信任与法律
安全
Metricgram 使用分层安全控制来保护 Telegram 社群数据、账户访问、支付流程和集成。
敏感字段加密
高级 Telegram 提取凭据通过 Rails 加密属性进行加密。
签名 webhook
Stripe webhook 签名会在信任支付事件之前进行验证。
访问控制
角色、套餐、群组和模拟登录保护限制谁可以访问或更改数据。
账户保护
Metricgram 使用 Devise 身份验证、邮箱确认、密码重置、Google OAuth、reCAPTCHA 控制和会话保护来减少账户滥用。
应用和集成安全
生产环境通过 HTTPS 运行。Stripe webhook 会验证签名,Telegram webhook URL 使用秘密令牌,敏感参数会从日志中过滤。
管理员模拟登录受到限制,以防测试静默修改客户数据。
运营保障
产品使用后台任务、便于监控的日志、数据库约束和角色感知仪表盘来保持社群流程可靠。
没有任何互联网服务可以保证绝对安全,但我们会把报告的漏洞和可疑账户活动作为紧急运营问题处理。
实际安全控制
身份与访问
- 邮箱确认、密码重置、Google OAuth 和会话控制保护账号访问。
- 套餐、角色、群组和管理员模拟检查限制对工作区数据和敏感操作的访问。
集成边界
- Stripe 事件只有在签名验证后才会被接受。
- Telegram webhook URL 使用秘密令牌,高级提取凭据在静态存储时加密。
运营处理
- 敏感参数会从日志中过滤,生产流量通过 HTTPS。
- 后台任务、数据库约束和便于监控的日志支持事件调查。
客户责任
- 群主应谨慎授予机器人权限,并检查已连接的 Stripe 产品。
- 用户应使用强身份验证保护邮箱、Google、Telegram 和 Stripe 账号。
问题或数据请求
请通过以下方式联系 Metricgram: info@metricgram.com