安全

MyTokenGate 的安全实践和您的责任。

数据安全

加密

• 传输中：所有 API 通信使用 TLS 1.3 加密
• 静态数据：敏感数据使用 AES-256 加密
• 密钥存储：API 密钥使用 SHA-256 哈希

数据保留

• 请求日志保留 30 天
• 默认不存储提示/响应
• 账单数据按法律要求保留

数据隐私

• 不使用您的数据进行训练
• 不与第三方共享数据
• 符合 GDPR 和 SOC 2 标准

API 密钥安全

最佳实践

1. 永不硬编码密钥在源代码中
2. 使用环境变量存储密钥
3. 定期轮换密钥（建议：每 90 天）
4. 不同环境使用不同密钥
5. 监控密钥使用检测异常

密钥管理

# 正确：环境变量
export MYTOKENGATE_API_KEY="sk-xxx"
 
# 错误：硬编码
const apiKey = "sk-xxx"  # 永远不要这样做！

密钥范围

• 只读：查看账户和使用情况
• 完全访问：所有 API 操作
• 项目专用：限于一个项目

访问控制

认证

• Bearer token 认证
• JWT 会话管理
• 可选 IP 白名单

授权

• 基于角色的访问控制 (RBAC)
• 团队成员权限
• API 密钥限制

合规

认证

• SOC 2 Type II 认证
• GDPR 合规
• CCPA 合规

审计日志

• 所有访问被记录
• 90 天保留期
• 可导出用于合规

您的责任

安全开发

• 验证和清理所有输入
• 实现正确的错误处理
• 所有通信使用 HTTPS

监控

• 监控 API 使用模式
• 设置异常警报
• 定期审查审计日志

事件响应

• 制定密钥撤销计划
• 知道如何联系支持
• 记录安全程序

报告安全问题

如果您发现安全漏洞，请负责任地报告：

• 邮箱：security@mytokengate.com
• 在解决前不要公开披露
• 我们在 24 小时内响应