为合规打造的安全架构

已通过SOC 2 Type II持续审计、ISO 27001:2022及ISO 27017云安全认证。数据驻留遵循新加坡MAS Notice 644外包规定、欧盟GDPR第44–50条及阿联酋CBUAE PRC 2018要求。每项控制均按NIST CSF 2.0与CIS Controls v8高基线设计，超越行业基线，满足机构级监管审查标准。

SOC 2

Type II认证

安全性、可用性和保密性控制的持续审计，覆盖AICPA Trust Services Criteria全部五大类别，报告每年由独立第三方审计师出具。

ISO 27001

信息安全

涵盖人员、流程和技术的正式ISMS，依据ISO 27001:2022最新版本认证，并附加ISO 27017云安全控制及ISO 27018个人数据保护扩展。

EU · SG · UAE

数据驻留

区域锁定部署：新加坡（MAS Notice 644外包合规）、欧盟（GDPR第44–50条跨境传输）、阿联酋（CBUAE PRC 2018数据本地化），确保数据不离境。

WIDTH如何保护您的数据

设计即防御

以下每项控制均已文档化、通过独立测试，并依据NIST CSF 2.0识别–保护–检测–响应–恢复五大功能组织。完整控制矩阵、SOC 2报告及渗透测试摘要可在NDA下向符合资质的企业采购团队提供。

加密

传输中 + 静态

端到端TLS 1.3传输加密、AES-256-GCM静态加密，客户管理密钥（CMK）由HSM托管，符合FIPS 140-2 Level 3标准。满足MAS TRM Guidelines第9章及NIST 800-53 SC-28高基线要求。

访问控制

零信任、SSO、MFA

SAML 2.0 + SCIM自动化身份供给、基于角色的RBAC最小权限模型，符合NIST 800-53 AC-2/AC-6及CIS Controls v8 Control 6要求。每个管理员操作均生成细粒度不可篡改审计记录。

Audit trail

不可篡改、已索引、WORM

每个客户和管理员操作均以WORM格式记录，不可篡改、已建立全文索引。七年基线保留期符合FATF建议11（交易记录留存）及各司法辖区KYC法定5–7年要求。

弹性

多区域、优雅降级

多区域热备份部署，RTO < 4小时、RPO < 1小时，符合MAS Notice 644业务连续性要求及ISO 22301业务连续性管理标准。签名政策回退确保决策流在降级模式下持续运转。

漏洞管理

持续扫描，不只一年一次

持续SAST/DAST/SCA自动化扫描、季度第三方渗透测试、OWASP ASVS Level 2验证，并设有公开漏洞披露政策（VDP）。符合CIS Controls v8 Control 7及NIST 800-53 RA-5要求。

模型治理

每个模型，可审查

所有推理模型均经哈希签名版本管理，持续漂移监控（PSI/CSI指标），支持按需回滚。符合MAS FEAT原则（公平性、可解释性、问责制、透明度）及欧盟AI Act高风险系统技术文档要求。

下载安全资料包

SOC 2、ISO、渗透测试摘要与 DPA，NDA 下提供。

申请安全资料包 → 预约演示