隐私政策
您的隐私至关重要。本政策概述 STLUR 如何收集、使用和保护您的数据。
1. 数据收集
我们仅收集必要信息:目标资产的 URL、通过 Stripe 安全处理的账单信息、用于报告的联系邮箱以及安全扫描结果。对于企业版方案,加密的会话数据可能会按第 5 节所述临时存储。
2. 数据使用
您的数据仅用于执行安全审计和交付报告。我们不向第三方出售或共享您的个人数据,但我们信任页面上列出的子处理商除外(Supabase、Cloudflare、Vercel、Google Cloud、Stripe、OpenAI、Resend)。
3. 安全
我们采用行业标准加密和安全措施。所有传输中的数据均受 TLS 1.2 或更高版本保护。静态数据受我们基础设施子处理商提供的 AES-256 加密保护。安全扫描结果存储在启用服务器端加密的 Cloudflare R2 中。
4. 全球合规
我们遵守 GDPR、CCPA 和 APPI 关于数据保护和用户权利的标准。企业客户可通过联系 security@stlur.app 申请数据处理协议(DPA)。
5. 企业版认证扫描——凭据处理
对于企业版认证扫描功能,您的浏览器 STLUR Chrome 扩展程序在将会话凭据(如 Cookie)传输到 STLUR 服务器之前,会在本地使用 AES-GCM 256 位加密对其进行加密。加密数据通过 HKDF(SHA-256)从您的安装令牌派生的密钥进一步保护,因此仅凭 R2 存储泄露无法解密您的凭据。STLUR 仅在扫描执行时解密凭据,且仅用于配置安全扫描器。明文凭据仅在扫描期间存在于内存中,从不写入日志、数据库或持久存储。加密的凭据载荷在扫描完成后 48 小时内或凭据过期时(以先发生者为准)自动删除。您可以随时从账户仪表板删除您存储的凭据。
6. 数据保留
安全扫描报告至少保留 12 个月,以支持您的合规和审计需求。原始扫描数据可保留长达 24 个月。账单信息按适用财务法规要求保留。您可以随时申请删除您的账户和相关数据。
7. 您的权利
根据 GDPR 和 CCPA,您有权访问、更正、删除和导出您的个人数据。要行使这些权利,请联系 privacy@stlur.app。
8. Cookie
我们使用必要的 Cookie 进行身份验证和会话管理。我们不使用用于广告目的的追踪 Cookie。
9. 本政策的变更
我们可能会不时更新本政策。我们将通过邮件或产品内通知向您告知重大变更。
最后更新:2026 年 4 月