合规体系
监管要求如何映射到一款人力管理 SaaS——以及我们的应对方式。如实呈现项目当前状态:已上线的部分、进行中的部分,以及我们刻意尚未纳入路线图的部分。
合规框架
svdy 运行的是持续合规计划,而非时点核对清单。具体而言:
• 隐私设计 —— 任何涉及 PII 的新功能在合并前必须通过隐私影响评估。第 1-4 阶段隐私审计日志保存在内部跟踪器中;可见成果包括 GDPR 第 9 条人脸识别同意流程、删除权机制以及订阅取消后 30 天客户数据删除窗口。
• 文档化控制 —— 安全策略(访问控制、变更管理、供应商管理、事件响应)纳入版本控制并每年评审。
• 供应商管理 —— 每家子处理者在获得客户数据访问权前都经过书面准入审查。当前 5 家子处理者列于 /trust/sub-processors;变更触发 30 天客户通知。
• 持续监控 —— SOC 2 之前为内部进行(审计日志、访问评审、变更工单)。一旦 Vanta 接入(2026 年第三/第四季度),证据收集将持续进行并接受外部审计。
• 法规雷达 —— 我们跟踪影响客户群体的立法(美国各州隐私法、欧盟 NIS2、中国 PIPL、巴西 LGPD),并随范围扩大调整 DPA 与产品功能。
我们遵循的标准
我们对齐以下行业标准框架。「遵循」≠「已认证」—— 何时正式审计请见 /trust/soc2。
• NIST 网络安全框架(CSF)2.0: 内部控制对齐至「识别 / 保护 / 检测 / 响应 / 恢复」;自评估;作为 SOC 2 Type II 审计(2027 年第一季度起)的基础。
• OWASP Top 10(Web 应用): 工程实践覆盖 OWASP Top 10(2021):通过参数化查询防注入、通过租户限定查询防越权访问等。SAST 工具在合并前运行;SCA 通过 Dependabot 完成。
• CIS AWS 基础基准: AWS 配置对齐 CIS Foundations v2.0 控制项 —— IAM 最小权限、root 强制 MFA、加密 EBS、S3 阻止公开访问、审计日志归集到中心账户。当前为自我声明;SOC 2 审计将在 2027 年第二季度验证。
• ISO/IEC 27001 —— 方向性遵循,未认证: 我们的控制集借鉴 ISO 27001 附录 A 控制项。正式认证为第二阶段(SOC 2 Type II 之后,可能 2027-2028 年)—— 仅在欧盟企业客户提出要求时启动。
区域法规
svdy 客户数据触及受监管司法辖区的情况,以及我们的姿态:
• 欧盟与英国: GDPR(EU 2016/679), UK GDPR + Data Protection Act 2018, ePrivacy 指令(cookie)
欧盟 + 英国客户由我们的标准合同条款(2021 版)以及 UK Addendum 覆盖,均包含在 /trust/dpa 的 DPA 中。隐私政策按 GDPR 第 13/14 条对齐。数据主体权利通过 legal@svdy.com 行使,30 天回应。数据驻留:目前 us-east-1;欧盟/亚太区域可用性在 Enterprise 路线图(2027)。
• 美国: CCPA / CPRA(加州), VCDPA(弗吉尼亚), CPA(科罗拉多), CTDPA(康涅狄格), UCPA(犹他)
我们尊重所有适用美国州隐私法下的「请勿出售」「知情权」与「删除权」。隐私政策包含 CCPA 要求的类别披露和保留期。我们不出售 §1798.140(t) 项下定义的「个人信息」。
• 巴西与亚太: LGPD(巴西), 新加坡 PDPA, 澳大利亚 Privacy Act
客户存在的范围内对齐遵循。中国 PIPL 数据本地化要求当前未满足(无中国大陆数据驻留);拥有中国大陆员工的客户须将该等数据保留在我们现有 us-east-1 区域,直至拉美/亚太区域建设完成(2027 年后)。
审计与鉴证
今天实际接受审计的内容、即将到来的内容,以及我们刻意不追求的内容:
• SOC 2 Type II —— 进行中: 目标 2027 年第一季度审计启动(6 个月观察期),2027 年第三季度报告出具。已选定 Vanta + A-LIGN。公开时间表见 /trust/soc2。
• GDPR —— 自我评估: GDPR 不存在正式合规认证(监管机构不颁发证书)。我们维护一个 GDPR 就绪架构,通过内部隐私审计第 1-4 阶段验证。需要书面处理者协议的客户可在 /trust/dpa 申请 DPA。
• ISO 27001 —— 第二阶段: 尚未启动。预计在 SOC 2 之后(2027-2028)、若欧盟企业需求支撑审计成本时推进。启动后将在 /trust/soc2 公布。
• HIPAA / PCI-DSS / FedRAMP —— 不在范围: svdy 当前不是 HIPAA business associate,不在 PCI-DSS 范围内(Stripe 在其已认证平台处理持卡人数据),亦不申请 FedRAMP。联邦/受监管行业客户在注册前请发送邮件至 support@svdy.com,讨论我们能否满足您具体的合规需求。
需要我们的合规文档、区域监管证明或 SOC 2 时间表?邮件 legal@svdy.com —— SOC 2 进展请见 /trust/soc2。
