Pine 安全
数据安全与负责任披露
保护隐私和数据安全是 Pine 的最高优先级之一。我们在每一步都保护你的信息,坚持数据最小化与目的限制,并欢迎研究人员以负责任的方式披露安全漏洞。
SOC2 框架 ISO27001 框架
我们处理和保留哪些数据
与 Pine 的对话记录
我们会保留部分对话历史,例如“帮我取消订阅”,用于改进服务质量和支持问题追溯。我们会移除其中的个人识别信息以保护隐私。
账户信息
包括你的邮箱、偏好设置和时区等必要信息,用于提供个性化服务。
运营数据
用于服务健康监控和性能分析的运行数据,不包含敏感用户内容。
我们如何保护你的数据
传输中
所有与 Pine 的通信都会使用行业标准加密进行保护。
TLS 1.3
存储时
日志和数据库中的数据使用高级加密标准进行保护。
AES-256-GCM
任务处理期间
敏感数据会在隔离且短生命周期的环境中处理,并采用加固保护措施。
仅内存处理
你的敏感数据始终受到保护
对于账户信息、支付数据等敏感信息,我们会尽量隔离在 AI 处理流程之外。此类数据不会暴露给代理,也不会用于模型训练或分析。
漏洞披露计划
报告安全漏洞
我们会在 3 个工作日内确认收件,并尽量在 10 个工作日内给出实质性回复。
如何报告漏洞
如果你认为发现了 Pine 的安全问题,请发送邮件给我们的安全团队,并提供足够的信息,帮助我们复现和验证问题。
请尽量包含
- 问题的清晰描述
- 复现步骤
- 如有,可提供 PoC
- 潜在影响
范围
- Pine Web 应用:19pine.ai 及其子域名
- Pine 移动应用(iOS / Android)
- Pine APIs
- 认证、授权、账户接管以及 PII 暴露类漏洞
不在范围内
- 社会工程、钓鱼或物理攻击
- 拒绝服务攻击
- 我们集成的第三方服务中的漏洞
- 仅限自我触发的 XSS,或必须依赖用户本地操作且无法远程利用的问题
- 仅有扫描器结果但没有可证明影响的发现
- 没有可利用后果的安全响应头缺失
- 缺乏可信风险的内容伪造
- 来自用户上传内容的 AI prompt injection,此类输入按威胁模型视为用户级输入
安全港
如果你在安全研究过程中善意遵守本政策,我们会将你的研究视为已获授权,并会与你合作尽快理解和修复问题。对于符合本政策的研究行为,我们不会建议或主动追究法律责任。
善意研究包括
- 不破坏数据
- 不影响服务可用性
- 除证明漏洞所必需外,不访问额外数据
- 在我们有合理时间修复前,不公开披露
致谢与奖励
Pine 目前没有正式的漏洞赏金计划,也无法保证提供金钱奖励。对于负责任披露且有效、影响较大的问题,我们可能酌情提供以下致谢方式。
- 在本页面公开致谢
- 团队提供 LinkedIn 推荐
- Pine 周边
- 由我们酌情决定是否提供一次性 goodwill payment
安全致谢
感谢以下研究人员以负责任的方式向 Pine 披露安全问题。
当前暂无公开致谢名单。我们会在披露关闭并完成修复后,将研究人员添加到此处。