安全中心

您的信任，我们的承诺

1. 安全架构

MyWIP 采用纵深防御（Defense in Depth）的安全架构，从物理设施、网络层、应用层到数据层建立多重防护体系。我们的服务部署在符合 ISO 27001 标准的一流云服务商基础设施之上，具备高可用性和高可靠性。我们实施严格的网络隔离策略，生产环境与开发测试环境完全隔离。

2. 数据加密技术

我们对数据进行全生命周期的加密保护，确保您的核心资产不被窃取或篡改：

• 传输加密：全站强制使用 HTTPS/TLS 1.2+ 协议，配备高强度密钥（2048位 RSA 或 256位 ECC），防止数据在传输过程中被监听或劫持。
• 存储加密：您的项目数据、任务详情及个人信息在数据库中均采用 AES-256 工业级加密标准进行静态存储。
• 敏感信息：用户密码使用高强度单向哈希算法（Bcrypt/Argon2）加盐存储，确保即使数据库泄露也无法还原明文密码。
• 密钥管理：密钥与数据分离存储，并定期轮换，确保密钥安全。

3. 访问控制与身份认证

我们实施严格的身份认证和权限管理机制：

• 多因素认证（MFA）：支持为账户开启二次验证（短信验证码或 TOTP），增加账户安全性。
• 细粒度权限：团队协作中支持精细的角色权限设置（所有者、管理员、成员、访客），确保数据仅被授权人员访问。
• 会话管理：实施严格的会话超时机制，并监控异常登录行为。
• 内部管控：MyWIP 内部员工遵循"最小权限原则"，严禁未经授权访问用户数据，所有关键操作均有审计日志。

4. 网络安全防护

我们部署了企业级 Web 应用防火墙（WAF），实时监测并拦截 SQL 注入、XSS 跨站脚本、CSRF 等常见网络攻击。同时配备 DDoS 防护系统，有效抵御大规模流量攻击，保障服务稳定性。我们会定期进行漏洞扫描和渗透测试，及时修复潜在风险。

5. 备份与灾难恢复

我们深知数据的重要性，因此建立了完善的备份机制：

• 自动备份：系统每日自动进行全量数据备份，并实时进行增量备份（Point-in-Time Recovery）。
• 异地容灾：备份数据加密后存储于异地数据中心，防止单点故障导致的数据丢失。
• 定期演练：我们定期进行灾难恢复演练，确保在极端情况下能快速恢复服务和数据。
• 数据持久性：我们的存储系统提供 99.999999999% 的数据持久性设计。

6. 安全开发流程 (SDL)

我们将安全融入到软件开发的生命周期中：

• 安全设计：在需求分析和设计阶段即考虑安全因素，进行威胁建模。
• 代码审计：所有代码在上线前必须经过严格的代码审查和自动化安全扫描。
• 安全培训：定期对开发人员进行安全意识和安全编码培训。

7. 安全漏洞响应

我们欢迎安全研究人员和用户帮助我们提升安全性。如果您发现 MyWIP 存在任何安全漏洞，请通过 security@mywip.cn 提交报告。我们将第一时间响应、评估并修复，并对有效报告者给予感谢。