本;
- 自动锁定:应用进入后台或设备锁屏后,自动清除内存中的解密密钥,下次打开需重新验证;
- 截屏防护:敏感界面(如密码列表)禁止系统截屏,防止恶意软件通过截屏窃取信息;
- 剪贴板安全:密码复制到剪贴板后,应用会在 30 秒内自动清空剪贴板内容。
11 安全团队与承诺
芯之语科技设有专门的安全与合规小组,由具备多年信息安全经验的技术负责人领导。安全团队的职责包括:
- 制定和更新公司级安全策略与数据处理规范;
- 监督产品全生命周期的安全设计与实现;
- 组织安全培训,提升全员安全意识;
- 响应安全事件,协调内外部资源进行处置;
- 对接监管部门,确保合规运营。
🤝 我们的安全承诺:我们承诺不以任何方式出售、交易或滥用用户数据;承诺在发现安全漏洞后 72 小时内启动修复;承诺对协助发现漏洞的安全研究者给予公开致谢和合理奖励。
12 漏洞报告
我们欢迎并感谢安全研究者和用户帮助我们发现和修复安全漏洞。如果您发现了我们产品中的安全漏洞,请通过以下方式 responsible disclosure(负责任披露):
- 报告邮箱:info@xinzhiyuk.com(标题注明「漏洞报告」)
- 报告内容:请尽可能提供漏洞描述、复现步骤、影响范围及修复建议;
- 响应承诺:我们将在 48 小时内确认收到报告,7 个工作日内给出初步评估;
- 披露规则:在漏洞修复完成前,请勿公开披露漏洞细节,以保护所有用户的安全;
- 致谢方式:对于确认的有效漏洞,我们将在官网「安全致谢」页面公开致谢,并根据漏洞严重程度提供适当奖励。
我们坚决反对并保留追究法律责任的权利:利用漏洞从事违法活动、未经授权访问或破坏用户数据、以漏洞为筹码进行敲诈勒索等行为。