安全说明

MindLM 对所有数据传输和存储采用行业领先的加密标准，确保用户信息在任何环节都得到保护。

在传输层面，所有客户端与服务器之间的通信均通过 TLS 1.3 协议加密，防止中间人攻击和数据窃听。在存储层面，用户数据使用 AES-256 加密算法进行静态加密，即使在极端情况下，未经授权的访问也无法读取原始数据。

• TLS 1.3 加密所有网络传输
• AES-256 对静态数据加密
• 数据库连接使用加密通道
• 密钥由专用密钥管理服务托管，定期轮换

我们实施严格的访问控制策略，确保只有经过授权的人员和系统才能访问用户数据。

MindLM 采用基于角色的访问控制（RBAC）模型，遵循最小权限原则。所有内部系统访问都需要多因素认证（MFA），并记录完整的审计日志。

• 基于角色的访问控制（RBAC），按职责分配最小必要权限
• 强制多因素认证（MFA），防止凭证泄露导致的未授权访问
• 数据库层面实施行级安全策略（RLS），用户只能访问自己的数据
• 所有管理操作记录审计日志，支持事后追溯

MindLM 构建在业界领先的云基础设施之上，充分利用平台级安全能力。

应用部署在 Vercel 全球边缘网络，享有其企业级 DDoS 防护和 WAF（Web 应用防火墙）。数据库服务由 Supabase 提供，运行在 AWS 基础设施上，具备自动备份、点恢复和网络隔离能力。

• Vercel 边缘网络提供全球加速与 DDoS 防护
• Supabase 数据库具备自动备份与灾难恢复能力
• 生产环境与开发环境严格隔离
• 定期进行依赖项安全扫描和系统更新

我们深知用户对 AI 处理其内容的关切，因此在数据处理方面采取了严格的隐私保护措施。

当您使用 MindLM 生成思维导图时，您的内容会被发送至 AI 模型进行实时处理。处理完成后，输入内容不会被保留用于模型训练或其他目的。我们不会将您的内容用于改进第三方 AI 模型。

用户主动保存的思维导图和相关数据仅存储在您的账户中，由您完全控制。

• AI 处理为实时、短暂性操作，处理后不保留原始输入
• 用户内容不用于任何模型训练
• 生成结果的所有权归用户所有
• 您可以随时删除账户中保存的所有数据

MindLM 在设计和运营中遵循国际隐私保护法规的核心原则。

我们的数据处理实践与 GDPR（通用数据保护条例）的基本要求保持一致，包括数据最小化、目的限制、存储限制和数据主体权利保障。我们仅收集提供服务所必需的最少量数据，不进行不必要的数据聚合或画像分析。

• 遵循数据最小化原则，仅收集必要数据
• 明确的数据处理目的和法律依据
• 保障用户的访问、更正、删除等数据权利
• 透明的隐私政策，清晰说明数据收集和使用方式

尽管我们采取了全面的安全措施，但也为可能的安全事件建立了完善的应急响应机制。

MindLM 设有专门的安全响应流程，涵盖事件检测、评估、遏制、修复和通知各环节。若发生涉及用户数据的安全事件，我们承诺在确认后 24 小时内通知受影响的用户，并提供清晰的事件说明和建议措施。

• 7×24 小时安全监控与异常检测
• 确认安全事件后 24 小时内通知受影响用户
• 完整的事件响应流程：检测 → 评估 → 遏制 → 修复 → 复盘
• 安全漏洞报告渠道：security@mindlm.io

我们相信用户应当对自己的数据拥有完全的控制权。MindLM 提供多种工具帮助您管理账户安全和数据。

• 导出所有个人数据（思维导图、账户信息）
• 永久删除账户及所有关联数据
• 管理思维导图的分享状态，随时撤销公开链接
• 查看账户活动记录和登录历史
• 自主管理密码和安全设置

安全是一个持续改进的过程。我们欢迎安全研究人员和用户报告潜在的安全问题。

如果您发现任何安全漏洞或有安全相关的疑问，请通过 security@mindlm.io 联系我们的安全团队。我们承诺认真对待每一份安全报告，并在确认后及时采取修复措施。

一般产品支持请联系 support@mindlm.io。