寻找监管声明?
本页介绍数据如何移动。若需查看标准视图——我们直接遵守什么以及不声称什么——请参阅姊妹页面。
技术演练
数据处理指南。
数据实际如何流动。本页介绍机制——通话流程、加密、保留计划、删除脚本、子处理方——面向进行实施审查的安全工程师和 IT 管理员。若需查看标准视图(PIPEDA、25 号法、CASL、认证),请参阅合规页面。
1. 通话如何在我们的系统中流动
当有人致电使用我们 AI 接待员的企业时,这就是音频和数据所经过的路径。除了实时通话状态外,我们的服务器上不会持久保存任何内容;永久存储发生在 Airtable 步骤。
来电者拨号
→
Twilio(加拿大接入点)
→
语音助手(加拿大 VPS)
→
Claude AI(零保留)
→
Airtable(记录)
- Twilio 接收来电,通过加拿大接入点路由,并通过加密的 WebSocket 连接将音频流传输到我们的服务器。
- 语音助手在我们的加拿大 VPS 上运行。它转录来电者的语音,将文字发送给 AI 处理,并通过 Twilio 回放 AI 的响应。
- Claude AI (Anthropic) 实时处理对话。Anthropic 的 API 执行零保留政策——输入不被存储,不用于模型训练。
- Airtable 在通话结束后存储通话记录、文字摘要和预约详情——这是任何内容首次被持久保存的点。
关键点:您的通话音频是实时流式传输的,不会永久存储在我们的服务器上。如果为某个租户启用了通话录音,则该录音由 Twilio 存储,并在 90 天后自动删除。
2. 加密与安全
传输中
- 所有 HTTP 流量使用 TLS 1.2+(优先 TLS 1.3)。在 nginx 层强制执行,启用 HSTS 和现代加密套件。
- Twilio 音频流使用加密的 WebSocket 连接。
- 对 Anthropic、Airtable 和 Stripe 的 API 调用使用 TLS 加密的 HTTPS。
静态
- Airtable 使用 AES-256 加密所有存储的数据。
- 我们的密钥文件(
/opt/secrets/secrets.enc.yaml)使用 SOPS + age 加密。明文永不触及磁盘——文件在服务启动时在内存中解密。 - 文件权限被锁定(
chmod 600)。密钥从不写入日志,从不通过命令行传递,从不提交到代码。 - Redis(内存缓存)存储临时通话状态并自动过期——没有任何内容持久化到磁盘。
- 承载工作流数据的 PostgreSQL 数据库使用按库分配的凭据,通过同一 SOPS 存储轮换。
加拿大托管
- 主要服务器基础设施托管在加拿大(VPS 提供商:Hostinger,加拿大区域)。
- Twilio 配置为在可用时通过加拿大接入点路由通话。
3. 数据保留时间表
保留由每周运行的自动化脚本强制执行。这不是愿景——它们在生产中运行,可以通过 --dry-run 审计。
| 数据类型 | 保留期 | 过期后 | 执行方式 |
|---|---|---|---|
| 通话文字记录 | 90 天 | 永久删除 | 每周 cron → data_retention.py 清除 90 天以上的行 |
| 通话录音(音频) | 90 天 | 通过 API 从 Twilio 删除;我们这边的引用被清除 | 每周 cron 删除 90 天以上的 Twilio 录音 SID |
| 通话日志和元数据 | 12 个月 | 电话号码替换为 ANONYMIZED;保留汇总统计 | 每周 cron 匿名化 12 个月以上的记录 |
| 预约 | 完成后 12 个月 | 删除 | 同一每周保留作业 |
| AI 通话摘要 | 保留 | 无直接标识符;用于运营分析 | 保留脚本不强制执行(无 PII) |
| n8n 工作流执行数据 | 90 天 | 从数据库清除 | n8n 内置清除设置 + 每周 cron 备份 |
| 账单记录(发票) | 6 年 | 根据加拿大税法(CRA)保留 | Stripe 保留与加拿大记录保存义务一致 |
4. 自动化数据生命周期
执行上述保留计划的具体作业:
- 每周文字记录清除(
data_retention.py,周日 UTC 03:30)——90 天以上的文字记录被永久删除。AI 生成的摘要(无直接标识符)被保留。 - 每周来电者匿名化——12 个月以上的通话记录的电话号码被替换为
ANONYMIZED。汇总统计保留。 - 每周录音清理——90 天以上的 Twilio 录音 SID 通过 Twilio Recordings API 删除,然后我们这边的引用被清除。
- 每周执行清除——90 天以上的 n8n 工作流执行数据被删除。
- 每夜回归测试——单独的 cron 运行端到端测试,验证保留作业和删除管道仍在工作;任何失败都会向操作员发出警报。
所有保留作业都支持 --dry-run 模式——您可以在不执行的情况下准确查看哪些行会受到影响。
5. 被遗忘权——删除机制
何时触发删除
当商业客户的服务因以下任何原因被禁用时,自动触发数据完整删除(按上述时间表——文字记录/录音 90 天,元数据 12 个月):
- 客户通过 Stripe 计费门户取消订阅
- 发行完全退款——Stripe 退款事件后几秒内禁用服务;保留时钟从禁用时间戳开始
- 提交拒付(银行争议)——与完全退款相同的行为
- 试用期到期但未转换为付费计划
- 代理合作伙伴的账户被取消,使其客户账户成为孤立的(禁用前有 30 天宽限期)
部分退款(善意抵免)不会禁用服务或触发删除时间表。
删除什么(商业客户离岗)
- 与企业相关的所有语音通话记录
- 所有 Twilio 录音(音频文件)
- 所有预约、员工记录、营业时间、假期和服务列表
- Redis 中的所有缓存数据
- 客户记录本身
审计追踪
每个删除操作都会记录:时间戳、记录数、操作员身份。审计日志与被删除的数据分开保存,因此删除事件仍可验证。
个人来电者请求
如果个人来电者(而非商业客户)请求删除其数据,请通过我们的隐私请求表(英文版)提交请求。我们通过电子邮件验证请求,然后在 30 天内定位并删除与您的电话号码相关联的所有记录。
6. 子处理方
作为服务交付一部分处理数据的第三方服务。他们看到的数据及其自身的合规立场:
| 提供商 | 用途 | 共享数据 | 认证 |
|---|---|---|---|
| Twilio | 通话路由、电话服务、短信 | 电话号码、通话音频、短信内容 | SOC 2 Type II、ISO 27001、加拿大接入点 |
| Anthropic | AI 对话处理(Claude) | 通话文字记录(实时,流式) | 零保留 API、SOC 2 Type II |
| Airtable | 业务数据存储 | 通话记录、预约、客户资料 | SOC 2 Type II、AES-256 静态 |
| Stripe | 支付与订阅 | 账单姓名、电子邮件;卡片数据已令牌化 | PCI-DSS 一级 |
| Hostinger | VPS 托管、事务性电子邮件 | 服务器进程;外发邮件正文 | ISO 27001 |
自托管(非子处理方):Redis 运行在我们自己的加拿大 VPS 上,作为临时通话状态的内存缓存。数据自动过期;没有任何内容持久化到磁盘。
7. 租户隔离
- 每个企业分配一个唯一的租户 ID。
- 每个 Airtable 查询、Redis 键和工作流执行都按租户 ID 范围限定。跨租户访问不是存在的代码路径。
- API 令牌限定为所需的最小权限。凭据从不在租户之间共享。
- 门户访问按租户使用带有租户声明的 JWT 令牌进行身份验证。
- Redis 缓存键按租户 ID 命名空间,并自动过期。
8. 访问控制
- API 令牌——限定为所需的最小权限;通过 SOPS 存储轮换。
- 文件权限——密钥以
chmod 600存储(仅所有者访问)。 - 无共享凭据——每个服务使用自己的身份验证。
- 门户身份验证——密码使用 bcrypt 散列,JWT 短期过期。
- 环境隔离——密钥在服务启动时从受限权限的环境文件加载,从不提交到代码。
9. 备份
自动化备份防止数据丢失。本地存储在我们的加拿大基础设施上——无跨境传输。
| 内容 | 频率 | 保留期 | 完整性 |
|---|---|---|---|
| 应用数据库(PostgreSQL) | 每 6 小时 | 14 天滚动 | pg_dump 附校验和验证 |
| 业务数据(Airtable) | 每日 | 30 天滚动 | 完整表格导出并分页 |
| 完整系统 DR 备份 | 每日 | 7 天滚动 | 包括 /opt 数据和配置 |
| 异地 git 备份 | 每日 | 无限期(版本控制) | 仅代码 + 配置模板;无密钥,无客户数据 |