数据安全与日志策略

本策略用于指导 11API 试水阶段的最低安全运营要求。

日志原则

1. 默认不保存 prompt 正文和模型输出正文。
2. 保存请求元数据、费用、模型、状态码、IP、用户 Token ID 和耗时。
3. 调试日志必须用户主动同意，并在 72 小时内清除。
4. 安全日志保留 6 个月，用于风控、争议处理和合规审计。

API Key 与 Token

1. BYOK Key 只用于用户授权的网关配置。
2. 不在客服聊天、截图、文档或日志中明文展示完整 Key。
3. 对外展示 Token 时只显示前后少量字符。
4. 离职、交接、外包或临时协助时必须轮换管理 Token。

运维安全

1. 服务器只开放 22、80、443。
2. PostgreSQL、Redis、New API 内部端口不对公网开放。
3. 管理后台放在内网、VPN、Cloudflare Access 或等效访问控制后。
4. 每日备份 PostgreSQL、配置、文档和运营模板。
5. 生产 .env 不提交到 Git，不通过聊天工具明文转发。

异常处理

出现以下情况要立即人工复核：

1. 单用户成本异常增长。
2. 上游连续 429、5xx 或封禁提示。
3. 支付冻结、退款争议或疑似欺诈。
4. 批量注册、共享 Token、爬虫滥用或攻击行为。
5. 用户要求代登、共享号、低价账号池或绕限制。

最低上线检查

上线前确认：

1. PUBLIC_SIGNUP_ENABLED=false
2. ORDER_INVITE_CODE 已设置
3. TRIAL_SINGLE_ORDER_MAX_CNY=300
4. TRIAL_FLOATING_BALANCE_MAX_CNY=5000
5. NEW_API_REDEMPTION_SYNC_ENABLED=true
6. NEW_API_ADMIN_ACCESS_TOKEN 或 INITIAL_ROOT_ACCESS_TOKEN 已配置
7. PAY_WEBHOOK_TOKEN 和 PAY_ADMIN_TOKEN 已换成强随机值
8. 文档站公开了用户协议、隐私政策、退款规则和滥用举报入口