SECURITY · TRUST · 安全与信任
生于合规,受审为默认。
inscinstech.ai 把生物制药合规作为首要工程约束来构建 —— 不是事后加个 checkbox。
01 — COMPLIANCE
合规矩阵。
已认证 · 进行中 · 已规划 —— 状态完全透明。
| 认证 | 状态 | 文件 |
|---|---|---|
| PIPL(中国) | 已合规 | 下载隐私白皮书 → |
| GDPR(欧盟) | 已合规 | 下载 DPA 模板 → |
| CCPA(加州) | 已合规 | 下载 CA 隐私声明 → |
| 21 CFR Part 11(美国) | Ready · Q3 2026 | 查看架构概览 → |
| 等保 2.0 三级(中国) | 进行中 | 预计 M5 |
| SOC 2 Type II | 进行中 | 预计 M8 · 查询进度 → |
| ISO 27001 | 已规划 | 预计 M12 |
| HIPAA | 路线图 | Enterprise tier 可定制 |
没拿到的认证一律标注"in progress" / "planned"。我们不虚标。
02 — DATA HANDLING
客户数据处理原则。
5 条原则覆盖隔离 · 训练 · 加密 · 驻留 · 审计。
01
客户数据隔离
- 按租户 K8s namespace
- Postgres 行级安全
- Milvus namespace 隔离
02
不用客户数据训练模型
- 合同明文保证
- Enterprise 客户可选 opt-in(换折扣)
03
加密
- 静态:AES-256
- 传输:TLS 1.3
- 按租户 KMS 密钥(Enterprise)
04
数据驻留
- CN 数据留在中国(阿里云上海)
- EU 数据留在欧盟(AWS Frankfurt)
- APAC 数据留在亚太(AWS Tokyo)
- 跨区域复制按 workspace opt-in
05
审计与保留
- 不可篡改审计日志(Temporal 支撑)
- Enterprise 7 年保留(GxP 就绪)
- 客户可随时导出日志
04 — INCIDENT RESPONSE
事件响应。
- 24/7 监控(Sentry + Grafana + Loki)
- SLA:1 小时确认 · 4 小时缓解 · 24 小时事后复盘
- 公开状态页:status.inscinstech.ai
- 历史事件与事后复盘公开发布
05 — SUB-PROCESSORS
次级处理方(GDPR 必披露)。
我们使用的所有第三方服务,按 GDPR 要求公开列出,所有都签有 DPA。
| 服务商 | 用途 | 区域 | DPA |
|---|---|---|---|
| AWS | 托管(全球) | Multi | Available |
| 阿里云 | 托管(CN) | 上海 | Available |
| Anthropic | LLM 推理 | Multi | Available |
| DeepSeek | LLM 推理 | CN / Global | Available |
| Cloudflare | DNS / CDN / WAF | Multi | Available |
| Stripe | 支付(全球) | Multi | Available |
| Sentry | 错误监控 | EU | Available |
Anthropic 与 DeepSeek 仅作为 LLM 后端 —— 客户数据按 zero-retention 模式调用,不进入训练。
06 — RESPONSIBLE DISCLOSURE
Bug bounty · 负责任披露。
通过 security@inscinstech.ai 提交漏洞披露。敏感报告可索取 PGP key。奖励 $100–$5,000,按严重程度划分。
security@inscinstech.ai