信任

安全与合规

我们采取的具体且诚实的措施——以及我们没有声称的部分。

加密传输

所有流量经 HTTPS/TLS 传输;应用托管于 Netlify,证书由平台托管管理。

密码哈希

密码以 bcrypt 哈希存储,绝不以明文存储或记录。

基于令牌的鉴权

会话使用签名 JWT,存于 httpOnly、SameSite 的 Cookie。生产环境下签名密钥为强制项——缺失时应用拒绝签发令牌。

支付隔离

卡信息完全由 Stripe 处理。完整卡号绝不进入我们的服务器或数据库。

加密数据库

数据存储于 Neon Postgres,静态加密;访问采用最小权限凭证。

最小化数据

我们仅收集服务所需:邮箱、哈希密码、订阅状态与可选反馈。

负责任披露

发现漏洞?请发送至 security@trendnow.app 并附复现步骤。在公开披露前请给予我们合理的修复时间。我们感谢善意的安全研究。

关于认证的诚实说明

我们目前不声称拥有 SOC 2、ISO 27001 等正式认证。我们只描述实际运行的控制措施。随着平台成熟,我们会更新本页,而非夸大安全姿态。