Motivation MoneyData Privacy & Security
加密架构
静态 AES-256-GCM 加密、传输中 TLS 加密,以及密钥分离的信封加密。
静态加密
所有敏感数据在进入数据库之前均使用 AES-256-GCM 加密——这与银行和政府机构使用的标准相同。
| 数据 | 保护方式 |
|---|---|
| CEX API 凭证(密钥、密码、口令) | 静态加密(AES-256-GCM),从不记录日志,保存后从不返回 |
| Safe API 密钥 | 静态加密(AES-256-GCM),独立加密作用域 |
| 钱包地址 | 静态加密,带哈希验证 |
| 薪资和支付金额 | 静态加密 |
| 电子邮件地址 | 受数据库级别访问控制保护 |
每次加密操作都使用唯一的随机初始化向量(IV),这意味着相同的数据每次都会产生不同的密文——防止模式分析。
传输加密
所有连接都使用 TLS(传输层安全协议)。在您的浏览器、我们的服务器和数据库之间传输的数据都是端到端加密的。没有明文 HTTP 回退。
信封加密与密钥分离
加密密钥与认证凭证在架构上是分离的。攻破一个系统不会暴露另一个系统。我们使用信封加密模型,具有专用的密钥层次结构:
Root Key (KEK) — 与应用密钥分开存储
├── DEK-CEX — 加密交易所 API 凭证
├── DEK-Safe — 加密 Safe API 密钥
└── DEK-PII — 加密钱包地址、薪资- 专用的主加密密钥(KEK)保护各个数据加密密钥(DEK)——与认证密钥完全分离
- 每类敏感数据使用各自专用的 DEK
- 轮换根密钥只需重新包装 DEK(速度快),无需重新加密所有数据
- 攻破一个 DEK 不会暴露其他 DEK 保护的数据
数据库级别访问控制
每个数据库查询都通过行级安全(RLS)限定到您的组织范围。即使应用代码中的漏洞绕过了某项检查,数据库本身也会确保您只能看到自己组织的数据。不存在绕过这些控制的"管理员模式"。