安全与合规
最后更新:
运营商在 nuke.ai 上调动真金白银。平台的安全姿态,是我们承载的每一个品牌背后的承重保证。本页记录我们运行的控制、对自己设定的标准,以及出问题时的响应流程。这页刻意写得具体——那些写得含糊的安全页面,恰恰是缺乏真实控制的厂商的特征。
1. 数据驻留
运营商和玩家数据按品牌的牌照管辖区域存储。欧盟品牌存于欧盟区;拉美品牌存于北美南区;亚洲品牌存于亚太区。跨区复制需主动启用,永远不是默认。数据库备份继承相同的区域约束;跨区灾备副本以区域绑定的 KMS 密钥静态加密。
2. 加密
所有公网端点启用 TLS 1.3 与 HSTS preload;仅使用具备完美前向保密(PFS)的加密套件。静态数据采用 AES-256-GCM 信封加密——支付工具与 KYC 记录使用列级密钥,其余使用 schema 级密钥。密钥每 90 天自动轮换;事件响应时人工轮换距离一次 API 调用。
3. 访问控制
运营商侧的控制台访问要求 SSO(Google Workspace、Okta、Azure AD)并强制 MFA。权限基于 RBAC,七个默认角色加自定义角色构建器。每一项管理动作——配置变更、出款、KYC 覆写、品牌发布——都会写入不可篡改的审计日志,运营商管理员与 nuke.ai 事件分诊支持均可查看。
4. 渗透测试
外部渗透测试由独立的 CREST 认证机构按季度执行。发现登记于内部 CVE 注册库;关键/高危发现在 SLA 内(分别为 24 小时 / 7 天)修复,并体现在工程变更日志中。带删节版摘要在 NDA 下提供给运营商安全团队。
5. 认证
ISO 27001 在路线图上。PCI-DSS 范围限于令牌化网关——运营商持卡人数据不经过 nuke.ai 应用服务器。合规报告在 NDA 下提供。
6. 漏洞披露
安全研究人员可将发现披露至 [email protected]。我们承诺在 72 小时内确认受理、14 天内反馈修复状态,并在公开安全变更日志中向外部研究人员致谢(自愿署名)。
7. 事件响应
Sev-1 事件(影响运营商的中断、数据暴露)在 15 分钟内确认受理,状态页每 30 分钟更新直至解决,5 个工作日内发布公开事后复盘。Sev-2 事件(性能下降、功能部分故障)在 1 小时内确认受理。当前平台范围状态发布于 首页状态条,并随每次发布更新。
8. 联系
安全咨询: [email protected].
通用合规: [email protected].