安全政策
最后更新日期:2026年3月28日 生效日期:2026年3月28日
KnowMind 面向企业提供知识治理、内容管理、智能分析、权限与审计及运营洞察等能力(以下简称「本服务」)。我们重视客户数据与业务安全,并持续建设防护措施。本政策旨在向用户与公众说明我们在安全方面的目标、控制方向与协作方式。具体技术实现可能随架构迭代而演进,并以我们向您提供的合同、安全白皮书、合规材料或专项说明为准(如有)。
本政策由【运营主体名称】(以下简称「我们」)发布并可不时更新。
一、安全目标
我们的安全建设聚焦于:
- 保密性:依据权限与策略控制数据访问,降低未授权披露风险;
- 完整性:降低数据被未授权篡改、破坏或丢失的风险;
- 可用性:提升服务韧性与容灾能力,降低大规模不可用风险;
- 可追溯性:在合规前提下保留必要操作与审计信息,支撑责任归属与事件响应。
上述目标与本服务在产品层面强调的治理、审计、版本与溯源、权限与脱敏等能力一致。
二、组织与治理
2.1 安全责任
我们建立覆盖研发、运维、客服与合规的安全责任分工,对与安全相关的重要变更、发布与事件响应实行管理流程化。
2.2 供应商与第三方
我们可能使用云服务、短信、邮件、监测与其他技术服务。我们通过合同与尽调要求供应商落实与其角色相匹配的安全义务,并持续评估关键供应商风险。
2.3 人员与培训
我们对可能接触客户数据的人员实施权限最小化、背景审查(如适用)与保密约束,并开展安全意识与技能培训。
三、访问控制与身份认证
- 我们为员工与系统运维访问客户环境建立身份鉴别、多因素认证(如适用)与权限分级机制。
- 对产品侧,我们支持企业客户通过角色与资源级权限管理成员访问范围;与本服务蓝图一致的治理方向包括知识域维度、原子级权限与脱敏发布等能力(具体以当前产品版本为准)。
- 令牌、密码与密钥的生成、存储与轮换遵循业界常见实践,并会随版本升级持续加固。
四、数据安全
4.1 传输与存储
我们通常在网络传输层面使用 HTTPS/TLS 等加密协议(以实际部署为准)。在存储侧,对敏感字段与密钥材料采用适当的加密、分段或托管于密钥管理服务等措施(具体材料级别与实现以实例为准)。
4.2 数据隔离与备份
我们基于多租户架构实施逻辑隔离(并在基础设施层面采取相应隔离策略),并按策略执行备份与恢复演练,以降低数据丢失风险。备份保留周期以满足服务等级与合规要求为目标。
4.3 数据删除
在账户注销、合同终止或保留期限届满后,我们将在合理期限内依据《隐私政策》与合同约定删除或匿名化处理数据(法律法规要求留存的除外)。
五、研发安全与变更管理
- 我们采用代码评审、依赖治理、安全测试(如适用)与发布管控以降低缺陷与安全漏洞进入生产环境的风险。
- 对涉及安全的配置变更与紧急修复,我们建立变更记录与回滚预案。
六、日志、监控与审计
- 我们采集必要的运行日志、安全日志与审计事件,用于故障排查、性能优化、欺诈检测与安全分析。
- 与本产品方向一致,客户侧常见能力包括操作审计、知识变更追溯与回答依据溯源等(以产品功能说明为准)。我们不会在未告知及无合法依据的情况下滥用审计数据。
七、漏洞管理与安全更新
7.1 漏洞处置
我们对已知漏洞进行评估、修复或缓解,并按严重性进行优先级排序。对可能影响客户数据的漏洞,我们会在可行范围内尽快修复并评估是否需要对外通告。
7.2 安全更新
我们建议客户及时使用我们发布的安全补丁与客户端更新,以降低已知风险暴露面。
八、事件响应
当我们发现或获知可能影响本服务或客户数据的安全事件时,我们将启动事件响应流程,包括遏制、根除、恢复与复盘,并在法律法规与合同要求的范围内向受影响客户通报。
客户如发现与本服务相关的安全可疑行为,请立即通过本政策末尾渠道联系我们,并提供尽可能详细的信息以便处置。
九、客户与合作伙伴的安全责任(共担模型)
在使用本服务时,您与您的组织应承担以下合理的安全责任,以确保整体风险可控:
- 账户与凭证:妥善保管管理员与成员账户,启用企业可用的最强认证方式;及时撤销离职人员权限。
- 配置与策略:正确配置权限、知识可见性、审批与生命周期规则;对面向外部分发的内容执行脱敏与合规审核。
- 内容与合法性:确保上传内容合法且有权处理;对包含个人信息或重要数据的场景依法开展评估与告知。
- 网络与环境:使用安全的终端与网络环境访问本服务,防范钓鱼与恶意软件。
- 集成与 API:若您通过 API 与第三方系统集成,您应确保该等集成的认证、节流与错误处理安全可靠。
十、合规与认证(声明性描述)
我们可能依据业务需要开展或取得与等级保护、ISO 27001、SOC 2等相关的建设或认证(以我们实际公示材料为准)。本政策不构成任何认证或审计结论的保证。
十一、政策更新
我们可能不时更新本政策并公布更新日期。重大变更将通过官网公告或合同约定方式通知企业客户。