靜態與傳輸加密
Optserv 如何在儲存與傳輸時加密資料:全站 TLS、資料庫靜態加密,以及帳號共享的用戶端加密。
Optserv 會在資料「傳輸中(in transit)」與「儲存中(at rest)」都進行加密。
傳輸中(In transit)
您的瀏覽器與 Optserv 伺服器之間的所有通訊都使用 TLS(Transport Layer Security)。這能確保:
- 登入憑證、個資與公司資料不會在傳輸途中被攔截
- 中間人攻擊無法讀取請求內容
- 適用於
optserv.ai、app.optserv.ai與所有 API 端點
Optserv 會強制使用現代 TLS 版本;不支援過時協議(TLS 1.0、1.1)。
儲存中(At rest)
Optserv 資料庫中的資料會以靜態加密形式儲存。這能在遭遇實體媒體存取或未授權的基礎設施存取時保護資料。
靜態加密由基礎設施層(Supabase/PostgreSQL)管理,對應用層是透明的——查詢正常運作,但底層儲存是加密的。
帳號共享:額外的用戶端加密
帳號共享在標準加密之外,增加了一層:資料抵達 Optserv 伺服器前就先在用戶端加密。
當您在帳號共享中儲存一筆憑證:
- 憑證會在瀏覽器中以 AES-GCM 256-bit 加密
- 只有加密後的密文會被傳送並儲存在 Optserv 伺服器上
- Optserv 不會接收或儲存明文憑證
這代表即使是 Optserv 內部人員也無法讀取帳號共享的憑證,因為解密金鑰不會離開用戶端。
完整密碼學模型請見 帳號保管庫密碼學。
加密無法防範的風險
加密能保護資料免於外部攻擊者與未授權基礎設施存取,但無法防止:
- 合法登入且具備足夠權限的使用者選擇匯出或濫用資料
- 帳號被盜用(例如員工遭釣魚取得密碼)
- 社交工程
Optserv 的角色與存取控制(RBAC、RLS)才是用來降低「內部濫用」與「權限誤用」的控制。加密與存取控制相輔相成,彼此不能取代。