信任
安全与合规
我们采取的具体且诚实的措施——以及我们没有声称的部分。
加密传输
所有流量经 HTTPS/TLS 传输;应用托管于 Netlify,证书由平台托管管理。
密码哈希
密码以 bcrypt 哈希存储,绝不以明文存储或记录。
基于令牌的鉴权
会话使用签名 JWT,存于 httpOnly、SameSite 的 Cookie。生产环境下签名密钥为强制项——缺失时应用拒绝签发令牌。
支付隔离
卡信息完全由 Stripe 处理。完整卡号绝不进入我们的服务器或数据库。
加密数据库
数据存储于 Neon Postgres,静态加密;访问采用最小权限凭证。
最小化数据
我们仅收集服务所需:邮箱、哈希密码、订阅状态与可选反馈。
负责任披露
发现漏洞?请发送至 security@trendnow.app 并附复现步骤。在公开披露前请给予我们合理的修复时间。我们感谢善意的安全研究。
关于认证的诚实说明
我们目前不声称拥有 SOC 2、ISO 27001 等正式认证。我们只描述实际运行的控制措施。随着平台成熟,我们会更新本页,而非夸大安全姿态。