安全与信任

默认安全。为欧盟设计。

RiskNote 将您的所有数据托管在瑞典斯德哥尔摩，从第一行代码起就履行 GDPR 和欧盟 AI 法案义务，绝不使用您的风险内容训练 AI 模型。每个 AI 建议均为顾问性质——由您决定什么进入登记册。

隐私政策报告安全问题

托管于欧盟斯德哥尔摩

所有服务数据都保留在瑞典的 Elastx 基础设施上——通过 ISO 27001 认证，仅限欧洲经济区内。

原生 GDPR

按目的记录法律依据。应用内直接提供数据导出、更正和 30 天删除。

您的数据永不用于训练 AI

Anthropic 的商业条款禁止使用 API 输入和输出进行训练。个人数据永不会到达模型。

AI 仅供参考

每个建议都需要您的明确接受才能进入登记册（GDPR 第 22 条）。

GDPR欧盟 AI 法案第 50 条GDPR 第 22 条ISO 31000 流程ISO 27001 基础设施（Elastx）DPF + SCC 用于非欧盟转移

数据驻留与托管

所有服务数据——账户、风险备忘录、风险和日志——都托管在斯德哥尔摩的 Elastx 基础设施上。Elastx 的数据中心和运营拥有 ISO 27001 认证。RiskNote 本身未获得 ISO 27001 认证；我们依托于已认证的基础设施，并保持自身立场透明。

您的数据存放位置

主数据库、对象存储和应用服务器均位于欧洲经济区内。除第 06 节列出的特定次级处理方外，欧盟数据不会转移出该区域，每个次级处理方都受到符合 GDPR 的保障措施（DPF 和/或 SCC）约束。

备份

加密的夜间备份保留 30 天，存储在同一欧盟区域的 Elastx 基础设施上。恢复程序定期测试。

透明的次级处理方

我们的次级处理方列表的任何变更都会反映在隐私政策中。带有电子邮件通知的专门变更日志在路线图上（见第 11 节）。

加密与传输

传输中

每个连接都强制使用 TLS 1.2+。HTTP 重定向到 HTTPS。边缘启用 HSTS。

静态时

数据库卷和对象存储在 Elastx 基础设施上静态加密。密码使用 bcrypt 哈希。

密钥管理

API 密钥和凭据存储在环境变量中，绝不在源代码管理中，并从应用日志中排除。访问权限限于生产环境。

租户隔离

RiskNote 是一个具有逻辑隔离的多租户 SaaS。账户之间没有可见性。

在 ORM 层级限定： 对用户拥有资源的每个查询都在查询构建器层级按经过身份验证的用户 ID 进行过滤。

策略门控访问： Laravel 授权策略保护每个敏感资源——即使路由参数被篡改，控制器也无法返回其他用户的数据。

仅显式共享： 风险备忘录默认为私有。共享风险备忘录（Pro 和 Business 计划）需要明确邀请；访问权限可随时撤销。

身份验证

电子邮件 + 密码

至少 8 个字符，大小写混合加一个数字。作为 bcrypt 哈希存储。密码重置链接在 60 分钟后过期。

OAuth 2.0

使用 Google、Microsoft 或 Apple 登录。我们接收您的姓名、电子邮件和提供商用户 ID。我们不存储 OAuth 访问令牌。

会话

会话 cookie 是严格必要的，因此根据 ePrivacy 第 5(3) 条 / 瑞典 LEK 第 6 章第 18 节豁免同意要求。

为何不使用魔法链接

我们评估并拒绝了魔法链接身份验证。对于企业和市政采购方，通过激进邮件过滤器的投递风险超过了用户体验的好处。

AI 按设计

AI 是任何现代 SaaS 中最涉及隐私的部分。我们构建 RiskNote 的 AI 路径时，假设每个选择都会接受审计。

数据最小化： 仅将风险备忘录的名称、描述、所选风险领域以及您的组织上下文（行业、规模、角色、目标、挑战）发送给 Anthropic。我们绝不发送电子邮件、姓名、IP 地址、计费数据、令牌或其他用户的数据。

不使用您的数据训练： 处理通过 Anthropic 的 Claude API 在其商业条款下进行，禁止使用客户输入或输出来训练或改进模型。

仅供参考（GDPR 第 22 条）： AI 产生带有可能性和后果评分的建议。每个建议都需要您的明确接受才能进入登记册。不会通过自动化方式做出具有法律效力或类似重大影响的决定。

AI 来源标注（欧盟 AI 法案第 50 条）： 每个显示 AI 生成内容的用户界面都会将其标注——在应用内 UI 中、在 PDF 导出的来源列和披露页脚中、以及在即将推出的 CSV 导出（V1.1）中。AI 模型标识符被保留并在导出中显示。

提示注入防护： 用户提供的字段在串联到提示之前被截断，限制了通过超大输入进行提示注入尝试的攻击面。

速率限制： AI 分析限制为每用户每小时 20 次，加上每个计划的每月配额，以防止滥用和管理成本可预测性。

次级处理方与国际转移

规范列表位于隐私政策第 5 节.

处理方	目的	位置	保障措施
Elastx	后端和前端托管	斯德哥尔摩, SE	欧洲经济区
Anthropic	AI 风险分析	美国	DPF + SCC
Stripe	网络支付	美国 / 欧盟	DPF + SCC
RevenueCat	移动订阅	美国	SCC

标准合同条款（SCC）的副本可通过 privacy@risknote.io 索取。

保留与删除

●

活跃账户： 只要您的账户处于活跃状态，数据就会保留。

●

删除： 账户删除在账户页面自助完成。所有个人数据和风险评估内容在 30 天内永久清除。

●

会计记录： 根据瑞典会计法（Bokföringslagen, SFS 1999:1078）保留最长 7 年。

●

匿名反馈： 账户删除时提供的可选反馈被匿名化，不与您的身份关联。

您的权利与可移植性

根据 GDPR，您享有以下权利。完整声明见隐私政策第 7 节.

访问权请求您个人数据的副本（第 15 条）。

更正权通过账户设置或电子邮件更正不准确的数据（第 16 条）。

删除权随时在应用内删除您的账户和所有数据（第 17 条）。

可移植权将评估导出为 PDF 或 CSV；可应要求提供结构化 JSON（第 20 条）。

限制权要求我们限制对您数据的处理（第 18 条）。

反对权反对基于合法利益的处理，包括 AI 分析（第 21 条）。

撤回同意当处理基于同意时，可随时撤回（第 7(3) 条）。

投诉向瑞典隐私保护局（IMY, imy.se）提起投诉。

事件响应与漏洞披露

报告漏洞

发送电子邮件至 privacy@risknote.io，附上复现步骤。我们在此阶段不运营单独的 security@ 邮箱——报告由创始人直接监控。请在测试期间避免可能影响其他用户数据的操作。

确认

我们的目标是在 3 个工作日内确认有效报告。我们会在分类和修复期间保持您知情。

泄露通知

根据 GDPR 第 33 条，在我们知悉个人数据泄露后 72 小时内，在需要时通知瑞典监管机构（IMY）。根据第 34 条，当泄露可能对用户的权利和自由造成高风险时，我们将在不无故延误的情况下通知受影响的用户。

漏洞赏金

我们尚未运营公开的赏金计划。我们感谢负责任的披露，并将认可希望获得署名的报告者。

合规与法律依据

RiskNote 所遵守的、对齐的和依赖的内容的清晰视图——诚实区分。

框架	类型	如何适用于 RiskNote
GDPR	我们遵守的法规	所有服务数据的数据控制者。完整声明请参阅隐私政策。
ePrivacy / LEK 6:18	我们遵守的法规	瑞典实施规定 cookie 同意。分析 cookie 是选择加入的。
欧盟 AI 法案第 50 条	我们遵守的法规	AI 生成内容在 UI、PDF 和 CSV（V1.1）中标注。
GDPR 第 22 条	我们遵守的法规	无自动化决定；每个 AI 建议都需要用户接受。
瑞典消费者法	我们遵守的法规	14 天撤回权在应用内处理，通过 Stripe 自动退款。
ISO 31000	我们对齐的标准	识别 → 分析 → 评估 → 处理 → 监控。未认证（不存在 ISO 31000 认证）。
ISO 27001	我们依赖的认证	由我们的托管提供商 Elastx 持有，而非 RiskNote 本身。

我们的路线图

诚实的前瞻性视角。以下内容目前均未上线。

○

第三方渗透测试 — 计划在发布后托管环境稳定时进行。

○

次级处理方变更日志 — 一个列出我们次级处理方列表变更的公开页面，并为订阅者提供电子邮件通知。

○

带有 AI 来源列的 CSV 导出 — 随 V1.1 发布。

○

Business 级别 SSO（SAML / OIDC） — 与 Business 计划的推出相关，非 V1。

○

SOC 2 Type II — 当企业需求证明成本和运营投入合理时，我们将考虑这一点。在它真实之前我们不会声称拥有它。

联系

安全与隐私： privacy@risknote.io

一般支持： support@risknote.io

VER&IT AB · Nygatan 71, 462 32 Vänersborg, 瑞典 · 注册号：556985-1206