Bảo mật — ScamLens

Báo cáo lỗ hổng

Gửi email tới security@scamlens.org kèm mô tả, các bước tái tạo và tác động. Chúng tôi xác nhận trong vòng 48 giờ và hướng tới khắc phục các vấn đề nghiêm trọng trong 7 ngày.

Xem chính sách công bố lỗ hổng của chúng tôi để biết phạm vi, điều khoản vùng an toàn và ghi nhận.

Tóm tắt máy đọc được: /.well-known/security.txt

Cách chúng tôi bảo vệ dữ liệu

• Bắt buộc TLS 1.2+ ở mọi nơi (HSTS preload, 1 năm).
• Cloudflare Zero Trust + cô lập D1 theo từng namespace.
• Khóa API được mã hóa khi lưu trữ (AES-256-GCM) và phạm vi theo từng dự án.
• Nội dung do người dùng gửi không được chia sẻ với bên thứ ba ngoài các tổng hợp threat intelligence đã được tài liệu hóa.
• IAM đặc quyền tối thiểu cho mọi tích hợp đám mây; xoay vòng secret mỗi 90 ngày.

Phản hồi sự cố

Các sự cố đang diễn ra và post-mortem lịch sử sẽ được đăng tại status.scamlens.org (đang triển khai). Các sự cố nghiêm trọng được công bố cho người dùng bị ảnh hưởng trong vòng 72 giờ, phù hợp với GDPR Article 33.

Tuân thủ

• GDPR / UK GDPR: Cơ sở pháp lý đã được tài liệu hóa; Thỏa thuận Xử lý Dữ liệu (DPA) cung cấp theo yêu cầu.
• CCPA / CPRA: Tôn trọng Do-Not-Sell; xử lý DSAR trong vòng 45 ngày.
• SOC 2 Type II: Lịch kiểm toán dự kiến Q3 2026.
• PCI: thanh toán do Stripe xử lý; ScamLens không lưu trữ dữ liệu thẻ.

Lời cảm ơn

Hall of fame của chúng tôi dành cho các nhà nghiên cứu đã giúp tăng cường ScamLens sẽ được liệt kê tại đây khi chúng tôi xác nhận các báo cáo hợp lệ.