可供驗證的安全性與合規
UniAuth 建立在可驗證的安全性實務、開放標準與透明的資料處理之上。本頁的每一項聲明都對應到具體的實作。
合規狀態
逐一框架的狀態。 自我聲明 表示我們已實作相關技術控制措施; 已認證 則需要附上第三方報告的連結。
GDPR
自我聲明Data subject rights, DPA available, EU residency supported
CCPA
自我聲明California opt-out, data inventory, DSR support
SOC 2 Type II
進行中Controls implemented; third-party audit not yet completed
FIPS 203 (ML-KEM)
自我聲明Post-quantum key encapsulation used for session keys
FIPS 204 (ML-DSA)
自我聲明Post-quantum digital signatures on every session
FIDO2 / WebAuthn
自我聲明Passkey and hardware key support with direct attestation
HIPAA
尚未開始Not yet evaluated
ISO 27001
尚未開始Not yet evaluated
安全性標準與協定
建立在 NIST、IETF 與 OASIS 標準之上。沒有專屬封閉的綁定。
FIPS 203 (ML-KEM)
用於金鑰交換與輪替的後量子金鑰封裝
FIPS 204 (ML-DSA)
對每個使用者工作階段的後量子數位簽章
FIDO2 / WebAuthn
支援密碼金鑰與硬體安全金鑰,並具備直接證明
OAuth 2.0 / OIDC
符合標準的授權伺服器與 OpenID 供應者
SAML 2.0
具備 SSO、SLO、簽章宣告與中繼資料的完整 IdP
SCIM 2.0
具備大量作業的自動化使用者與群組佈建
我們如何處理您的資料
資料儲存
所有資料都儲存在 PostgreSQL 中,並使用 TLS 加密連線。資料庫備份以 AES-256 加密,並儲存於地理上備援的位置。不會有任何資料儲存於第三方分析或追蹤服務中。
加密
對所有敏感值採用靜態 AES-256-GCM 加密:TOTP 密鑰、OAuth 權杖、PQC 私密金鑰、LDAP 密碼。傳輸中的資料採用 TLS 1.3。使用獨立於 JWT 簽章密鑰的另一把 256 位元加密金鑰。
資料最小化
配對主體識別碼可防止跨應用程式的使用者關聯。僅收集驗證所需的資料。沒有行為追蹤、沒有廣告剖析、沒有資料販售。
保留與刪除
資料保留原則可自行設定。預設:工作階段於 30 天後清除、OTP 權杖於 24 小時後清除、活動紀錄於 1 年後清除。可隨時自行完整刪除帳戶,並徹底清除資料。