想了解技术细节——流程图、加密、保留任务?
本页介绍标准。姊妹页介绍数据如何流动:通话流程、加密、保留任务、删除脚本、子处理方。
标准与认证
合规一览。
诚实版本。清晰呈现我们直接遵守的标准、从基础设施合作伙伴继承的认证,以及——也许最重要的——我们不声称符合的标准。没有"绿色对勾墙"。如果某项法规不在列表上,我们不会假装遵守它。
1. 我们直接遵守的标准 iHospitality Inc. 作为数据控制者
作为收集和处理个人信息的加拿大私营企业,这些法律直接适用于 iHospitality Inc.。我们直接受这些法律约束,可以以自己的名义证明合规。
2. 技术保障措施 仅摘要 — 详细内容见数据处理指南
我们在自己的基础设施上运行的控制措施。一行摘要;数据处理指南覆盖实施细节。
- 传输中 TLS 1.2+,静态 AES-256
- 加拿大主要基础设施(加拿大 VPS;Twilio 通过加拿大接入点路由)
- 按租户逻辑隔离 — 跨租户访问不是存在的代码路径
- 带审计日志的删除 — 脚本化、带时间戳、有操作员身份、支持 dry-run
- 每次通话的同意审计追踪 — 通话时生效的精确同意文本存储在记录中
- 自动化保留执行 — 每周任务清除转录、匿名化元数据、删除录音
3. 从我们的处理方继承的认证 我们依赖但并不拥有
我们自己不持有这些认证 — 我们的处理方持有,用于他们运营的部分。营销应写"构建在 SOC 2 Type II 基础设施上",而不是"SOC 2 认证"。
| 供应商 | 角色 | 其认证 |
|---|---|---|
| Twilio | 通话路由与电信 | SOC 2 Type II · ISO 27001 · 加拿大接入点 |
| Airtable | 业务数据存储 | SOC 2 Type II · 静态 AES-256 |
| Stripe | 支付与订阅 | PCI-DSS 一级 |
| Hostinger | VPS 主机与事务电子邮件 | ISO 27001 |
| Anthropic | Claude AI 对话模型 | 零保留 API · 不使用输入训练 |
4. 我们不声称的标准 诚实比一堵绿色对勾墙更能建立信任
如果一项标准在此列表上,请不要仅凭我们的话 — 我们没做那项工作。如果您在合同中需要它,请询问。
| 标准 | 状态 | 为什么没有 |
|---|---|---|
| SOC 2 Type II ✗ (我们自己的审计) |
未持有 | 我们的基础设施合作伙伴持有 SOC 2 Type II。我们没有对 iHospitality Inc. 自身控制的独立审计。在企业级销售时有用;在中小企业规模下不经济。 |
| ISO 27001 ✗ (我们自己的) |
未持有 | 同样的理由 — Hostinger 的托管符合 ISO 27001,我们的运营未获独立认证。 |
| HIPAA ✗ | 不适用 | HIPAA 是美国法律。我们在 PIPEDA 和魁北克 25 号法下服务加拿大企业。我们不接受美国 PHI,也不以 HIPAA 合规进行营销。 |
| PHIPA — (支持性,并非直接受监管) |
共同责任 | 安大略省《个人健康信息保护法》规范"健康信息托管者"(诊所、医生、实验室)。使用我们服务的诊所是托管者;我们作为他们的代理。 |
| GDPR ✗ | 不面向欧盟 | 我们不面向欧盟居民营销。如果欧盟境内的人注册,我们可能需要限制服务 — 请通过申请表联系我们。 |
| CCPA / CPRA ✗ | 不服务加州消费者 | 我们面向加拿大企业及其加拿大客户。不支持加州消费者权利请求。 |
为什么要列出我们没有的内容?
因为"绿色对勾墙"式的缩写清单往往隐藏的比揭示的更多。如果某项声明对您的购买决定至关重要 — 比如您需要 SOC 2 才能通过大公司的供应商审查 — 我们希望您现在就知道。对于具体的合规需求,请通过申请表提交问题。
5. 我们多久审查一次
合规声明会随时间漂移。这是我们的节奏:
- 每 6 个月:全面审查 — 重新核实所有声明,移除过期认证,添加新认证
- 任何重大变更:新增第三方处理方、新增数据类别、重大架构变更 — 立即更新
- 公开变更日志:顶部的"上次审查"日期是真实来源;如果超过 9 个月,请升级处理