Security and trust

安全与信任

贝狸AI 按最小必要、只读优先、权限裁剪和审计留痕原则处理 Amazon 店铺数据、广告数据、MCP token 和私有知识内容。

凭证保护

Amazon OAuth token、MCP token 和平台密钥采用受控存储,不在日志中输出明文凭证。

传输与访问控制

公网页面和授权入口使用 HTTPS;后台服务按服务边界访问,前端只请求 BFF。

权限范围

MCP 服务可配置站点、SKU 和工具权限,减少无关数据暴露。

日志与审计

关键授权、同步、MCP 调用和安全事件保留审计记录,用于排查和合规留痕。

数据保留

Amazon 买家 PII 遵循最小必要原则,除法定或争议处理需要外,不在生产系统长期保存。

事件响应

发生高风险安全事件时,按影响范围启动修复、记录、通知和复盘流程。

安全事件响应

  • 密钥泄露、未授权访问和疑似数据泄露会进入安全事件响应流程。
  • 关键漏洞按严重程度优先修复,高风险问题会限制相关功能或临时停用受影响访问。
  • 涉及 Amazon 数据的事件会结合 Amazon DPP、适用法律和用户合同要求进行通知与处理。