← citebeam
$ citebeam/unilever/security.md

数据安全与合规承诺

本页是 citebeam (cmo-brain) 对联合利华客户数据处理的书面承诺。 合同 MSA 含约束性条款;本页是日常可查的信任信号。 最后更新:2026-04-30 · 适用所有 cmo-brain 商业版本(pilot / 直签 / 企业版)

🚫1. 数据不训练承诺

  • ·客户提供的数据(包括但不限于:品牌列表、监测 prompt、内部 BHT 上传、 chat 对话、KOL 投放录入)绝不用于训练任何 第三方 LLM(含 DeepSeek / GLM / MiniMax / Kimi / 豆包 / 元宝 等)。
  • ·所有调用第三方 LLM API 时强制带 opt_out_of_training 标记 (针对 OpenAI 兼容 API · 含国内厂商对应字段)。
  • ·客户内部 PDF / BHT 文件上传走 本地解析 + LLM 抽取结果存库, 原始文件不长期持有 · 90 天自动删除。

🇨🇳2. 数据存储位置(数据不出境)

  • ·客户数据库(SQLite/PostgreSQL)部署在 阿里云华东 1(杭州), 所有 PII / 客户内部数据均存于中国境内。
  • ·backend 计算节点同区,确保所有数据流转不跨境。
  • ·例外说明:调用国内 LLM API(DeepSeek / 智谱 / MiniMax / Moonshot / 豆包等) 数据流向 LLM 厂商在国内的 endpoint,符合《个人信息保护法》要求。不调用任何境外 LLM(如 OpenAI / Anthropic)做客户业务计算。

🔐3. 访问控制与审计

  • ·客户后台账号登录走 SSO / 公司域名 OAuth(pilot 阶段以 magic link 邮箱验证); 密码不存明文。
  • ·每条管理员操作(修改品牌列表 / 导出 PPT / 上传 PDF)均落 audit log, 客户可随时申请审计报告。
  • ·内部员工查看客户数据需双人审核 + 工单留痕。

🛡4. 数据加密

  • ·传输层全 TLS 1.3(CF SSL · 自动续证)。
  • ·数据库静态加密(AES-256 · 阿里云 RDS 加密磁盘)。
  • ·API token / 第三方 LLM key 仅存于 .env(chmod 600 + gitignored)+ CF Pages Secrets · 不入代码仓。

🗑5. 数据归还与删除

  • ·合同终止后 30 天内,客户可一键导出全部数据(CSV/JSON/PPT 格式)。
  • ·导出后 60 天内永久删除客户数据 + 数据库快照 + 备份磁带; 删除证明书面提供。
  • ·chat 对话归档默认保留 12 个月,客户可调整为 1/3/6/12 个月或永久删除。

🚪6. 厂商连续性 / 退出条款

  • ·客户数据 schema 完全开源(见 cmo-brain/backend/app/storage/models.py), 客户技术团队可自行迁出。
  • ·月付订阅可随时退订,30 天内无理由退款; 年付直签合同含 90 天 SLA 不达标退款条款。
  • ·如 cmo-brain 业务终止,承诺至少 90 天前通知 + 协助客户迁移到自托管或他厂。

📝7. 待补全(透明声明)

  • ·SOC 2 Type II 审计:未来 12 个月内启动(当前规模未到强制门槛)。
  • ·ISO 27001 认证:未来 18 个月内启动。
  • ·合同 SCC(标准合同条款)模板:法律团队定稿后挂在本页 · 当前可邮件索取。

有任何合规问题、需要 SCC / DPA 模板、要求审计报告 → 联系 [email protected] [email protected], 24h 内回复。

← 回工作台首页