安全内建
安全贯穿发现、架构、实现、部署和运营全过程。相比非正式流程,我们更偏好简单、可审计的设计、最小权限访问、安全默认配置和明确控制。
访问控制
- 访问仅限授权人员,并按业务需要限定范围。
- 在可行情况下,管理访问与普通用户流程分离。
- 密钥和凭据不得进入源代码或公开制品。
- 凭据轮换与撤销是运营卫生的一部分。
数据处理
我们将客户、潜在客户和运营数据视为机密。特定项目的数据处理、保留、驻留地和保密条款由相关合作协议约定。
基础设施与交付
- 生产变更通过受控流程进行审查、测试和部署。
- 云服务配置会关注身份、网络暴露、日志记录和恢复能力。
- 托管系统会明确监控与事件响应预期。
- 依赖项和第三方服务会从运营与安全风险角度进行评估。
AI 系统
对于 AI 和智能体系统,我们会在不可信输入、模型输出、工具、密钥和运营控制面之间设计边界。外部内容一律视为不可信,未经适当验证不得驱动特权操作。
负责任披露
如果您认为在 moridna.com 或 MORIDNA 运营的系统中发现安全问题,请通过 info@moridna.com 联系我们,并提供足够细节以便复现和评估。请勿访问、修改、删除或披露不属于您的数据。
不构成认证声明
本页面说明 MORIDNA 的安全原则。除非在已签署协议或官方文件中另有说明,本页面不代表任何特定认证、审计结果或合规状态声明。