信任、安全與合規
學校信任 KiwiBee 託管教師、學生和家庭的資料。本頁說明我們如何保護這些資料。
最後更新: 2026-05-23
安全概覽
kiwibee.io 的每一次回應都預設配備下列保護措施。
HSTS preload
Strict-Transport-Security 連同 preload 指令。瀏覽器只會以 HTTPS 連接 KiwiBee。
Cross-origin 隔離
Cross-Origin-Opener-Policy: same-origin 與 Cross-Origin-Resource-Policy: same-origin 阻擋跨視窗攻擊。
Permissions Policy
相機、麥克風、地理位置、付款、USB 及 interest-cohort API 全部在瀏覽器層被封鎖。
防點擊劫持
X-Frame-Options: SAMEORIGIN 防止外部網站把 KiwiBee 嵌入 iframe。
MIME 類型鎖定
X-Content-Type-Options: nosniff 阻止瀏覽器自行猜測內容類型。
Referrer 政策
Referrer-Policy: strict-origin-when-cross-origin 減少向第三方網域洩漏的資料。
Content Security Policy
CSP 由中介層執行,使用每個請求的 nonce — 沒有 nonce 的 inline 腳本不會執行。
合規路線圖
我們目前在各主要合規框架的進度。
SOC 2 Type I
正在進行審核,目標於 2026 年第四季完成。
進行中GDPR
可按 EU 客戶要求提供 GDPR 資料處理附錄(DPA)。
可提供FERPA
對美國學校客戶採取符合 FERPA 的資料處理;我們在 audited contractor 例外下擔任 school official 角色。
符合COPPA
對 13 歲以下學生的資料最小化合規 COPPA;家長/學校同意流程到位。
合規越南第 13/2023 號法令
符合越南個人資料保護法令,包括資料主體權利與洩露通知。
合規
子處理者
我們用以提供服務的第三方供應商。
| 供應商 | 用途 | 地區 |
|---|---|---|
| Vercel | 網站託管與 edge 網絡 | 全球邊緣 |
| Supabase | 資料庫與驗證 | 新加坡 |
| Anthropic | kiwibee.io 聊天機械人 AI | 美國 |
| Mistral | 教師工具 AI(產生工作紙) | 歐盟 |
| Workspace 電郵與 Analytics | 全球 |
資料駐留地
客戶資料的靜態儲存位置。
預設地區
新加坡(Supabase 東南亞地區)
企業選項
企業學校客戶可按需要選擇歐盟或美國資料駐留地。
相關政策
影響 KiwiBee 資料處理方式的其他文件。
需要 SOC 2 證明信、DPA 或子處理者名單?
採購、安全或 DPO 團隊可以直接聯絡我們索取證明資料與問卷。