Skip to content
XStage
信任与治理

可信不是口号,而是架构设计

信任不是一句口号,而是内建于每一层的架构决策

申请获取文档security@xstage.ai
合规姿态网络安全法遵循设计数据安全法遵循设计个人信息保护法(PIPL)遵循设计网络安全等级保护 2.0建设中

最后更新:2026 年 6 月

信任架构

可信由架构而来,而非承诺

能力证据在学生授权、分级访问与脱敏聚合三道机制下被各角色按边界使用,底层由证据链与全链路审计支撑。

能力过程证据
快照 · 可追溯 · 不可篡改
01学生授权

数据由学生授权与可撤回

授权展示查看范围撤回机制使用记录
02分级访问

不同角色不同权限与粒度

学生主体教师评价企业授权查看区域脱敏聚合
03脱敏聚合

区域治理仅用脱敏聚合数据

防能力包装防数据越权防治理失真
按角色边界使用
学生教师企业区域
可信底座证据链全链路审计治理防护
合规姿态

以中国数据合规框架为底线设计

XStage 处理学生个人数据,服务院校与政府。我们以国家数据合规框架为底层设计原则,并按真实进度如实披露状态——不夸大、不伪造认证

已具备建设中遵循设计

网络安全法

遵循设计

网络运行安全与关键信息基础设施保护要求。

数据安全法

遵循设计

数据分类分级、全生命周期安全管理。

个人信息保护法(PIPL)

遵循设计

知情同意、最小必要、主体权利与跨境规则。

网络安全等级保护 2.0

建设中

按业务定级、备案与测评推进。

状态依真实进度更新;正式认证 / 测评报告将在完成后于本页与文档室同步。

认证与测评网络安全等级保护 2.0测评推进中ISO/IEC 27001规划中SOC 2 Type II规划中

我们当前尚未取得下列第三方认证,不声称任何已获认证;获得后将在此展示徽标,并于文档室提供测评 / 审计报告下载。

安全控制

可信,是逐项可核验的控制项

数据安全

数据在传输与存储全程受控、加密、可治理。

  • 传输加密

    全站 HTTPS / TLS 加密传输。

    已具备
  • 静态加密

    敏感数据静态加密存储,密钥分离管理。

    建设中
  • 数据分类分级

    按敏感度对学生与机构数据分级管理。

    遵循设计

访问控制与边界

最小权限、角色边界,不同主体在不同粒度下使用数据。

  • 角色边界

    学生、教师、企业、区域在明确权限与数据粒度内访问。

    已具备
  • 最小权限

    按需授权、职责分离,默认最小可见。

    遵循设计
  • 强身份认证

    面向机构账户的 SSO / 多因素认证。

    建设中

学生数据主权与隐私

学生拥有自己的能力数据,并掌控每一次授权。

  • 数据主权

    学生是其能力证据的主体,平台不擅自处置。

    已具备
  • 授权与撤回

    展示、企业查看、平台分析均需授权,且可撤回。

    已具备
  • 区域脱敏聚合

    区域治理仅基于脱敏聚合数据,避免个人数据滥用。

    已具备

AI 数据治理

AI 作为协作者被记录与约束,能力数据不被滥用。

  • 不滥用学生数据训练

    不将学生个人数据用于训练对外通用模型。

    遵循设计
  • AI 与人判分离

    AI 输出与学生判断、修订相分离并分别记录。

    已具备
  • AITrace 治理

    原始 AI 协作轨迹被治理、限定范围并加以保护。

    已具备

证据与审计

能力证据可追溯、可审计、防篡改。

  • 证据链快照

    证据快照防篡改、可全程追溯。

    已具备
  • 全链路审计

    每一次访问与变更端到端可审计。

    已具备
  • 授权访问留痕

    企业等外部访问在授权边界内并留存记录。

    建设中

基础设施与可用性

多租户隔离、备份与容灾,保障持续可用。

  • 多租户隔离

    机构间数据逻辑隔离,互不可见。

    已具备
  • 备份与容灾

    定期备份与恢复演练,降低数据丢失风险。

    建设中
  • 监控告警

    运行监控与异常告警机制。

    建设中

应用与开发安全

安全融入研发流程,而非事后补救。

  • 安全开发流程

    代码评审与依赖扫描纳入研发流程。

    建设中
  • 渗透测试

    上线前与重大变更后安排安全测试。

    建设中
  • 漏洞管理

    漏洞分级、修复与跟踪闭环。

    遵循设计

监控与事件响应

可监控、可响应、可通知。

  • 日志与审计追踪

    关键操作日志留存,支持追溯。

    已具备
  • 应急响应

    安全事件分级与响应流程。

    建设中
  • 泄露通知

    按法规要求及时通知受影响方与监管。

    遵循设计
AI 信任承诺

我们对 AI 与学生数据的三条承诺

不将学生个人数据用于训练对外通用模型。

AI 的贡献被记录、并与人的判断相分离——能力归属清晰、可追责。

原始 AI 协作数据(AITrace)被治理、限定用途、分级保护。

数据主体权利

学生对自己的数据拥有完整权利

知情

清楚知道哪些数据被收集、为何收集、如何使用。

访问与可携带

查看并导出自己的能力数据与证据。

更正

更正不准确的个人信息。

删除与撤回

撤回授权、要求删除符合条件的个人数据。

如需行使上述权利,可通过 security@xstage.ai 或联系页与我们联系。

子处理方

我们使用的第三方服务

我们仅在必要范围内使用第三方服务,并要求其满足相应数据保护要求。正式商用前将公布完整清单并提供变更订阅。

服务方云基础设施服务商
用途应用托管与存储
数据范围按部署区域承载业务数据
服务方Web3Forms(表单投递)
用途官网联系/留资表单投递到公司邮箱
数据范围访客主动填写的联系信息

子处理方如有新增或变更,我们将提前 30 天在本页公示,并为已登记的机构提供变更通知。

负责任的漏洞披露

如果你发现潜在安全问题,请通过下方邮箱负责任地告知我们。我们承诺及时确认、评估并修复,并对善意报告者表示感谢。请勿公开披露未经修复的漏洞。

security@xstage.ai

我们将尽快确认收悉并反馈处理进展。

文档室

申请获取安全与合规文档

以下文档在完成后通过留资 / 授权后提供,便于贵方安全与采购评估。

  • 安全白皮书架构、数据流与安全控制说明。
  • 数据处理协议(DPA)数据处理角色、义务与边界。
  • 合规与等保进展说明当前合规姿态与测评进度。
申请获取文档

准备共建 AI 时代人才供给系统?

与 XStage 合作,在院校、企业与区域部署 XStage CareerOS。

联系我们产品白皮书