安全保障

EchoWave 安全保障

Q: 我可以删除我的数据吗？

可以——而且完全自助。您可以随时在编辑器中删除项目和媒体文件，也可以在应用的 账户页面 删除整个账户及其所有个人数据，无需提交支持工单。如需 GDPR 或 CCPA 数据导出请求，也可发送邮件至 hello@echowave.io。

您的视频、音频和个人数据在传输过程中经过加密，托管于通过认证的云基础设施，并依照 GDPR 和 CCPA 进行管理。以下是我们保护您数据安全的具体方式。

传输过程中的 TLS 加密
密码使用 scrypt 哈希处理
双重身份验证
符合 GDPR 和 CCPA
负责任的漏洞披露政策

可信基础设施

构建于您已信赖的平台之上

我们不自行发明关键安全机制。支付、身份认证、托管和存储均运行在经独立审计的平台上，这些平台保护着全球数百万家企业的安全。

Stripe

支付处理

所有支付均由 Stripe 处理，Stripe 是 PCI DSS 一级认证服务商——这是支付安全的最高认证级别。您的银行卡信息直接发送至 Stripe，从不经过 EchoWave 的服务器。

PCI DSS 一级

Google Cloud

应用程序与数据库托管

我们的应用程序和数据库运行在 Google Cloud 上，数据在静态状态下默认加密，基础设施已通过 ISO 27001 和 SOC 2 等标准的独立认证。

ISO 27001 · SOC 2 基础设施

Firebase Authentication

登录与身份认证

账户安全由 Firebase Authentication（Google 的身份认证平台）保障。密码使用强化的 scrypt 算法进行哈希处理，从不以明文存储，并支持双重身份验证。

Google 身份认证平台

Cloudflare

边缘网络与 DDoS 防护

访问 echowave.io 的流量通过 Cloudflare 的全球边缘网络，为每个请求提供 TLS 加密、Web 应用防火墙以及全天候 DDoS 防护。

全球边缘安全

Backblaze B2

媒体存储

您上传的媒体文件存储在 Backblaze B2 云存储中，具有 99.999999999%（十一个九）的数据耐久性，确保您的源文件安全可恢复。

十一个九的耐久性

所示认证归属于各命名服务商，描述的是 EchoWave 所构建的平台。

我们的实践

我们如何保护您的账户与内容

传输加密

您的设备与我们服务器之间的每一个连接均通过 TLS 加密，确保您的项目和媒体文件在上传和下载过程中始终受到保护。

账户安全

所有账户均支持双重身份验证，团队用户可按需启用单点登录（SSO）。密码仅以 scrypt 哈希形式存储。

最小权限访问

生产数据的访问权限按角色严格划分——产品中设有管理员、编辑者和查看者角色，内部员工访问亦受严格限制，仅授权人员可访问。

监控与审计

我们对部署环境、依赖项和二进制文件定期进行安全审计和自动扫描，一旦发现新漏洞即立即发出警报。

事故响应

我们持续监控可疑活动，并维护经过测试的事故响应和数据恢复预案。如果发生安全事件影响到您，我们将及时通知您和相关主管机构。

持续更新与培训

我们定期对软件和基础设施进行补丁更新，并为每位团队成员提供针对当前威胁和最佳实践的持续安全培训。

合规设计

隐私法规不是事后补救——访问、导出和删除您的数据均可在应用的账户页面自助完成。

GDPR

我们按照欧盟《通用数据保护条例》处理个人数据。您可以随时在应用的账户页面自助导出或删除您的数据。

CCPA

我们依据《加州消费者隐私法》保障加州居民的隐私权利。

security.txt

我们发布经签名的符合 RFC 9116 的 security.txt 文件，并附有公开 PGP 密钥，方便安全研究人员随时与我们联系。

阅读我们的隐私政策服务条款

负责任的漏洞披露

发现漏洞？请告知我们。

我们欢迎安全研究人员提交报告。我们的 security.txt 中包含用于加密报告的 PGP 密钥，经核实的报告者有资格获得名人堂表彰。

EchoWave 由 Lemon Vault LLC 运营，在美国注册。我们致力于在 24 个工作小时内回复安全报告。

报告漏洞查看 security.txt

EchoWave 安全常见问题

使用 EchoWave.io 时，我的数据如何受到保护？

您的数据在传输过程中通过 TLS 加密，我们的托管服务商也会对静态存储数据进行加密。访问权限按角色划分，我们会对部署环境和依赖项进行定期安全审计和自动漏洞扫描。您始终掌握控制权：管理和删除数据均可在账户页面自助完成。

我的数据存储在哪里？

EchoWave 运行在 Google Cloud Platform 上，上传的媒体文件存储在 Backblaze B2 云存储中。两个平台均对静态数据进行加密，并运营经独立审计认证的数据中心。

我的支付信息安全吗？

是的。所有支付均由 Stripe 处理，Stripe 是 PCI DSS 一级认证支付服务商——这是支付安全的最高认证级别。您的银行卡信息直接发送至 Stripe，从不经过或存储在 EchoWave 的服务器上。

如何提升我的 EchoWave.io 账户安全性？

请启用双重身份验证（2FA），使用密码管理器生成强而唯一的密码，并确保与您 EchoWave 账户绑定的电子邮件账户的安全。

我可以删除我的数据吗？

可以——而且完全自助。您可以随时在编辑器中删除项目和媒体文件，也可以在应用的账户页面删除整个账户及其所有个人数据，无需提交支持工单。如需 GDPR 或 CCPA 数据导出请求，也可发送邮件至 hello@echowave.io。

如何报告安全漏洞或问题？

请查看我们的 security.txt 文件，其中包含我们的联系地址和用于加密报告的 PGP 密钥。我们的团队会及时审核每一份报告，经核实的报告者有资格获得名人堂表彰。

如果我怀疑账户存在安全问题，应该怎么办？

请立即通过 hello@echowave.io 联系我们的支持团队。我们将进行调查、保护您的账户，并引导您完成所需的每一步操作——我们致力于在 24 个工作小时内回复。