全球上線 - 2026.06.07

安全政策

Documents Dock 全球服務的安全防護態勢。

生效日期:2026-06-07

01

工作區隔離

  • 出貨資料以組織為範圍劃分,並透過應用程式授權與 Supabase 資料列層級安全性(RLS)政策加以保護。
  • 工作區成員僅應被指派其出貨文件工作所需的角色。
  • 公開的支援表單與未經身分驗證的端點,在寫入儲存前均會受到流量限制並經過驗證。
02

文件保護

  • 原始文件、系統產出文件及文件包儲存於私有物件儲存,而非公開的 bucket。
  • 維運人員預設不會檢視客戶的原始文件、OCR 文字、擷取值、簽名、印章或物件儲存金鑰(object key)。
  • OCR 品質監控應使用不含實際值的品質事件,而非客戶的文件文字。
03

應用程式控管

  • 網頁應用程式採用安全性標頭、CSP、上傳驗證與流量限制,並在敏感路由上執行伺服器端的組織權限檢查。
  • 帳務服務商的 webhook 必須先通過驗證,才能解鎖付費工作區的存取權。
  • 正式環境的機密資訊僅能存放於部署服務商的 secret 管理或環境變數中。
04

通報

  • 安全性問題應透過已公告的安全聯絡窗口或支援管道通報。
  • 除非團隊明確要求提供安全的傳輸途徑,否則請勿在漏洞通報中夾帶完整的客戶文件、密碼、私密金鑰或受法規規範的資料。

法律聲明:本頁面係為全球使用者而維護,並可能隨服務、服務供應商與當地法規要求的變動而更新。

安全政策 — 台灣 | Documents Dock