数据安全说明

一、数据来源与授权边界

我们仅处理用户明确授权的数据来源。未经用户明确授权，我们不会访问已连接的数据存储或第三方账户。用户对其上传或授权的数据保留所有权。

二、传输安全

用户代理与平台服务之间的所有 HTTP 流量均通过 TLS 1.2 或更高版本进行加密传输。生产域名已启用 HSTS，并持续监控证书有效性。

三、静态加密

持久化存储（数据库、对象存储、备份）采用行业标准算法（AES-256 或同等级别）进行服务端加密。密钥材料由基础设施提供商的托管密钥管理服务负责管理，应用层代码不直接处理原始密钥材料。

四、身份认证与访问控制

• 基于角色的访问控制（RBAC）将平台操作权限限制于持有对应角色的用户。
• 身份认证支持账号/密码方式，并可对敏感角色要求多因素认证。
• 会话在一段时间不活动后自动过期；长期会话支持主动吊销。
• 生产系统的运维访问权限仅授予经明确审批的人员，并遵循最小权限原则。

五、租户隔离

• 每个租户的数据在逻辑上相互隔离；跨租户查询被默认阻断，除非资产所有者已将其明确发布至数据市场。
• 敏感度分级（公开 / 内部 / 机密 / 受限）控制跨租户数据暴露范围。内部及更高敏感度的资产须由所有者主动操作并附加行级隔离标签，方可发布。
• 虚拟视图和衍生数据集继承其源表中最高的敏感度级别；无法通过封装敏感资产来绕过隔离机制。
• 行级安全策略在查询层强制执行；基于租户身份的过滤条件在查询到达执行引擎前即被注入。

六、审计日志

• 敏感操作（认证事件、权限变更、数据导出、数据市场发布/订阅操作）均被记录日志。
• 审计日志的保留周期符合监管与业务要求，并与应用数据分开存储。
• 通过追加写入存储与定期完整性审查来降低日志篡改风险。

七、数据保留与删除

用户上传的数据在其关联账户和订阅有效期内予以保留。账户注销或订阅终止后，数据将在 30 天内安排删除，法律另有要求的除外。汇总后的匿名化运营遥测数据可能为保障可靠性与安全性而保留更长时间。

八、安全事件响应

• 若安全事件实质性地影响用户数据或权益，我们承诺在确认事件后不无故拖延地通知受影响用户及相关监管机构，在可行的情况下力争在 72 小时内完成通知。
• 事件复盘包括根因分析，并在相关情况下对代码、配置及运营流程进行改进。
• 用户可通过 Larry@lg-data.cn 举报疑似安全问题。

九、数据主体权利

用户依据《中华人民共和国个人信息保护法》享有查阅、更正、删除、导出或限制处理其个人信息的权利。在法律允许的范围内，我们将在收到请求后 15 个工作日内予以处理；请联系 Larry@lg-data.cn。

十、数据处理分包方

我们仅将第三方基础设施提供商（云计算、托管数据库、邮件投递）用于提供本服务。分包方承担的保密与数据保护义务不低于本说明所设定的标准。如需了解当前分包方名单，请发送邮件至 Larry@lg-data.cn 索取。

十一、合规现状

本平台已就其公开域名完成 ICP 备案。我们正积极构建与主流框架（如 SOC 2、ISO 27001）对齐的运营实践，但目前尚未通过上述框架的第三方认证。本节内容将随认证里程碑的达成持续更新。

十二、安全联系方式

如需举报安全问题，请发送邮件至 Larry@lg-data.cn。我们承诺在 2 个工作日内确认收到。