本页范围
本页说明 Simplify 网站、早期访问计划、Flash Launch 和相关服务的安全原则、当前设计状态和用户责任。
本页用于提高透明度。它不是认证、审计报告、保证、保险单、服务等级承诺、法律建议,也不能替代 服务条款、隐私政策、客户订单、数据处理条款或 Simplify 签署的其他书面协议。
安全原则
Simplify 围绕生产原语设计:密钥处理、访问控制、部署保护、恢复路径、可观测性、客户边界和事件准备。安全控制可能随着平台演进而变化,但运营原则保持一致:生产系统应该让信任可见、可审查、可恢复。
最小化敏感数据
在产品需要和法律义务约束下,仅收集和保留提供、保护、支持和改进服务所需的信息。
约束访问
在平台成熟度允许的情况下,使用最小权限访问、角色边界、管理控制和可审查的运营访问。
保护配置
将环境变量、凭据、令牌和密钥视为敏感配置,不应出现在公开页面、日志或客户端代码中。
为恢复而设计
维护清晰的发布状态、修订历史、回滚路径和运营可见性,以便调查并撤销生产变更。
共同责任
安全是 Simplify 与每位客户或用户共同承担的责任。Simplify 保护其控制的平台界面。客户仍需对其带入平台的应用、代码、内容、用户、集成、凭据和法律合规负责。
安全控制
访问控制
对产品界面、运营数据和管理能力的访问应遵循最小权限原则。管理访问应限制在有合法运营需要的授权人员范围内,且客户权限应随着平台演进而可审查。
密钥和敏感配置
平台设计将敏感配置视为一等对象。密钥应按环境限定范围,在存储和传输中受到保护,并仅暴露给需要它们的运行时界面。公开页面和产品界面不应显示密钥值。
部署保护
生产系统需要清晰的发布状态、修订历史、回滚路径和变更可见性。Flash Launch 围绕让部署行为可观测、可恢复而塑造,尤其适用于 AI 生成代码从原型走向公开软件的过程。
租户和环境边界
客户环境应通过明确的平台边界分隔。我们设计基础设施,使客户工作负载、配置、日志和运营数据拥有清晰的所有权、隔离预期和访问路径。
可观测性和事件准备
运营信任依赖可见性。当生产行为变化时,构建状态、运行时健康、日志、部署事件和管理活动应支持调查、遏制、恢复和客户沟通。
第三方提供商
Simplify 可能使用第三方基础设施、托管、通信、分析、安全、支持或表单提交提供商来运营网站和服务。我们会根据运营需要、安全状态和处理信息类型评估提供商,但第三方服务仍受其自身条款、政策和控制约束。
客户和用户责任
用户负责遵守适用法律、服务条款、产品文档以及与 Simplify 的任何书面协议。这包括以下责任:
- 在部署前后审查、测试、保护并维护 AI 生成或用户提供的代码。
- 确认客户内容、应用数据、提示词、工作流、依赖和集成可以依法通过服务处理。
- 管理账户凭据、工作区成员、认证因素、访问级别、API 令牌和密钥。
- 为受监管、敏感、机密、出口管制或高风险数据使用适当保障措施。
- 为与 Simplify 一起使用的代码、内容、数据和第三方服务取得所需权利、许可、同意、通知和权限。
- 监控已部署应用、响应最终用户问题,并维护任何客户控制的备份或恢复计划。
禁止的安全活动
除非 负责任披露 流程或单独书面协议明确允许,用户不得以造成法律、安全、隐私、可靠性或运营风险的方式测试、扫描、访问或干扰 Simplify 系统或第三方系统。禁止活动包括:
- 访问、修改、窃取、破坏或披露不属于你的数据。
- 试图未经授权访问账户、工作区、环境、网络、管理界面或底层基础设施。
- 绕过认证、授权、速率限制、租户边界、部署控制、计费控制或安全机制。
- 进行拒绝服务测试、破坏性测试、自动化高频扫描、恶意软件、凭据攻击、垃圾信息、网络钓鱼或社会工程。
- 使用服务托管、部署、分发或促成非法内容、恶意软件、漏洞利用工具包、滥用基础设施,或实质性损害 Simplify、客户、用户或第三方的活动。
- 在 Simplify 有合理机会调查和修复前公开披露潜在漏洞。
事件处理
如果 Simplify 识别出影响 Simplify 控制系统的疑似安全事件,我们可能进行调查、保留相关记录、遏制受影响系统、轮换凭据、暂停或限制受影响访问,在法律或合同要求时通知受影响方,并在适当情况下与服务提供商、执法机构、监管机构或客户协调。
并非每个 bug、故障、错误配置、滥用报告或疑似漏洞都是安全事件或应报告的数据泄露。Simplify 会根据事实、适用法律、客户协议、受影响系统、数据敏感性和潜在影响决定响应步骤。
漏洞报告
如果你认为发现了 Simplify、Flash Launch 或相关公开界面的漏洞,请发送邮件至 legal@simplify-net.com,并提供足够细节以供调查。报告应使用你控制的账户、应用和系统,并避免侵犯隐私、降低服务质量、破坏数据或公开披露。
请参阅 负责任披露,了解报告指南、安全测试期望、排除范围和法律边界。除非以书面形式明确公告,Simplify 不运营公开漏洞赏金计划。
合规和法律请求
除非由 Simplify 明确发布或包含在签署协议中,Simplify 不声称拥有安全认证、合规审计、客户标志、监管批准或服务等级。安全问卷、供应商评估、数据处理条款和合规文档可以直接与合格设计伙伴或客户处理。
对用户或客户信息的法律请求应发送至 legal@simplify-net.com。Simplify 可能响应有效法律程序,在法律要求时保留或披露信息,并在适当情况下质疑或缩小请求范围。
不作安全保证
没有任何系统可以保证安全、无错误、不中断或免于滥用。Simplify 的安全状态是一项持续计划,并不承诺漏洞、事件、数据丢失、未经授权访问或服务中断永远不会发生。免责声明、责任限制、赔偿、服务可用性和客户义务受服务条款及任何适用书面协议约束。
联系
如有安全问题、供应商审查、潜在漏洞、隐私请求、条款或法律通知,请联系 legal@simplify-net.com。