数据安全能力

扣子始终致力于为客户提供安全、可靠且高效的 SaaS 解决方案，通过严格的技术与管理措施，全方位保障数据的完整性、机密性和可用性。

数据安全

用户角色权限管理

扣子提供灵活且细粒度的角色权限控制机制，以满足不同组织的多样化需求。

• 基于角色的访问控制（RBAC）：支持自定义角色与权限分组，可为用户分配多种角色，以精确限定其操作权限。
  目前暂无面向 B2B 的租户管理模式，但扣子提供了企业功能，方便企业协作和资源共享。你可以创建工作空间并邀请成员加入，共同构建智能体。智能体、插件、工作流和知识库等资源可以在工作空间成员之间共享。不同企业之间资源相互隔离，确保企业内的数据安全。
• 动态权限校验：系统会根据用户的权限配置实时校验其操作，确保未授权操作无法执行。
• 分层访问机制：支持数据访问的灵活配置，提供多种级别的管理方案，满足不同组织结构的需求。

身份模型

扣子支持跨账户（Account Space）的基于角色的访问控制（RBAC）机制，用于在多个用户和应用之间进行权限管理和资源访问。通过采用 OBO（On Behalf Of）机制，实现多账户环境的跨账户授权。在这种机制下，一个账户可以代表另一个账户执行操作，比如在工作空间内协作开发智能体和工作流。下图中展示了三个独立的账户 Alice、Bob 和 Neo 协作处理的权限机制，每个账号下包含用户（User）、服务主体（Service Principal）、权限集（Permission）和受保护的资源（Protected Resource）。各个元素说明如下表所示：

访问控制

扣子数据管控权限策略是基于上述模型设计，确保用户仅能访问和控制其权限范围内的数据。例如对于管理员，采用 MAC 机制通过 IP、用户组和密级等系统级策略进行严格管控；对于资源所有者，采用 DAC 机制，支持细粒度的动态权限分配（如只读、编辑、管理）。

• 授权类型
  扣子授权类型包括 OAuth 、MAC 和 DAC，分别适用于不同的安全需求和应用场景。

  授权类型	说明
  OAuth	用于限制 Service Principal（服务主体）发起资源访问时的权限，遵循默认拒绝（Deny By Default）原则，即默认情况下服务主体没有访问权限，需通过授权流程获得特定权限才能访问资源，这保障了资源访问的安全性。
  MAC	强制访问控制机制，由系统强制执行访问控制策略，用户无法自主更改。遵循默认允许访问（Allow By Default）原则。
  DAC	自主访问控制机制，允许用户自主管理其访问权限，对主体进行直接授权，遵循默认拒绝（Deny By Default）原则。

• 策略类型
  扣子权限策略类型包括系统内置策略和用户自定义策略，为用户提供从基础到定制化的访问控制解决方案。

  授权类型	说明
  系统内置策略	系统内置策略是预先定义好的访问控制规则，主要用于支持 MAC 和 DAC，为用户提供基础的访问控制框架，确保系统的基本安全性和稳定性。
  用户自定义策略	提供了一系列预定义的策略模板供用户选择和使用，用户可以根据具体业务需求定制访问控制策略，例如基于用户角色的访问控制策略。

用户数据保护

为确保用户数据安全，扣子平台采取了全面的保护措施，涵盖数据存储、访问控制、加密等多个方面。

数据保护声明：用户协议、数据保护条例中均保证不会将您的数据用于模型训练、数据分析、分享等用途。详细说明，请参考扣子数据处理协议。

数据存储方式：存储策略包括数据库定期快照和备份、数据中心两地三中心备份、定期全量备份和实时增量备份。公司设有明确的数据中心安全管理制度，涵盖机房访问管理和环境安全等要求。

数据访问控制：扣子后端（数据库、运营后台）的数据访问受到严格限制，所有访问行为均被记录和审计。未经客户许可，扣子不会查看客户数据。

数据加密：在数据传输、消息拉取、消息推送、身份验证和操作指令等数据传输过程中，扣子均使用 HTTPS、WSS、非对称算法密钥进行加密保密。此外，在将数据输入大模型之前，会在平台侧进行分段切片处理，确保大模型不会一次性获取所有数据。

内容安全

在扣子平台，所有应用在发布前都必须经过一系列安全和合规性审查流程，包括自动化的代码扫描和人工审核，以确保应用不会对平台或用户数据构成风险。此外，如果应用需要发布到第三方渠道（微信、飞书、抖音等），还需要遵循第三方的应用审核策略。

在扣子平台创建、发布、运行等各个阶段均实施内容安全审核机制，确保策略标准达到国家监管要求。