安全
对于一款管理您额度并路由您提示词的产品而言,安全是根基。以下说明我们如何保护您, 以及当您发现问题时如何联系我们。
付款
所有付款均由 Stripe 处理。我们绝不查看或存储您的完整卡号 — 卡片数据直接进入 Stripe 的 PCI-DSS Level 1 基础设施。在为任何账户入账之前,支付 webhook 都会基于原始请求体进行签名验证。
账户与身份验证
- 密码使用 bcrypt 进行哈希处理;我们绝不以明文存储密码。
- 您可以使用 Google、一次性邮件链接或密码登录。
- 注册环节通过服务端风险评分来防止滥用。
数据保护
数据在传输中(TLS)和静态存储时均经过加密。工作区对话仅其所属账户可访问。 模型供应商的 API 密钥与支付密钥仅存在于服务端环境变量中 — 绝不发送到浏览器,也绝不出现在日志或错误信息中。我们如何处理个人数据,详见我们的 隐私政策。
基础设施
我们运行于 Vercel(应用)和 Neon(PostgreSQL)之上,两者均提供托管的、受访问控制的基础设施,并配有自动备份。每一次涉及额度变更的操作都在数据库事务中运行,因此额度绝不会被重复扣减或因竞态而丢失。
负责任的漏洞披露
如果您发现安全漏洞,请在公开披露之前先私下报告至 security@token-wallet.ai。请提供足以复现该问题的细节。我们将确认收到您的报告、及时调查,并随时向您通报进展。 对于遵循本政策、并避免侵犯隐私、破坏数据及扰乱服务的善意研究者,我们不会采取法律行动。