安全与数据处理

映赛智能构建的工业 AI 产品运行在客户产线之上或靠近产线的位置。这一背景决定了我们所有的安全决策：客户图像与运营数据必须受到保护、数据主权必须得到尊重、即使与外部服务的连接中断产线也必须继续运转。本地化与混合部署是默认设计目标，而非事后补充。

我们偏好透明的表达而非营销话术。已经落地的控制措施我们明确说"已落地"；正在推进的认证我们明确说"进行中"并解释其含义。在没有真实证书的情况下，我们绝不使用"已认证"这一表述。

对于本地化部署，客户图像、检测结果与运营日志保留在客户网络内。推理链路不依赖到映赛智能基础设施的出站连接即可做出实时决策。软件与模型更新通过受控通道交付，客户可审查并自主安排升级时间窗口。

对于混合或云端辅助部署，我们会明确记录哪些数据流离开客户边界、为什么离开以及基于何种法律依据。客户可以选择完全气隙模式，在该模式下任何运营数据都不会离开客户网络。

传输中加密。产品组件之间的所有网络通信均采用 TLS 1.2 及以上版本加密，使用现代加密套件。在客户环境支持的前提下，内部服务之间采用双向 TLS。

静态加密。映赛智能管理的基础设施上存储的检测记录、模型资产与审计日志使用 AES-256 加密。在客户管理的基础设施上，我们建议并协助使用客户自有密钥管理方案配置等效的静态加密。

密钥与机密管理。密钥与机密通过平台原生机密库管理（例如客户 KMS 或 HSM，如可用）。我们避免使用长期静态凭证，并按既定周期轮换密钥。

产品界面全面强制执行基于角色的访问控制（RBAC）。角色遵循最小权限原则：操作员仅能看到本工位所需的数据与操作；工程师可访问配置与日志；管理员负责用户与策略管理。

与客户身份提供商的单点登录（SSO）集成（SAML 与 OIDC）已在路线图中，并可根据企业客户需求提供。在客户集成未到位之前，我们支持强密码，并建议在客户身份层启用多因素认证。

映赛智能人员对客户环境的访问严格限定在具有明确知情需要的工程与支持人员，需客户明确授权并在审计日志中留痕。

产品对身份认证事件、配置变更、模型部署与特权操作输出结构化审计日志。日志采用防篡改设计 —— 每条记录以链式方式关联，使事后修改可被检测到 —— 留存期可根据客户合规要求灵活配置。

日志可按标准格式转发至客户的 SIEM 或日志聚合系统，与现有监控与告警工作流集成。

我们维护一套覆盖检测、遏制、消除、恢复与事后复盘的内部事件响应流程。涉及客户环境的疑似安全事件会升级到具名值班工程师与事件指挥官。

通知承诺。在发生影响客户数据或客户运营的已确认安全事件时，我方承诺在发现后及时通知受影响的客户，最迟不晚于 72 小时 —— 该承诺与 GDPR 与 PIPL 的监管标准保持一致。通知将包含我方已知信息、尚未明确的信息、已采取的措施与后续步骤。

外部研究人员的协同漏洞披露，请参阅下方"漏洞报告"一节。

最安全的数据是从未被采集的数据。我们的行为合规产品支持"结构化输出模式"，系统仅输出事件与指标（时间戳、步骤标签、序列合规标记），不存储也不传输生成这些事件的原始视频帧。该模式适用于对持续视频采集敏感的工作场所。

我们的视觉检测产品支持可配置的图像留存策略，包括"仅保留不合格图"的模式 —— 在做出 OK/NG 判定后立即丢弃合格图。