透明度中心

一頁驗證我所有承諾。無營銷,無修辭。

60 秒內可驗證的 5 件事

  • 我伺服器上零資料。就這樣。(見下方「資料處理者」——僅 Apple 接觸加密密文,且僅因為你主動啟用了 iCloud 同步)
  • 零分析、零廣告 SDK、零錯誤上報服務。(見下方完整名單)
  • 公開的安全事件日誌。當前為空。(見下方「事件日誌」)
  • 帶日期的路線圖。開源核心庫 + 獨立審計已承諾 2026 年完成。(見「路線圖」)
  • 獨立驗證路徑。白皮書 + GitHub + 審計員郵件——任何承諾都可對照原始碼驗證。(見「如何驗證」)

資料處理者(完整名單)

以下是所有代我處理你資料的實體的完整名單。這份名單刻意保持簡短。

  • Apple Inc.: 美國加州庫比蒂諾。角色:iCloud 鑰匙圈同步 / CloudKit 私有資料庫同步 / StoreKit 訂閱處理 的資料處理者。處理的資料:僅 AES-256-GCM 密文(Apple 也讀不到)。隱私聯絡:[email protected] / apple.com/privacy。歐盟/英國跨境法律機制:EU-US DPF + SCCs Module 2。
  • Have I Been Pwned (haveibeenpwned.com): 由 Troy Hunt 運營。角色:可選的密碼洩露檢測(僅當使用者啟用)。傳送的資料:密碼 SHA-1 雜湊的前 5 個字元(k-匿名協議)。實際密碼永不離開裝置。不傳送任何個人識別符號。
  • (就這些。): 沒有分析服務商、沒有廣告網路、沒有錯誤上報服務、沒有營銷自動化、沒有郵件服務、沒有聊天外掛、沒有任何第三方 SDK。如有新的處理者加入,本頁面會更新,重大變更會觸發應用內通知。

安全事件日誌

依架構設計,我無明文訪問你 vault 資料的能力——這從根本上把任何可信洩露的範圍限制在我自己的基礎設施。如發生資料洩露,我承諾:(1) 72 小時內通知監管機構(GDPR Art. 33 / PIPL Art. 57);(2) 不無故拖延通知受影響使用者(GDPR Art. 34 / CCPA § 1798.82);(3) 在此頁釋出通告。

當前狀態:0 事件: 暫無任何安全事件需要報告。本頁面在狀態變更時更新;以往事件(如有)將保留可見以保持透明。

公開路線圖

信任需要具體日期,不是含糊承諾。以下是我已承諾要交付的事。

  • 核心加密庫開源(2026 Q3): Argon2id 金鑰派生、HKDF 金鑰層級、AES-256-GCM 欄位加密的程式碼將以 MIT 許可釋出到 GitHub。非加密的 UI / 業務邏輯暫時保持閉源。關注 GitHub @ByteGuardApp 以收到通知。
  • 第三方獨立安全審計(2026 Q4): 目標候選:Trail of Bits / Cure53 / Doyensec 之一。範圍:加密核心 + Keychain 整合 + iCloud 同步 + AutoFill extension。最終報告將完整發布在 /security/audit-2026。
  • Bug Bounty 計劃(審計後啟動): 審計完成後,將在 HackerOne 或 Intigriti 上啟動 Bug Bounty。初始範圍:加密 / 認證流程。最低獎勵 100 美元。
  • SOC 2 Type II 自評頁: 作為小型處理者我沒做正式 SOC 2 審計,但會發布一份對照 SOC 2 五大 trust principle(安全 / 可用 / 處理完整 / 保密 / 隱私)的自評頁,將每條原則對映到實際實現。

如何獨立驗證任何承諾

少信任,多驗證。本站所有架構層面的承諾都可對照以下來源驗證:

  • /whitepaper 安全白皮書——每個密碼學決策都有正式 spec、引數、威脅模型、引用。
  • GitHub 倉庫(2026 Q3 後)——讀 Argon2id 引數、AES-256-GCM IV 處理、BIP39 熵源。驗證 spec 與原始碼一致。
  • /security 金鑰派生流程圖——應用內的真實流程,不是營銷圖。對照白皮書。
  • 郵件提一個具體的疑問 + 你看不懂的原始碼行:[email protected]。我 7 天內回覆。(不回覆本身就是訊號。)
  • 2026 Q4 後:讀 /security/audit-2026 的第三方審計報告。

聯絡渠道

不同問題用不同郵件主題。我儘量在承諾時限內響應。

  • 一般隱私 / 資料主體請求: [email protected] · 30 天響應(GDPR Art. 12(3)) · 15 個工作日(PIPL Art. 50) · 45 天(CCPA / CPRA,可延長)。
  • 安全漏洞報告: [email protected](主題:[SECURITY]) · 48 小時內確認 · 優先 responsible disclosure。2026 Q4 後將由 HackerOne / Intigriti 渠道替代。
  • B2B / DPA 請求(資料處理協議): [email protected](主題:[DPA REQUEST]) · 我目前沒有預籤 DPA 模板(小型 + 無企業客戶),現階段 GDPR Art. 28(3) 要求透過已釋出的隱私政策 + 本透明度頁滿足。如有承諾型企業試點,可定製 DPA 協商。
  • 媒體詢問: [email protected](主題:[PRESS]) · 僅公開資訊——任何情況下都不評論個別使用者或賬號。
  • 向監管機構投訴: 歐盟/英國:所在國資料保護機構(ICO / CNIL / BfDI / IDPC 等)。中國大陸:網信辦或當地網信部門。加州:加州總檢察長辦公室。我配合任何合法詢問。