作为一款专业的SaaS产品,草料二维码始终把用户的数据安全放在第一位,遵从严格的数据安全要求,为所有用户提供可靠,安全,合规的云服务。本文会从平台资质、安全功能、底层技术等多个维度,帮助用户全面了解草料二维码如何保障用户的数据安全。
为方便用户在内部汇报、采购流程、资料归档等场景中使用,我们将本页面内容整理成了数据安全白皮书(PDF版),你可以直接下载使用。
点击下载《草料二维码数据安全白皮书》
一、连续10余年稳定运行
成立时间:自2012年成立以来,草料持续稳定运行,并且不断强化数据安全与稳定性。
服务规模:已累计服务超过1400万用户,覆盖制造、能源、教育、医疗等多个行业。
日常运营:当前,每天有超过百万用户通过草料制作的二维码进行分享、查看与协作。
典型案例:北京冬奥会
在2022年北京冬奥会期间,草料二维码为比赛场所提供二维码技术支持,每天扫码登记量超过10万人次,为赛事平稳高效运行提供了坚实的安全保障。查看政府报道
二、平台资质及权威认证
1.国家标准制定者
国家质量监督检验检疫总局、国家标准化管理委员会在《中华人民共和国国家标准公告》(2017年第18号)中正式发布《商品二维码》(标准号GB/T 33993-2017)国家标准。草料二维码作为唯一受邀起草单位,参与了该标准的编制,为提升商品二维码应用的一致性与规范性作出贡献。
2013年,草料二维码作为名片二维码国家标准起草组成员,协助编码中心共同制定了《二维码名片通用技术规范》(标准号GB/T 31022-2014),该标准规定了名片二维码的数据结构、符号、信息处理和符号质量要求,适用于名片二维码的生成、印刷、识读和信息交换,将对规范我国二维码名片格式、推广二维码应用起到重要作用。
2.等保三级认证
草料二维码严格遵守《GB/T 22239-2019 信息安全技术 网络安全等级保护》基本要求(简称“等级保护”),该标准由中国国家标准化管理委员会发布,是国家信息安全保障的基础性制度。等级保护制度根据信息系统的重要性与业务需求,将安全保护分为1至5个级别,由低到高实施不同的保护策略与管理要求。
草料二维码系统已通过信息安全等级保护三级(等保三级)测评,获得国家权威机构的认可与备案。这表明草料二维码已建立起符合国家标准的完备安全防护体系,能够有效保障用户信息安全与业务连续性,满足政企客户对于信息安全的合规性要求。
3.DCMM二级认证
数据安全管理能力成熟度评测(DCMM)是中国首个数据管理领域国家标准,根据《GB/T 36073-2018 数据管理能力成熟度评估模型》 的标准,草料二维码已获得 DCMM二级 认证。该认证表明草料二维码已建立标准化的数据管理流程,包括 数据治理、数据安全、数据质量、数据架构 等关键能力,保数据资产在采集、存储、处理与使用全过程中具备高度的安全性与可靠性。
4.其他资质信息
高新技术企业认证:从2017年开始,草料二维码连续多年被浙江省科学技术局认定为省级高新技术企业。
华为云兼容认证:确保草料二维码与主流云计算平台兼容,提高数据存储的灵活性与安全性。
46项软件著作权:涵盖 草料二维码、二维码管理、设备巡检、施工管理 等多个系统,确保产品技术自主可控。
三、平台安全功能
1. 账号与身份安全
1.1 账号实名认证
平台支持账号实名认证,用户完成认证后,若需找回账号或进行审核等操作,需提交与认证主体一致的资料进行验证,增强账号的安全性和可追溯性。具体说明可参考 账号实名认证
1.2 账号变更验证
为防止账号被恶意篡改,草料二维码在用户更换登录手机号时,要求通过原手机号进行验证,确保账号控制权的合法转移。操作方法见 账号变更
1.3 多设备登录提醒
为加强账号安全管理,草料二维码引入了多设备登录提醒机制。当系统检测到同一账号在多个浏览器或设备上同时登录时,平台会主动弹出提示,提醒用户当前账号已在其他设备上处于活跃状态。 帮助用户识别潜在的账号共享或异常使用行为,提醒用户采取更换密码、设置成员权限等措施。
2. 二维码内容访问控制
2.1 成员访问权限设置
草料二维码允许用户为每个二维码设置特定的查看权限,仅授权的成员可以访问二维码内容,防止信息被非授权人员查看。
2.2 访问密码保护
用户可为二维码设置访问密码,只有输入正确密码的人员才能查看二维码内容。
2.3 访问时间段限制
平台支持设置二维码的访问时间段,用户可指定每天的特定时间段允许访问,超出时间段则无法访问二维码内容,适用于限定时间的信息展示。
2.4 访问地区限制
草料二维码提供基于地理位置的访问控制功能,用户可设置二维码的可访问地区,非指定地区的访问请求将被拒绝,增强了信息的地域性安全控制。
以上二维码的查看权限设置,可以 查看权限设置教程
3. 操作权限与审计管理
3.1 操作权限分配
超级管理员可根据业务需求,为不同角色的成员分配相应的操作权限,包括工作台管理、表单填写、状态面板操作、动态数据查看等,确保成员仅能访问和操作其职责范围内的内容。
草料二维码平台支持为每位成员分配独立的账号和权限,避免多人共享账号带来的安全风险,确保操作的可追溯性和责任明确。 详细设置方法可见 如何精准控制成员权限
3.2 分区管理与数据隔离
草料二维码提供分区功能。开启功能后,可以将账号划分为不同的分区,各分区之间的数据相互隔离,并可为成员分配不同的分区权限。尤其适用于多部门协作的场景,确保数据的安全性和独立性 了解分区管理功能
3.3 操作日志记录与审计
平台会记录每位成员的操作日志,包括操作时间、操作内容等信息,便于事后审计和问题追踪,提升系统的透明度和安全性。
4. 数据保护
4.1 二维码误删恢复功能
为防止重要数据的意外删除,草料二维码提供二维码误删恢复功能,用户可自助恢复被删除的二维码,保障数据的完整性。详见 删码恢复工具
4.2 数据删除二次确认
在用户删除二维码、表单数据、批量模板等重要内容时,草料二维码平台将弹出确认提示,明确告知删除操作的后果,并要求用户主动勾选“我已确认要删除数据”选项后方可继续执行。通过增加用户的确认动作,有效降低误操作风险,保障数据安全与操作的可控性。
4.3 区块链存证
草料二维码与蚂蚁集团合作,为用户提供区块链存证服务。该服务利用区块链技术的不可篡改性和时间戳特性,确保数据的真实性和完整性。功能开启后,每条表单记录或子码内容在提交后,系统会自动将其上链存证,生成唯一的存证哈希和时间戳。 存证数据可作为电子证据,具有法律效力,支持在司法场景中的证据采信。查看 蚂蚁区块链功能说明
即便用户在草料平台中删除了原始数据,存证哈希及区块链上保存的信息依然完整保留。用户可通过存证核验服务验证提交数据的真实性,查询原始内容、提交人、提交时间等信息,确保数据具有持续的可验证性和不可否认性,进一步提升数据管理的可靠性与合规性。
5. 隐私保护与合规
5.1 表单字段隐私保护
草料二维码支持对表单中的敏感字段(如姓名、手机号、身份证号码等)进行匿名化处理,用户可选择开启隐私保护功能,自动隐藏部分内容,防止个人敏感信息的泄露 隐私保护功能介绍
5.2 敏感信息处理与合规措施
草料二维码在处理用户数据过程中,严格遵守《中华人民共和国个人信息保护法》等相关法律法规,始终坚持最小必要、合法正当、公开透明的原则,采取多项技术与管理措施保护用户的敏感信息安全。我们通过加强数据加密传输、访问权限控制、异常监测与审计留痕等手段,确保数据在采集、存储、使用、传输和删除各环节的安全性与合规性。具体请参考《隐私政策》
四、底层技术安全
草料二维码基于阿里云基础架构服务,采用金融级安全标准,从数据传输、存储隔离、访问控制、灾备与高可用、风险防护等多个层面,建立了完备的技术安全保障体系,持续保护用户数据的机密性、完整性与可用性。
1. 云基础架构与网络安全
- 专有网络隔离(VPC):通过阿里云VPC实现生产环境与测试环境的物理隔离,严格限制非授权IP访问,降低攻击面。
- 网络边界防护:部署安全组策略和DDoS防护机制,有效抵御网络层攻击,保障服务稳定性
- 数据库安全访问:数据库实例仅开放内网白名单访问,关闭公网入口,防止外部入侵。
2. 应用与数据传输安全
- 应用层防护:部署Web应用防火墙(WAF),防御SQL注入、跨站脚本(XSS)等常见应用层攻击,保护Web应用安全。
- 加密通信:所有用户端与服务器通信采用HTTPS/TLS 1.3协议,强制SSL加密,防止中间人攻击。
- API安全机制:关键接口通过阿里云API网关签名机制校验请求来源,防止接口滥用和伪造请求。
3. 数据存储与访问控制
- 全链路加密:数据在传输与存储过程均加密处理,保障数据在流动和静止状态下的安全。
- 多层权限控制:基于阿里云RAM资源访问管理,按照最小权限原则为开发、运维、第三方服务分配角色权限。
- 多因素认证(MFA):关键操作如数据导出、配置变更需启用MFA保护,提升账户安全性。
4. 数据隔离与脱敏保护
- 租户级资源隔离:通过阿里云租户级资源隔离,确保不同客户数据物理或逻辑隔离,杜绝跨用户访问。
- 敏感数据脱敏处理:采用不可逆哈希算法对敏感数据进行脱敏存储,降低数据泄露风险。
5. 容灾备份与高可用设计
- 多可用区部署:核心业务部署于多可用区,数据库采用主备高可用架构,提升系统冗余性与稳定性。
- 弹性伸缩与负载均衡:通过SLB负载均衡与Auto Scaling自动扩缩容机制,应对突发流量压力,保障业务连续性。
- 灾备演练与实时监控:定期开展全链路灾备演练,配合阿里云云监控与日志服务(SLS)实时监测异常,快速定位与处置故障。
6. 风险防护与威胁检测
- 云安全中心:部署威胁检测、漏洞管理、入侵防御、日志审计等全栈式安全防护体系,构建主动防御能力。
- 漏洞扫描与修复:定期扫描服务器与中间件组件(如Nginx、Redis)漏洞,生成修复建议并跟进处理。
- 入侵检测与基线检查:通过行为分析识别异常行为,自动隔离恶意进程;持续校验服务器配置,符合CIS国际安全标准。
7. 定期渗透测试
草料二维码定期委托阿里云安全团队进行渗透测试(Penetration Test),阿里云安全团队会以攻击者思维,模拟黑客对业务系统进行全面深入的安全测试,帮助企业挖掘出正常业务流程中的隐藏的安全缺陷和漏洞,并提出修复建议。提升安全防护体系的防御能力 了解阿里云渗透测试服务
五、常见问题
1. 草料二维码是否支持本地独立部署?
目前不支持。草料二维码基于阿里云基础设施构建,平台通过租户级资源隔离和多层安全防护措施,确保不同客户数据的物理和逻辑隔离。同时通过阿里云的高可用架构、灾备能力和全栈安全服务,能够为用户提供更高的安全性、稳定性与低成本优势。
2. 是否可签署保密协议?
可以。草料二维码支持与客户签署标准版《保密协议》,内容涵盖保密信息范围、保密措施、违约责任等条款,确保客户敏感信息的合法合规保护。
如需保密协议,请在在合同申请时备注“需要签署保密协议,一式三份”等说明,法务会按要求提供。
点此下载 草料二维码-保密协议(示例)
如有其他疑问,您也可以直接联系 商务顾问
3. 注销账号后,数据能否彻底删除?
是的。用户申请注销草料二维码账户后,除非依据法律法规或监管要求需保留的系统日志等必要信息,我们会依据《隐私政策》的约定,彻底删除与账号关联的个人数据及动态数据内容。你可以参考完整的 账号注销流程指引
为方便用户在内部汇报、采购流程、资料归档等场景中使用,我们将本页面内容整理成了数据安全白皮书(PDF版),你可以直接下载使用。
点击下载《草料二维码数据安全白皮书》