为安全合规而生的代理网络。

我们的安全理念

安全不是一项功能，是一组持续运营的实践。我们的安全工程师每月写一份内部"安全水位报告"，量化关键控制项：补丁延迟中位数、生产访问拒绝率、员工年度安全培训完成率、上一季度发现的内审问题数与已闭环数等等。这份报告由 CTO 与 CEO 月度审查。

"零信任"是底线，不是宣传词：我们不假设内网安全；每个服务-服务调用都有 mTLS；每次员工生产访问都需要 SSO + 硬件密钥 + 工单审批 + 时限性临时凭证；任何持久凭证都会触发警报。

威胁建模公开化：每个新功能上线前的 Threat Model 文档对全员可见；客户在 NDA 下也可索取自己使用功能相关的版本。

合规框架与状态

加密

• 传输 — TLS 1.3 强制启用；TLS 1.2 仅作为客户兼容回退；TLS 1.0/1.1 完全弃用
• 密码套件 — ChaCha20-Poly1305、AES-256-GCM；按 Mozilla Modern 配置
• 证书透明度 — 所有公网证书发往 CT 日志；wildcard 证书已淘汰
• mTLS — 所有内部服务-服务通信使用基于 SPIFFE 身份的双向 TLS
• 静态加密 — AES-256-GCM；数据库使用 PostgreSQL TDE；对象存储使用 S3 SSE-KMS
• 密钥管理 — AWS KMS（多区域）+ HSM (FIPS 140-2 Level 3)；密钥每 90 天自动轮转；权限最小化到职责绑定
• 敏感字段 — KYC 文档、银行账号采用 AWS KMS Envelope Encryption + 应用层 deterministic encryption

访问控制

• 身份提供方 — Okta SSO（强制）；员工无法直接登录任何生产系统
• 二次验证 — WebAuthn / FIDO2 硬件密钥（YubiKey Bio）强制；TOTP 仅作为备用
• 生产访问 — 通过 IAP 隧道 + Boundary 工单系统；每次会话有时限（默认 4 小时）；命令录屏存档 1 年
• 特权账户 — 4-eye 原则（生产改写需第二人审批）；季度访问审查；离职 4 小时内全部凭证撤销
• SSH — OpenSSH + 短期证书（最长 8 小时）；无静态密钥
• Bastion — 所有生产 SSH 经过 Boundary 跳板，会话录屏

网络与平台安全

安全开发生命周期 (SSDLC)

威胁建模：每个新功能在设计阶段产出 Threat Model 文档，由 Security Architect 审批后才进入实现。

SAST：CodeQL + Semgrep 集成于 CI；高危发现阻塞合并；中危发现需说明合理性后由安全 leads 通过。

DAST：每次主分支部署后对预生产环境跑 OWASP ZAP 全量扫描。

SCA：每周 Snyk 全量扫描；CVE / GHSA 数据库订阅。

红蓝对抗：内部红队季度演练；针对生产 + 关键内部系统；演练报告与改进项归档。

Bug Bounty：通过 HackerOne 公开运营，奖金范围 USD 100–25,000；2024 年累计支出 USD 187,000；72 小时分诊 SLA。

第三方渗透测试：每年 2 次（春秋），由轮换的独立公司执行；最近一次报告（脱敏）可在 NDA 下索取。

事件响应 (IR)

24/7 Security On-call：5 名安全工程师轮值，PagerDuty 触发，10 分钟内首次响应。

响应分级：Sev-0（影响多客户）→ Sev-1（影响单一客户）→ Sev-2（潜在风险）。

客户通报 SLA：Sev-0 1 小时首次通报、4 小时初步分析、72 小时完整复盘公开发布。

监管通报：GDPR Art. 33-34 标准——72 小时内向监管机构通报；过去 4 年里我们只出现过 1 次需要监管通报的事件，详见 /security/incidents/2023-04-19.md。

响应能力训练：每季度全员实施事件演习（chaos engineering 风格）；负责人在 14 天内向董事会复盘。

业务连续性 (BCP) 与灾备 (DR)

RPO（恢复点目标）：交易类数据 ≤ 5 分钟；分析类数据 ≤ 1 小时。

RTO（恢复时间目标）：API 网关 ≤ 15 分钟；Dashboard ≤ 30 分钟；后台批处理 ≤ 4 小时。

多区域热备：欧 (eu-west-1) + 美 (us-east-1) + 亚 (ap-east-1) 三区域 active-active；任意一区下线不影响 SLA。

备份：增量每 5 分钟、全量每 24 小时；3-2-1 策略；季度恢复演练，最近一次成功率 100%、平均 RTO 达成。

人员冗余：核心岗位至少 2 人具备完整恢复能力；on-call 知识库公开。

员工安全

入职：背景调查（雇佣历史、犯罪记录、教育核实）；安全培训 + 测验；签署保密协议与可接受使用政策。

持续：每季度强制安全意识培训（钓鱼模拟 + 内容更新）；年度合规复习；每月安全简讯。

设备：MDM 强制；磁盘加密；端点检测（CrowdStrike）；丢失设备 24 小时内远程擦除。

离职：4 小时内全部凭证撤销；个人设备非用工设备需 48 小时清除工作数据；离职面谈记录在案。

次处理方风险管理

所有次处理方在合作前完成安全评估问卷；每年至少一次重新评估；高风险变更（如其数据驻留地变更）触发重审。

完整次处理方名单见 /security/sub-processors，包括：Stripe（支付）、AWS（基础设施）、Cloudflare（边缘）、Datadog（可观测性）、Sentry（错误）、Sumsub / Onfido（KYC）等。

我们与每个次处理方签署 DPA；客户可索取关键次处理方的最新 SOC 2 / ISO 27001 报告（NDA 下）。

漏洞披露 (Coordinated Disclosure)

我们公开承诺对善意安全研究人员遵循"安全港"原则——只要研究在我们公开 scope 内，未访问其他用户数据、未持续利用、72 小时内告知，我们不追究法律责任。

请将报告发至 compliance@helodata.com（PGP 公钥指纹：F2D1 9C42 6B7A 8E03 1F04 5D6E 8B2C 9F1A 3D45 6789，公钥下载 /security/pgp.txt）。我们承诺 24 小时确认收到、5 个工作日提供分诊结果。

严重程度对应奖金：低 USD 100–500、中 USD 500–2,500、高 USD 2,500–10,000、严重 USD 10,000–25,000。我们公开过去 12 个月的奖金总额（2024：USD 187,000；2025: 实时更新）。

可索取的合规材料

• SOC 2 控制项映射 — 当前框架对齐版本与差距清单（NDA）；首次第三方审计完成后会发布正式报告
• ISO 27001 ISMS 文档 — 当前 ISMS 范围、控制项映射与差距清单（NDA）；认证准备阶段
• DPA + SCC + IDTA — /legal/dpa 直接下载，PDF 模板 + 已签版邮件交付
• Sub-processor list + DPAs — /security/sub-processors
• 网络架构图 — NDA 下交付（脱敏版本）
• 渗透测试报告 — 内部 + 第三方红队报告，最近一次（NDA）
• BCP / DR 计划 — 执行摘要免费 / 完整版 NDA
• Vendor Risk Questionnaire — CSA CAIQ、SIG Lite 已预填模板

联系

安全 / 漏洞 (PGP)

compliance@helodata.com

隐私 / DSAR

privacy@helodata.com

滥用举报

abuse@helodata.com

执法机关协助

le-requests@helodata.com

security.txt

/.well-known/security.txt