可供验证的安全性与合规
UniAuth 创建在可验证的安全性实务、开放标准与透明的数据处理之上。本页的每一项声明都对应到具体的实作。
合规状态
逐一框架的状态。 自我声明 表示我们已实作相关技术控制措施; 已认证 则需要附上第三方报告的链接。
GDPR
自我声明Data subject rights, DPA available, EU residency supported
CCPA
自我声明California opt-out, data inventory, DSR support
SOC 2 Type II
进行中Controls implemented; third-party audit not yet completed
FIPS 203 (ML-KEM)
自我声明Post-quantum key encapsulation used for session keys
FIPS 204 (ML-DSA)
自我声明Post-quantum digital signatures on every session
FIDO2 / WebAuthn
自我声明Passkey and hardware key support with direct attestation
HIPAA
尚未开始Not yet evaluated
ISO 27001
尚未开始Not yet evaluated
安全性标准与协定
创建在 NIST、IETF 与 OASIS 标准之上。没有专属封闭的绑定。
FIPS 203 (ML-KEM)
用于密钥交换与轮替的后量子密钥封装
FIPS 204 (ML-DSA)
对每个用户工作阶段的后量子数字签章
FIDO2 / WebAuthn
支持密码密钥与硬件安全密钥,并具备直接证明
OAuth 2.0 / OIDC
符合标准的授权服务器与 OpenID 供应者
SAML 2.0
具备 SSO、SLO、签章声明与中继数据的完整 IdP
SCIM 2.0
具备大量作业的自动化用户与群组布建
我们如何处理您的数据
数据保存
所有数据都保存在 PostgreSQL 中,并使用 TLS 加密连接。数据库备份以 AES-256 加密,并保存于地理上备援的位置。不会有任何数据保存于第三方分析或追踪服务中。
加密
对所有敏感值采用静态 AES-256-GCM 加密:TOTP 密钥、OAuth 权杖、PQC 私密密钥、LDAP 密码。传输中的数据采用 TLS 1.3。使用独立于 JWT 签章密钥的另一把 256 比特加密密钥。
数据最小化
配对主体识别码可防止跨应用程序的用户关联。仅收集验证所需的数据。没有行为追踪、没有广告剖析、没有数据贩售。
保留与删除
数据保留原则可自行设置。缺省:工作阶段于 30 天后清除、OTP 权杖于 24 小时后清除、活动纪录于 1 年后清除。可随时自行完整删除帐户,并彻底清除数据。