安全认证 · 路线图

对齐监管的合规路线图

VITA 目前处于种子轮阶段,合规体系与监管认证按下述时间表推进。所有认证以拿到证书为准,不做"预期即完成"的宣传。

MLPS

等保三级

建设中 · 计划 2027 Q1 启动 MLPS 2.0 三级备案。

ISO

ISO 27001

建设中 · 计划 2027 Q2 前完成信息安全管理体系搭建。

ISO

ISO 27701

建设中 · 计划 2027 Q3 前完成隐私信息管理体系搭建。

SOC 2

SOC 2 Type II

面向海外客户 · 视首批海外签约进度启动。

在正式取得认证之前,VITA 会以《安全白皮书》+ 合规控制矩阵 + 第三方渗透报告的形式向签约客户开放尽调,联系 security@vita-health.top

下载安全白皮书 PDF ↓
安全能力

从传输到存储的全链路防护

传输加密

全链路 TLS 1.3,禁用 TLS 1.1 及以下版本,支持国密 SM 系列。

存储加密

AES-256 静态加密 + KMS 统一密钥管理,支持字段级加密。

密钥轮换

主密钥 90 天自动轮换,备份密钥离线安全保管。

访问控制

最小权限原则,生产环境访问需 MFA + 双人审批 + 全程录屏。

网络隔离

VPC 私网 + 白名单出网 + 零信任访问网关。

入侵检测

7×24 SOC 值守,主流攻击特征库 + AI 异常检测。

DDoS 防护

依托 Cloudflare 全球网络,提供 Tbps 级 DDoS 清洗能力。

WAF 拦截

OWASP Top 10 + 定制规则集,API 层深度检测。

渗透测试与合规审计

每年至少两次外部验证

数据处理

DPA + 子处理商清单

DPA 模板

标准《数据处理协议》可在签约前提供审阅,支持在客户模板基础上做双方修订。

索取 DPA 模板 →

子处理商清单

公开维护当前使用的所有子处理商(云计算、CDN、短信、发票等),变更提前 15 天通知客户。

查看清单 ↓

数据部署与出境

SaaS 主生产环境部署在东京节点 + Cloudflare 全球边缘;涉及境内用户信息处理走 PIPL 标准合同备案。国内私有化部署为 Enterprise 版可选。

子处理商清单(截至 2026 年 7 月)

供应商 用途 数据类别 存储地
AWS主服务器 + 数据库(生产)全量业务数据(加密)东京(ap-northeast-1)
AWS(灾备)跨可用区容灾加密备份大阪(ap-northeast-3)
CloudflareDNS · CDN · WAF · DDoS 防护流量元数据 · 不含 payload全球边缘(含亚太)
蚂蚁链关键操作存证(可选)操作 hash · 不含明文中国大陆
阿里云国际 SMS验证码 / 通知短信手机号(脱敏存储)新加坡
Google Workspace企业邮箱 · 协作员工邮件 · 客户联络记录全球
诺诺网电子发票(境内客户)企业开票信息中国大陆

清单每季度更新。新增子处理商提前 15 天邮件通知全部签约客户,客户有权在 15 天内提出异议。

安全事件披露

如何发生了,如何告诉你

历史事件记录

截至 2026 年 7 月,VITA 尚无安全事件记录。

系统上线后,此区域将自动展示历史事件摘要与处置状态。

安全研究者

发现漏洞?我们感谢你

  • 漏洞报送邮箱:security@vita-health.top(PGP 公钥可申请,应答时长 < 24 小时)
  • 负责任披露:请给我们 90 天修复期,期间不对外公开细节;修复完成后我们将在致谢页公开署名(如你希望)。
  • 奖励机制:高危 ¥5000–¥30000,中危 ¥1000–¥5000,低危 ¥200–¥1000,具体奖励金额与漏洞影响面挂钩。
  • 不追究法律责任:只要你遵循负责任披露原则,不涉及数据泄露、勒索、破坏,我们承诺不追究任何法律责任。

还有其他合规问题?

我们的安全 / 法务团队可以在 1 个工作日内响应你的具体需求。