法規遵循
我們對自己負責的 標準。
我們公開已達成的、正在稽核的,以及在規劃藍圖中的項目。沒有證據的主張,一概不講。
SOC 2
已納入稽核藍圖Type I 目標為 Q1 2027,Type II 目標為 Q4 2027,之後每年重新認證。
GDPR
已對齊依循歐盟 GDPR 原則運作。可依需求提供 DPA。
CCPA
已對齊對所有加州使用者落實《加州消費者隱私法》賦予的權利。
ISO 27001
已納入藍圖規劃於 SOC 2 Type II 完成後進行。
資料處理
我們保留哪些資料、 保留多久。
我們接觸到的每一類資料、它存放在哪裡、何時刪除。預設值偏保守;工作區可再進一步收緊。
- 會議音訊
- 即時串流轉寫、僅於記憶體中處理——音訊不寫入任何儲存。Sageio 不以其訓練模型。
- 逐字稿與翻譯
- 儲存在你的工作區,保留至你刪除或帳號刪除為止。
- 摘要與待辦事項
- 與來源逐字稿一併儲存,並遵循相同的保留政策。
- 帳號與工作區中繼資料
- 帳號使用期間予以保留。帳號關閉或經驗證之刪除請求後 30 天內刪除。
- 帳務資料
- 款項由 LemonSqueezy 以登記商家(Merchant of Record)身分處理。Sageio 僅儲存訂閱中繼資料,絕不儲存付款卡片明細。
- 資料落地
- 提供多區域部署。企業版方案支援歐盟、美國與亞太區域。
- 內部存取
- 正式環境的存取必須有明確的業務需求、有時限限制,並留存稽核記錄。
加密
現代協定, 沒有例外。
加密是預設值,而非分級加購項目。以下標準適用於每一個工作區、每一種方案。
每一條用戶端連線皆採 TLS 1.3,並在 Sageio 網域上強制啟用 HSTS。
應用程式資料庫與物件儲存的靜態資料皆採 AES-256-GCM 加密。
透過 AWS KMS 進行供應商代管的加密金鑰管理,並按排程輪替。
會議音訊自 Bot 到處理層的傳輸過程皆經加密。
備份經加密、保留 30 天,並依經過測試的排程進行還原。
存取控管
你工作區的鑰匙, 由你做主。
身分、角色與稽核軌跡,皆依企業 IT 團隊的期待來設定。不是事後外掛,而是從第一位使用者起就內建於系統之中。
SAML 2.0 單一登入,企業版方案提供。
自助式工作區可透過 Google 與 Microsoft 進行 OIDC 登入。
角色型存取控管,分為四種層級:Owner、Admin、Member 與 Viewer。
記錄每一筆管理與資料存取操作的稽核日誌,保留 12 個月。
企業版方案提供可設定的工作階段逾時與 IP 允許清單。
事件應變
當 出狀況時,你會第一個收到我們的通知。
通知客戶是應變的第一個小時,而非最後一步。受影響的客戶會收到直接通知,並在事件解決前持續取得更新。
我們透過持續監控進行偵測。待命工程師會在 30 分鐘內宣告事件並指派事件指揮官。任何涉及客戶資料的事件,受影響客戶將於確認後 24 小時內收到電子郵件通知,並在調查持續期間提供階段性更新。書面的事件後檢討將於 7 天內分享。