ScoutAtlas
安全

我们如何保护贵俱乐部的数据。
不含营销套话。

足球情报十分敏感。一份外泄的候选名单会断送一笔交易,一份外泄的体检报告会断送一段职业生涯。以下是 Scout Atlas 完整的安全模型——我们做什么、如何去做,以及我们明确选择不做什么。

支柱

六项承诺,皆可审计。

支柱 01

默认加密

传输中采用 TLS 1.3,静态存储采用 AES-256-GCM。Deal Room 消息以每个房间独立的密钥进行端到端加密,我们无法读取。

支柱 02

身份已验证

采用魔法链接(magic link)认证,可选启用 TOTP MFA。绑定域名的工作邮箱。角色分配需经管理员批准,而非自行勾选。

支柱 03

行级隔离

Postgres RLS 在数据库层强制实施俱乐部之间的边界。应用层的某个缺陷无法暴露另一家俱乐部的数据。

支柱 04

默认审计

每一项经过认证的操作——查看、评分、发消息、覆盖——都会被不可篡改地记录。俱乐部管理员可随时导出本机构的审计日志。

支柱 05

合规意识

GDPR、KVKK、SOC 2 Type II 目标为 2026 年第四季度。由创始人主导的数据保护负责人会在 30 天内处理每一项请求。

支柱 06

未经同意不训练模型

Match 与 Vision 使用公开数据集进行训练。会员俱乐部的私有数据以每家俱乐部独立的密钥加密,未经书面同意绝不用于训练跨俱乐部模型。

控制项清单

完整清单,按领域划分。

如果贵方安全团队有一份采购问卷,本节大约能回答其中 70%。其余部分我们也乐于补全。

认证与访问

  • Supabase 魔法链接 OTP,可选硬件密钥 TOTP
  • 按角色划分的权限矩阵,在中间件 + RLS 中强制实施
  • 俱乐部管理员掌控邀请、角色与撤销
  • 会话过期:闲置 7 天,绝对 30 天,可按机构配置

数据保护

  • 敏感字段(PII、生物特征数据)静态存储采用 AES-256-GCM
  • 传输中采用 TLS 1.3、HSTS preload,仅使用现代加密套件
  • 为私有 GPS/生物特征数据流提供每家俱乐部独立的密钥封套
  • Postgres 中每张俱乐部范围的表都启用行级安全

应用安全

  • 严格的 Content-Security-Policy + Trusted Types
  • 每个 endpoint 都进行输入校验(白名单、最大长度、类型转换)
  • 仅使用预编译语句(prepared statements)——SQL 中不做字符串拼接
  • 每次 commit 均启用 Dependabot 与密钥扫描

运维

  • 由独立机构每季度进行一次渗透测试(自第二年起)
  • 工程师均经过背景调查;无具备生产访问权限的离岸外包人员
  • 加密备份,保留 30 天,每季度测试
  • 事件响应手册,由创始人轮值待命

隐私

  • GDPR + KVKK 第 15 条/第 17 条请求在 30 天内答复
  • 不转售数据。不做广告追踪。不做跨场景分析。
  • Analyst 及以上套餐可选欧盟区域数据驻留
  • 应请求删除数据:30 天软删除,随后进行加密擦除
加密架构

Deal Room 消息如何保持私密。

Deal Room 消息采用与 Signal 相同的基础密码学组件——X3DH 密钥协商与 Double Ratchet——进行端到端加密,并完全在浏览器中通过 Web Crypto API 运行。服务器仅转发密文和公开预密钥;它从不持有解密对话所需的密钥。

步骤 01

X3DH 密钥协商

每位成员持有一个 Ed25519 签名密钥和一个 X25519 ECDH 密钥。要建立通道,发起方会获取接收方的预密钥包——一个已签名预密钥,以及在可用时一个一次性预密钥——并执行三重 Diffie-Hellman(3-DH)握手。已签名预密钥证明该密钥包属于接收方,而非冒充其身份的服务器。

步骤 02

Double Ratchet

共享密钥为 Double Ratchet 提供种子。HKDF-SHA256 对称密钥链在每条消息时向前推进,因此泄露某个密钥无法揭示先前消息的任何内容(前向保密)。在新的临时密钥上执行一次 Diffie-Hellman 棘轮步骤,可在设备短暂被攻陷后修复会话(攻陷后安全)。

步骤 03

AES-256-GCM 消息封装

每条消息的专用密钥使用 AES-256-GCM(带认证的加密,96 位 IV)对明文进行封装。服务器仅存储密文、IV 和发送方的公开临时密钥。它无法访问在客户端派生的消息密钥。

零知识

服务器永不持有的密钥。

私有身份密钥、预密钥和棘轮密钥均在成员设备上生成并保存。密钥包端点仅存储不透明的公开预密钥;消息密钥仅存在于浏览器内存中。其实际结果是:即便是 Scout Atlas 也无法读取 Deal Room 内容——不存在可被强制交出的服务器端密钥。

诚实状态

目前所处的阶段。

这是当前在早期阶段(v0)发布的加密设计。密码学已实现并经测试验证,但尚未经过独立第三方审计,我们也尚未将其描述为已达生产级加固。预密钥通道会平滑降级——一次性预密钥保留一个储备下限,因此被耗尽的密钥池会回退到仅使用已签名预密钥的 X3DH,而不会开放式失效。随着该设计成熟并接受评审,我们将更新本页面。

数据驻留

欧盟区域驻留与传输依据。

总部位于欧盟的会员俱乐部可在 Analyst 级别及以上申请欧盟区域数据驻留。当个人数据被传输至欧洲经济区或英国以外时,我们依据欧盟委员会的标准合同条款(SCC)或适用的充分性决定;向土耳其境外的传输则在 KVKK 第 9 条所要求的保障措施下进行。完整政策见我们的数据保护声明。

我们不会做的事

我们绝不妥协的底线。

绝不

出售或共享你的数据。

不转售数据,不与数据经纪商合作,后台也不存在所谓“匿名化”数据集。你的阵容名单属于你自己。

绝不

未经同意便用私有数据训练模型。

会员俱乐部的私有输入(GPS、生物特征、医疗)不参与任何模型训练。就是如此。公开数据集则会公开披露。

绝不

读取你的 Deal Room 消息。

Deal Room 消息采用端到端加密。即便有法院命令要求,我们也无法提供其内容。

绝不

掩盖安全事件。

任何涉及会员数据的安全事件,都会在 72 小时内向受影响的俱乐部披露,并在 14 天内提供书面事后复盘。

漏洞披露

发现了漏洞?我们想听到你的反馈。

我们运行一个开放的负责任披露计划。请发送邮件至 security@scoutatlas.co,附上细节与复现步骤。我们会在 48 小时内回复,并在补丁发布时于更新日志中致谢研究者。