SOC 2
TYPE II
当前TYPE II
SOC 2 Type II
信任服务准则: 安全性、可用性、保密性。处理完整性和隐私将在下次续证时新增。
Starter
90天
审计日志保留
信任与安全
我们做什么、我们具备什么、您可以 审查.
TradeOS 持有您的运营数据——订单、货运、合同、财务记录、供应商关系、客户数据、七个渠道的沟通记录。我们将这一责任视为贸易平台的 准入门槛 。不是营销定位。是基线。本页面记录了我们已经构建的内容、我们获得认证的范围、我们在合同上承诺的事项,以及您的团队可以独立审查的内容。
审计 · 年度
SOC 2 Type II完整报告 NDA 下提供 · 执行摘要公开
ISMS · 3 年周期
ISO 27001:2022所有平台运营 · 年度监督审计
隐私 · 欧盟主体
GDPR + DPABusiness+ 标配 · Enterprise 可定制
可靠性
99.95% 可用性SLA · status.edma.trade · 公开历史
已认证
已审计。已记录。NDA 下可获取。
本页面上的每一项声明都对应您的团队可审查的具体凭证。公开凭证可从下方链接下载。NDA 保护的凭证在签署标准 NDA 后 2 个工作日内交付。
ISO
27001
:2022
当前27001
:2022
ISO 27001:2022
适用性声明 记录了纳入范围的 93 项附录 A 控制项;可在标准 NDA 下与 SOC 2 完整报告一同获取。
GDPR
· EU ·
已合规· EU ·
GDPR 合规
EDMA 作为客户提供数据的 数据处理者 ;仅对用户账户数据担任数据控制者。
HIPAA
· BAA ·
有条件· BAA ·
HIPAA (BAA)
不适用于非医疗工作区。BAA 条款为标准 MSA 的附录,而非独立合同。
在 2026–2027 合规路线图上: PCI-DSS Level 1 (支付工作流)、ISO 27701 (作为 27001 的隐私管理扩展)、SOC 2 Type II 范围扩展至 Sovereign 和气隙部署层级。每季度在 新闻中心公开进展。
您的数据存放在哪里
按部署层级划分的地理数据驻留。
Team 和 Business 客户提供三个标准区域。Enterprise 层级在约 25 个云区域中提供单租户 Sovereign 部署。对于数据不能离开自身基础设施的客户,提供气隙部署。
驻留地图 · 默认行为 · 区域内3 个标准 + 25 个 SOVEREIGN
跨区域数据流动需主动启用且可审计。 默认行为:数据停留在您选定的区域。备份与灾难恢复:仅限同一区域内,除非客户以合同附录形式书面明确要求跨区域 DR。
加密
静态、传输中、使用中。端到端。
具体算法、具体密钥层级、具体计算证明。Enterprise 层级支持客户管理密钥:轮换或销毁密钥后,EDMA 将无法再解密您的数据——包括为我们自己的事件响应。
[01]
静态
数据 静态加密
- 所有存储数据 (数据库、对象存储、备份) 采用 AES-256-GCM 加密。
- 按租户加密密钥强制实现工作区级隔离;租户间不共享密钥。
- 分层 KMS:租户主密钥派生数据加密密钥;根密钥不离开 HSM。
- 备份加密使用独立的密钥层级;恢复需经客户明确授权。
- 审计日志使用第三套密钥族加密——保留期通过密码学方式强制执行,而不仅是访问控制。
[02]
传输中
数据 传输加密
- 所有外部通信使用 TLS 1.3——不回退至 TLS 1.2。
- iOS 和 Android 移动应用上启用证书固定。
- 平台内服务间认证使用 mTLS 双向 TLS。
- API 请求通过签名 JWT 认证,1 小时轮换且具备受众范围声明。
- WebSocket 连接继承相同的 TLS 1.3 标准;不回退至明文。
[03]
使用中 · 计算
数据 使用中加密
- 标准 SaaS:控制面 TPM 证明;敏感工作负载运行在证明运行时中。
- Sovereign 层级:在 AWS Nitro Enclaves 或 GCP Confidential Computing 上的机密计算——连 EDMA 工程师也无法访问已解密数据。
- 气隙层级:加密密钥和解密操作完全保留在客户基础设施上。
- Enclave 关闭时进行内存清零;明文工作内存不写入交换分区。
Enterprise · 密钥主权支持 BYOK 与 HYOK
支持跨主要密钥管理器的 Bring Your Own Key 与 Hold Your Own Key。 您可随时撤销 EDMA 对您数据的访问权 ,方法是轮换或销毁包装密钥。撤销后,EDMA 无法解密——无论是为了支持、为了事件响应,还是出于任何原因。
已支持· AWS KMS· Azure Key Vault· GCP Cloud KMS· HashiCorp Vault
访问控制
谁可以做什么——具备完整的审计可见性。
认证、授权和审计是三个独立系统,具备三种独立保障。RBAC 具有字段级粒度。具备密码学链接的防篡改审计日志。Business+ 层级提供 SIEM 兼容导出。
认证
[01 / 03]
用户如何登录。
- 邮箱 + 密码,可选 TOTP 双因素 Starter · Solo
- 通过 SAML 2.0 和 OIDC 的 SSO Business+
- SCIM 2.0 用于用户开通与停用 Business+
- 可按角色强制执行的强制 2FA Business+
- 通过 通行密钥 / WebAuthn 实现无密码——每个层级都推荐优先于密码使用
已在生产中验证的身份提供商
OktaAzure ADGoogle WorkspaceAuth0OneLoginDuoPing IdentityJumpCloud
授权
[02 / 03]
谁可以做什么。
- RBAC 含 6 个默认角色 + 无限自定义角色
- 权限粒度:模块 · 动作 · 字段
- 工作区作用域 ——多租户操作者可获得每个工作区独立的权限集
- 限时访问 ——具有明确过期时间的临时角色
- 针对支持升级的特权访问管理
- 即时 (JIT) 提权 用于高风险操作
- 敏感操作的审批工作流——按工作区可配置
默认角色
所有者管理员运营商财务查看者合作方
审计轨迹
[03 / 03]
记录每一个事件。
- 认证事件: 成功、失败、地点、设备
- 授权决策: 谁、什么、何时、授予/拒绝、依据
- 数据访问 对敏感实体——订单、合同、财务记录——在行级别记录
- 防篡改审计日志,采用 密码学链接 ——每条记录通过哈希与前一条相连
- 导出格式:CEF、LEEF、JSON——SIEM 兼容 Business+
已验证的 SIEM 目标
SplunkDatadogSumo LogicElastic SIEMSentinel
Solo
180天
审计日志保留
Business
1年
可用 SIEM 导出
Enterprise
无限制
客户自定义保留期
还有谁处理您的数据
完整子处理商披露。每季度更新。
下方列出每一个接触操作者数据的第三方。用途、访问的数据、所在地、合规态势。重大变更触发 30 天提前通知。Enterprise 客户在定制 DPA 下保留反对权。
| 子处理商 | 用途 | 访问的数据 | 所在地 | 合规 |
|---|---|---|---|---|
| Amazon Web ServicesAWS · 主基础设施 | 基础设施托管——计算、存储、数据库、网络 | 全部运营数据 | US · EU · APAC 按客户所在区域 | SOC 2ISO 27001HIPAA 合资格GDPR |
| AnthropicClaude · 主 AI | AI 推理——Atlas、法律 AI、会计 AI 的主模型 | 仅限操作者发起的 AI 提示词 | US | SOC 2GDPR零数据保留 |
| OpenAIGPT · 备用 AI | AI 推理——备用 / 专项能力 | 仅限操作者发起的 AI 提示词 | US | SOC 2GDPR零数据保留 |
| GoogleGemini · 备用 AI | AI 推理——备用 / Atlas 欧盟区域路由 | 仅限操作者发起的 AI 提示词 | US · EU | SOC 2ISO 27001GDPR |
| Stripe支付 · 计费 | 支付处理——订阅计费和 交易市场 结算 | 仅计费数据 · 无运营数据 | US · EU | PCI-DSS L1SOC 2GDPR |
| Resend / Amazon SES事务性邮件 | 事务性邮件投递 | 邮件内容 + 收件人地址 | US · EU | SOC 2GDPR |
| Twilio短信 · WhatsApp Business | 短信 + WhatsApp Business 消息——交易对手沟通 | 消息内容 + 交易对手联系方式 | US · 区域 | SOC 2GDPR |
| Mapbox地理编码 · 地图 | 用于货运追踪的地理编码 + 地图瓦片 | 用于货运追踪的地址字符串 | US | SOC 2GDPR |
| CloudflareCDN · DDoS · WAF | CDN、DDoS 防护、Web 应用防火墙 | HTTP 请求元数据 · 不保留负载 | 全球边缘 | SOC 2ISO 27001GDPR |
| Sentry错误监控 | 错误监控与性能追踪 | 错误堆栈轨迹 · 来源处已剥离 PII | US · EU | SOC 2GDPR |
通知政策
客户在任何子处理商变更前会收到 30 天提前通知 。重大变更——新区域、新数据类型、新合规体制——会触发 Enterprise 客户在定制 DPA 下的 明确再同意 。当前列表也以版本化 JSON Feed 的形式发布于 edma.trade/security/subprocessors.json ,供合规自动化工具使用。
反对权
客户可以对特定子处理商提出反对。EDMA 将努力 寻找可比的替代方案 ,或在不存在可行替代方案时,提供 无违约金终止合同的依据。该权利在标准 DPA 中列明,并在合同续签后继续有效。
对抗性测试
每年由第三方测试。我们自身持续测试。
两道防线:第三方渗透测试用于广度和外部验证,持续的内部测试用于深度和速度。Bug 赏金计划随 GA 扩展。Enterprise 客户可对其自身部署进行测试。
第三方渗透测试
年度
外部渗透测试
- 频率: 至少年度 · 重大架构变更时按需进行
- 范围: Web 应用、API 表面、基础设施、社会工程模拟
- 方法论: 至少 OWASP ASVS L2 · OWASP Top 10 + API Top 10
- 机构: 在 [待定— NCC Group / Bishop Fox / Trail of Bits / Praetorian] 之间轮换
持续内部测试
每次提交
CI 中的持续测试
SAST——静态应用安全测试 · 每次提交SCA——软件成分分析 · 每次依赖更新DAST——动态测试 · 每晚- 容器镜像扫描 · 每次构建
IaC扫描 · 每次 Terraform plan- 密钥扫描 · 提交前 + 合并后清扫
Bug 赏金
开发中
公开 Bug 赏金 · 2026 年 Q4
- 上线: 与 2026 年 Q4 GA 同步
- 供应商: [待定— HackerOne / Bugcrowd]
- 范围: 生产端点和面向客户的应用
- 赏金区间: 按严重性与影响 $250 – $10,000
- 发布前:面向 [待定— 数量] 名研究员的私人邀请 Beta
客户主导
enterprise
测试您自己的部署
Enterprise 客户可在其专属 VPC 部署上进行 独立渗透测试 ,需提前安排。
测试范围、方法论和发现披露由独立的测试协议约束。 Sovereign 和气隙部署允许客户自主控制测试,无需协调要求 ——这是您的基础设施,按您的时间表测试。
出现问题时
文档化的应对方案。72 小时内通知。
NIST SP 800-61 框架。7×24 事件指挥官轮值。状态页在确认后 15 分钟内更新,确认影响客户数据的违规事件在 24 小时内完成全部客户通知,5 个工作日内发布公开事后报告。
步骤 01 · 检测
检测
- 7×24 SOC 监控 ——横跨三个时区的安全运营中心
- 认证、授权和数据访问模式针对
- 威胁情报源:[待定供应商]
- 通过专用渠道接收客户上报的事件——绕过一般支持队列
- 内部升级 SLA:P1 5 分钟 · P2 30 分钟 · P3 4 小时
步骤 02 · 响应
响应
- 基于 NIST SP 800-61 框架的文档化应对方案
- 7×24 事件指挥官轮值 ——具名的待命人员,而非共享收件箱
- CERR 流程: 遏制 · 根除 · 恢复 · 经验教训
- 确认后 15 分钟 内更新状态页
- 24 小时内完成全部通知 · 5 个工作日内提供事后报告
步骤 03 · 通知
违规通知
- 确认影响客户数据的违规事件后 72 小时内通知客户 ——符合 GDPR 第 33 条
- 依据适用司法辖区要求向监管机构通报
- 受影响数据主体的通知与客户按其 DPA 和适用法律协调进行
- 公开披露与受影响客户及监管机构协调进行
- 7 天内通过状态页重大违规事件在确认后 公开披露
通知 SLA
确认违规 → 通知客户
T+0事件由 IR 指挥官确认00:00
T+15分钟状态页条目创建00:15
T+24小时完整客户通知 (邮件 + 门户)24:00
T+72小时监管通报 · GDPR 第 33 条72:00
T+5天事后报告 (直接发给客户)120:00
T+30天最终报告 · 根因 + 整改720:00
所有系统正常运行重大事件披露于 status.edma.trade ——自 2026 年 5 月 Beta 上线以来: [X] 起重大事件 · 完整历史公开。
打开状态页 →您的核查权
独立核查——由您或您的审计师进行。
没有核查的信任只是营销说辞。每位 Business 和 Enterprise 客户均会收到下方文档套件。Enterprise 客户还可现场审计、将审计日志流式接入自己的 SIEM,并在 5 天 SLA 内回复供应商安全问卷。
A · 文档审查
Business+标准文档包
所有 Business 和 Enterprise 客户可获取:
- 年度 SOC 2 Type II 报告 (NDA 下提供)
- ISO 27001 证书 及适用性声明
- 渗透测试 执行摘要 (完整报告 NDA 下提供)
- 按季度更新的子处理商列表 · 提供 JSON Feed
- 加密与密钥管理文档
- 事件响应应对方案 (必要时已脱敏)
B · 现场审计
Enterprise直接审计我们的运营
Enterprise 客户可在 每年提前 60 天通知后进行现场审计。范围涵盖信息安全控制、子处理商管理、事件响应程序和加密密钥管理。
费用:超出标准文档审查的审计由客户承担。EDMA 提供工作场地、指定人员和文档访问权限。审计发现按审计协议保持对客户保密。
C · 持续监控
Enterprise将事件流式接入您的技术栈
Enterprise 客户可申请持续监控访问权限:
- SIEM 集成 审计日志——Splunk、Datadog、Sumo Logic、Elastic、Sentinel
- 实时安全事件流 通过 Kafka topic 或 webhook
- 面向合规自动化工具的客户可控 API 访问
- 按合同配置;速率限制和事件类型可协商
D · 供应商问卷
Business+安全评估——SIG、CAIQ、定制
标准客户安全评估—— SIG、CAIQ、供应商安全问卷、定制企业模板——对 Business+ 客户在 5 个工作日 内回复。
年度回复刷新包含在 CSM 范围内。常见框架 (SIG Core、CAIQ v4、NIST CSF 2.0) 的预填答案库可应要求提供。
具体问题
InfoSec 团队实际会问的问题。
12 个问题归为 4 个主题。点击分组展开。答案事实、简洁,并链接到上方控制项的具体章节。
组 01数据所有权与控制权3 个问题
谁拥有我们的数据?
您。始终如此。EDMA 在 GDPR 术语下作为处理者代您处理数据。您的数据随时可以 CSV / JSON 格式导出。合同终止时,您有 90 天导出期;我们在删除截止日期后 30 天内删除。导出 schema 已记录且稳定。
EDMA 员工能访问我们的数据吗?
仅在三种特定情况下:(1) 您开了支持工单并授予访问权;(2) 紧急事件响应需要数据访问——经审计、限时、客户已被告知;(3) 法院命令或法律程序——我们会抵制,并在法律未禁止时告知您。标准运营不需要 EDMA 访问客户数据。所有访问事件都会写入您的审计日志。
如果 EDMA 被收购或停止运营会怎样?
收购:客户数据保护条款在收购后继续有效;新所有者继承 DPA 条款。停止运营:对 Enterprise 客户承诺合同上提前 12 个月通知,并提供数据迁移协助;其他层级提前 6 个月通知。关键数据格式的开源托管确保即使 EDMA 人员不在,迁移在技术上仍可行。
组 02AI 与数据隐私3 个问题
我们的数据会被用于训练 AI 模型吗?
不会。EDMA 与 Anthropic (Claude)、OpenAI 和 Google (Gemini) 签有零数据保留合同。您的提示词和 AI 响应不会被这些提供商在 API 调用之外保留,也不会用于训练。本地 Gemma 4 E4B——我们的韧性底线——运行在 EDMA 控制的基础设施上,或在气隙部署中由您控制。
我们可以使用自己的 AI 提供商密钥吗?
可以——在 Enterprise 层级。Anthropic、OpenAI、Google 和经批准的客户自托管 LLM 推理端点支持 Bring Your Own Key (BYOK)。AI 提示词通过您的提供商账户路由,直接对您计费。EDMA 永远不会看到 API 密钥——它存放在您的 KMS 中,并在每次请求时被包装。
在财务或法律场景中如何处理 AI 幻觉?
在财务或法律场景中运行的 AI 产品 (法律 AI、会计 AI) 包含置信度评分、高风险操作的人工审核工作流,以及每个 AI 生成产物的审计链。输出默认为草稿模式;发送或提交前需人工批准。审计链记录了谁审核了什么、何时审核、依据什么。
组 03运营安全3 个问题
用户凭证如何存储?
采用 bcrypt,成本因子为 12 (自适应)。密码重置使用一次性、限时的令牌。每个层级都推荐 passkeys (WebAuthn) 优于密码使用。Business+ 层级推荐 SSO 优于本地凭证——启用 SSO 时,工作区级别禁用密码。
您如何处理对生产环境的管理访问?
所有生产访问都需要即时 (JIT) 提权——无常设访问。影响客户数据的生产变更需多人审批。所有生产数据库访问会话被录制。每季度访问审查。特权访问管理 (PAM) 通过 [待定供应商] 实现。
您的安全软件开发生命周期是怎样的?
在设计阶段进行威胁建模。强制由 2 名以上工程师进行代码审查。CI 中的自动化安全测试 (SAST、SCA、DAST)。依赖漏洞按 SLA 跟踪并修复:P1 24 小时 · P2 7 天 · P3 30 天。密钥永不出现在源代码中——在提交前和合并后扫描。所有工程师每年接受安全编码培训。
组 04合规细节3 个问题
您是否符合 GDPR?
是。EDMA 对客户提供的数据担任数据处理者 (或对用户账户数据担任数据控制者)。标准 DPA 包含在 Business+ 合同中。Enterprise 层级可协商客户专属 DPA。通过产品内工作流支持数据主体访问请求 (DSAR),响应 SLA 为 30 天。
您是否支持 [特定国家] 的数据驻留?
标准区域:US (弗吉尼亚)、EU (法兰克福)、APAC (新加坡)。Sovereign 层级 (Enterprise) 支持任意 AWS、GCP 或 Azure 区域——全球约 25 个区域。特定国家要求 (俄罗斯、中国、印度数据本地化) 需 Enterprise 定制部署;请联系销售进行范围界定。
违规通知 SLA 是多少?
按 GDPR 第 33 条,确认影响客户数据的违规事件后 72 小时内通知客户。重大违规事件在确认后 7 天内通过状态页公开披露。30 天内提供详细事后报告。定制 Enterprise 合同下可提供客户专属通知时间 (例如对受监管金融客户的 24 小时通知)。
下一步
获取安全审查资料包。
三条路径。选择适合您评估阶段的那条——初步通读、签 NDA 后的深入审查,或与安全工程师直接对话。
路径 A公开 · 无需 NDA
自助审查资料包
无需 NDA 即可获取的公开凭证。30 分钟内可端到端阅读。适合早期供应商评估。
SOC 2 Type II 执行摘要
ISO 27001:2022 证书
子处理商列表 · 本季度
渗透测试执行摘要
DPA 模板 · 标准格式
路径 BNDA 保护
NDA 保护审查资料包
通过 DocuSign 触发标准双向 NDA。签署后 2 个工作日内交付。适合正在进行的采购流程。
SOC 2 Type II 完整报告
ISO 27001 适用性声明
渗透测试完整报告
定制 DPA 模板
事件响应应对方案 (已脱敏)
路径 CENTERPRISE
安全工程咨询
与 EDMA 安全工程团队 60 分钟通话。适合复杂需求和定制部署范围界定。
部署架构审查
定制需求范围界定
BYOK / HYOK 选项讲解
审计范围与节奏
特定监管合规
PGP 密钥 · [email protected]
指纹 · [待定— 40 字符 HEX]-----BEGIN PGP PUBLIC KEY BLOCK----- Version: edma-trade-os v2026.05 [ Public key block — published at edma.trade/.well-known/security.txt ] [ TBD: full ASCII-armored block to be inserted here at production ] [ TBD: key rotation policy — annual, with 90-day overlap ] -----END PGP PUBLIC KEY BLOCK-----