安全
合规
等保 · GDPR · ISO 27001 · 行业合规
Evose 主动支持以下合规框架。
框架支持矩阵
| 框架 | 状态 | 私有化加成 |
|---|---|---|
| 等保 二级 | ✓ | — |
| 等保 三级 | ✓ | 数据本地化 + 物理隔离 |
| GDPR | ✓ | 数据中心可指定 |
| ISO 27001 | ✓ | — |
| SOC 2 Type II | 路线图 | — |
| HIPAA | 路径就绪(私有化 + 配套) | 仅私有化 |
| PCI DSS | 路径就绪(私有化 + 配套) | 仅私有化 |
等保(信息安全等级保护)
针对中国大陆部署。
二级
| 控制项 | Evose 满足 |
|---|---|
| 身份鉴别 | SSO + 强密码 + 失败锁定 |
| 访问控制 | RBAC + ACL |
| 安全审计 | 完整操作审计 + 不可篡改 |
| 数据完整性 | 加密传输 · 校验 |
| 数据保密性 | TLS · DB 加密 |
三级
在二级基础上 + :
| 控制项 | 措施 |
|---|---|
| 入侵防范 | WAF · IDS / IPS |
| 恶意代码 | 文件上传扫描 |
| 集中管控 | SIEM 集成 · 告警平台 |
| 数据备份 | 异地容灾 + RPO/RTO 演练 |
GDPR
6 项关键合规
| 要求 | Evose 实现 |
|---|---|
| 合法性 | 提供 DPA(数据处理协议)模板 |
| 数据最小化 | 仅采集业务必要字段 |
| 目的限制 | 数据用途明确,不再次用途处理 |
| 数据主体权利 | 访问 / 更正 / 删除 / 可携带性 / 限制处理 |
| 数据安全 | 加密 + 访问控制 + 审计 |
| 数据本地化 | 私有化部署可指定数据中心 |
跨境传输
仅当用 SaaS LLM 时涉及跨境。建议方案:
- 选有欧盟节点的供应商(Azure 欧盟 / Anthropic 欧盟)
- 自部署模型(完全不出境)
- 配置 SCC(标准合同条款)
ISO 27001
控制域映射(部分):
| 域 | Evose 实现 |
|---|---|
| A.5 安全策略 | 安全策略 + 桌面策略 |
| A.8 资产管理 | 资源清单 + 分类 |
| A.9 访问控制 | RBAC + ACL + 资源策略 |
| A.10 密码学 | TLS + AES-256 + 字段级加密 |
| A.12 操作安全 | 变更管理 + 备份 + 监控 |
| A.13 通信安全 | TLS · 网络分段 |
| A.16 事件管理 | 审计 + 漏洞响应 SLA |
HIPAA(美国医疗)
私有化下:
- 数据物理隔离(自有 GPU 跑 Embedding / LLM)
- 完整审计(谁查过哪条 PHI)
- 加密传输 + 静态加密
- BAA(Business Associate Agreement)模板
PCI DSS
Evose 不直接处理信用卡支付(SaaS 计费由专业网关处理)。如果业务场景涉及卡数据,强烈建议:
- 不要把卡数据放进 Agent / Workflow / 知识库
- 用工具调用持牌网关(Stripe / 银联),让网关 tokenize 后才进 Evose
数据处理协议(DPA)
SaaS 模式下,Evose 是 Processor,你是 Controller。提供:
- DPA 模板(可签)
- 子处理者清单(模型供应商、CDN、监控)
- 跨境传输 SCC(欧盟客户)
第三方审计
- 渗透测试报告(每年)
- ISO 27001 证书(预计 2026 Q3)
- SOC 2 报告(路线图)