安全 — ScamLens

报告漏洞

请发送邮件至 security@scamlens.org，并附上漏洞描述、复现步骤和影响。我们将在 48 小时内确认收到，并争取在 7 天内修复严重问题。

请参阅我们的 漏洞披露政策，了解适用范围、安全港条款和致谢规则。

机器可读摘要：/.well-known/security.txt

我们如何保护数据

• 全站强制使用 TLS 1.2+（HSTS preload，1 年）。
• Cloudflare Zero Trust + 每个命名空间独立的 D1 隔离。
• API 密钥静态加密（AES-256-GCM），按项目隔离作用域。
• 除已记录的威胁情报聚合外，不会向任何第三方共享用户提交的内容。
• 所有云集成均采用最小权限 IAM；密钥每 90 天轮换一次。

事件响应

正在进行的事件和历史事后复盘将发布在 status.scamlens.org（即将上线）。重大事件将在 72 小时内向受影响用户披露，符合 GDPR Article 33 的要求。

合规

• GDPR / UK GDPR：合法依据已记录；数据处理协议（DPA）可应要求提供。
• CCPA / CPRA：尊重 Do-Not-Sell；数据主体请求（DSAR）在 45 天内处理完成。
• SOC 2 Type II：审计计划于 2026 Q3 启动。
• PCI：支付由 Stripe 处理；ScamLens 不存储任何银行卡数据。

致谢

随着我们确认有效报告，本页将列出帮助加固 ScamLens 的研究者名人堂。