Skip to main content

信任中心

安全與合規信任中心

面向 PE、VC、對冲基金與合規官的可審計架構說明 — 為尽調而写,而非口号。

自助檔位 vs 企業版項目

專業版與團隊版可在本網站全自助開通。企業版面向需要專用合規工作台與合同範圍的受監管 rollout。

專業版與團隊版(自助)

  • 專業版含私隱閘道、安全外鏈與 Shield AI
  • 團隊版含團隊協作側欄 — 指派给我 / 我指派的
  • 團隊版含郵件指派、共享草稿與撰写器審批
  • 全檔位含 2FA、會話門禁 API 與限流

企業版項目(郵件咨询)

  • 合規官工作台與 CSV 匯出
  • Legal Hold 與不可篡改哈希鏈校驗
  • BYO Key — Azure OpenAI / Gemini(不限平台 AI 上限)
  • 企業版合同專属尽調支持

若需 50+ 席位、Legal Hold 或受監管機構 rollout: 企業版咨询

物理安全與主體隔離

上海研發持有工程资產與源碼仓库。香港離岸主體负责商業合同與客戶支持。生產數據與物理伺服器托管於美國弗吉尼亚合規數據中心。

  • 上海研發實體僅持有工程资產;研發環境不存放生產數據库凭證、HttpOnly 會話密鑰或 IMAP 解密密鑰。對美國托管生產基礎設施的访問限於指定运维角色,遵循最小權限、MFA 與審計日誌 — 日常研發無需生產郵箱访問。
  • 數據處理設計满足雙重司法對齐:美國 CCPA 與香港《個人資料(私隱)條例》(PDPO)。
  • 郵件正文保留在 Dovecot IMAP;Finmail 數據库僅存储索引元數據與合規工件 — 正文不作為 SQL 层的繫統記錄落库。
研發 · 资產
上海
代碼與 IP
运营
香港
市場與合同
數據面
美國(弗吉尼亚)
托管與 SoR

不可篡改合規審計鏈

企業版開通後,合規官工作台將重要郵件操作 — 打開、下載、轉發、安全連結傳送 — 写入僅追加審計日誌。團隊版與專業版記錄關鍵事件(讀信、安全外鏈)供运营復核;完整控製台與 Legal Hold 需企業版項目。

每條記錄獲得服務端分配的單調递增序列号、上一項哈希連結,以及對規範行數據計算的 SHA-256 條目哈希。並發写入在冲突時安全重試。

平台管理員無法在不破坏鏈校驗的情况下改写曆史。损坏鏈僅能透過受控、可審計的修復流程處理 — 禁止静默編輯。

技術示意圖(文本)
compliance_audit_logs(僅追加)
┌─────────┬──────────────┬──────────────────────────────────────┐
│ seq (n) │ previousHash │ entryHash = SHA-256( canonical row ) │
├─────────┼──────────────┼──────────────────────────────────────┤
│    1    │   (genesis)  │  H₁                                  │
│    2    │     H₁       │  H₂ = f(row₂ ∥ H₁)                   │
│    3    │     H₂       │  H₃ = f(row₃ ∥ H₂)                   │
│   …     │     …        │  篡改 → verifyAuditLogChain 失敗     │
└─────────┴──────────────┴──────────────────────────────────────┘
• sequence:BIGINT,严格單調(僅服務端赋值)
• 動作:read、download、forward、mail.send.secure_link 等
• 客戶端可校驗;無法伪造鏈頭或改写曆史

私隱閘道與 Shield 影子別名

私隱增強閘道降低出站與入站路径的元數據泄露:

  • 頭净化在中繼前剥離敏感 MIME 頭(客戶端 IP 痕迹、設備指紋、多余 Received 跳)。
  • 讀信模式 HTML 净化在配置下阻斷被動追踪像素,阻斷事件計入統計供審查。
  • Shield 影子別名使出站经中繼地址傳送,對外隱藏分析师真實地址並保持可达性。

HttpOnly 會話與客戶端 Vault

郵件正文不存入 SQL 數據库。登入時郵箱密碼密封在 HttpOnly 會話 Cookie 中,僅在進程內為 IMAP/SMTP 解密 — 不向浏覽器暴露,也不以明文写入用戶資料供傳輸復用。

跨設備偏好與加密郵件快取快照以 Vault 密文上載。密鑰由本地主密碼派生;Finmail 服務端僅存储加密块 — 平台無法解密。

HttpOnly CookieAES-GCM Vault正文保留在 IMAP

安全外鏈與出站控制

安全外鏈讓收件人透過認證連結閱讀敏感內容,避免在附件中暴露完整 MIME 載荷。

  • 閱後即焚時間窗與讀信頁可選水印。
  • 安全連結傳送写入合規審計(mail.send.secure_link),審計失敗不阻斷投递。
  • 出站郵件经 mail_outbox → worker → Postfix SMTP,並按角色限流。
  • 撰写器加密模式與閱後即焚触發安全外鏈出站路径。

AI 處理與出站控制

啟用 AI 功能時(摘要、Ask Finmail、傳送前檢查):

  • 處理範圍限定於為已認證帳戶提供本服務。
  • 外部 AI 出站可按租戶設定應用 PII 脱敏。
  • Finmail 不使用郵箱內容訓練或改進通用大模型。
  • 用量透過 ai_usage_logs 計量,含月度额度與日安全阀。

客戶须獨立核驗 AI 輸出後再用於監管或税務申報。

傳輸認證與 Edge 边界

閘道能力补充 — 而非替代 — MTA 級 TLS 與身份認證:

  • SPF、DKIM、DMARC 對齐保障機構級可达性 — 結果來自真實 RFC822 頭,非占位徽章。
  • Dovecot IMAP 與 Postfix SMTP 在生產路径強制 TLS 傳輸。
  • Edge 代理(proxy.ts)僅做 JWT/Cookie 門禁 — Edge Runtime 內不連接數據库或 IMAP。
  • 企業域名入驻為租戶生成 DKIM 密鑰,並提供 MX/SPF/DMARC DNS 配置向導。
SPF / DKIM / DMARC 配置指南 →

附件安全

入站附件在預覽前经生產掃描與沙箱控制:

  • ClamAV 恶意軟件掃描,上載後調度掃描任務。
  • 沙箱預覽與脱敏門禁,未信任內容 inline 展示前拦截。
  • Link Shield 與伪造檢測對可疑 URL 與發件人身份不一致發出警告。
  • 出站 DLP 在傳送前掃描敏感內容。

创新與知識產權

Finmail 在美國與日本均有已授權專利。营銷與產品頁引用美國授權;完整專利組合列於本頁供尽調審查。

專利說明書描述郵件原生价值傳輸、匯款郵件集群等创新。並非每項權利要求均對應今日已上線的 Finmail Webmail 功能 — 例如 Pay-To 匯款能力未提供。本頁其它章節中的收件箱索引、私隱閘道與團隊工作流反映現行產品,不代表專利全文範圍。

專利号法域授權日摘要
US12542755B2美國2026 年 2 月 3 日基於电子郵件的价值傳輸與匯款郵件集群繫統 — 经郵件伺服器、SMTP/DNS 查询收款地址及跨域匯款操作。 在 Google Patents 查看
JP7308496B2日本2023 年 7 月 14 日郵件原生工作流中安全數碼通信的较早族繫申請(在美國授權中被引用為先前技術)。 在 Google Patents 查看
閱讀美國專利公告 →

安全與傳輸控制

Finmail 暂未發布 SOC 2 Type II 鉴證報告。工程實践按 Trust Services Criteria 路線圖演進,供未來企業版 rollout 使用。目前生產路径已實現:

  • 僅追加合規審計與封存策略
  • 強制 2FA(TOTP 與備用碼)
  • 郵件與設定相關 API 的會話認證
  • 登入與敏感路由限流
  • SMTP 強制 TLS 與 Postfix 傳輸加密
  • 文件化的審計日誌修復流程
  • 外部 AI 請求的 PII 脱敏
  • 安全外鏈閱後即焚與水印

运营透明度 · 實時繫統狀態

本頁為架構與合規證據。公開繫統狀態頁展示生產環境實時探活 — Dovecot IMAP、Postfix SMTP、AI 平台與私隱中繼 — 並提供 90 天可用率曆史與事故披露。

可在狀態頁訂閱 P1 事故與维護通知。探活不調用郵件或合規讀 API。

查看實時繫統狀態 →
安全白皮書

下載《Finmail 安全白皮書》

架構深度說明 — 數據托管、審計鏈、私隱閘道中繼與 AI 出站控制。

延伸閱讀

本頁架構證據與运营指南、產品動態互补: