全球客户将数百万份敏感文件托付给我们——护照、银行流水、照片、支付信息。在这里,我们完整说明这些资料如何被收集、如何被存储,以及我们如何证明自己做得足够好。
签证申请本质上是一个文书问题。我们只收集使领馆明确要求的材料,并在可能的范围内进行匿名化处理。每份文件仅关联单个申请,接收即加密,并按固定周期清除。
我们绝不出售您的数据,也绝不与签证办理直接相关的领馆或合作方之外的任何第三方共享。
在 VIZA,每一个字节的默认状态都是“已加密、有边界、有时限”。以下七项控制让这一点成为现实——它们不是愿景,而是今天就已经写进平台的机制。
我们只收集使领馆或合作方在具体申请中真正需要的信息,并在平台允许的范围内尽可能匿名化。您在表单中看不到的字段,就是我们不会存储的字段。
银行卡数据通过 PCI-DSS Level 1 处理商令牌化——我们从不接触或存储完整卡号。每笔交易都经过 3-D Secure 2.0、多因素认证以及我们内部的反欺诈层。
VIZA 服务器上的每一份文件、消息和元数据字段,在写入磁盘前都经过 AES-256 加密。密钥自动轮换,存放在基于硬件的 KMS 中,连我们的基础设施团队也无法直接读取。
您的设备、我们的服务器与合作使领馆之间的所有流量均使用 TLS 1.3 并启用严格证书固定。文件上传走独立的签名通道,即使网络层的攻击者也无法看到您发送的内容。
我们每季度进行一次外部渗透测试,每年进行 SOC 2 Type II 审计,并持续运行自动化漏洞扫描。每个发现都会记录修复期限,逾期项目会直接呼叫工程负责人。
对客户数据的内部访问按角色划分、逐次审计,并采用即时提权。顾问只能看到自己正在处理的申请。每一次读取都会留存 12 个月的日志。
安全中最难的部分,是我们无法替您完成的部分。从您开始申请的那一刻起,我们就会发送关于钓鱼、护照照片骗局和假使馆短信的通俗指南,并在产品中出现异常迹象时再次提醒。您是最后一道防线——我们更愿意武装您,而不是责怪您。
用户和合作伙伴的安全是我们的一切。如果您认为自己发现了影响 VIZA 服务的真实漏洞,请直接告诉我们——我们会以尊重、高效的方式与您一起修复它。
请将您的发现发送至 security@viza.it.com。即使问题已被知晓或不在范围内,我们也会在一个工作日内确认收到。
一份好的报告能为双方各省下一周时间。以下是最快获得分诊的报告格式,以及我们真心不希望在收件箱里看到的东西。
如果不确定报告是否属于此列表,请照发不误——并顺便问一句。我们宁愿多分诊一次,也不希望您因边界不明而搁置一个真实的问题。
*.viza.com 的 VIZA Web 应用与 API——包括申请人门户、顾问控制台和合作方端点。披露机制之所以有效,是因为双方都以诚信行事。以下是我们对您的期望,以及您可以要求我们做到的事——白纸黑字,无需猜测。
提交报告即表示您同意以诚信行事,遵循计划的精神——而不仅仅是字面条款。
作为回报:我们不会无视报告者,不会为逃避修复而争辩严重程度,更不会起诉帮助我们的人。
只要您本着诚信遵循本政策,我们就将您的研究视为经过授权。本节是枯燥但重要的部分——我们把它摊开写明,而不是藏起来。
如果您本着诚信遵循本政策,VIZA 不会就研究过程中意外或无意的违规行为对您提起法律诉讼。您仍需遵守适用的法律法规。
VIZA 目前未运营公开的漏洞赏金计划。对于有效且负责任上报的问题,我们会酌情提供答谢——依据影响范围、新颖程度和报告质量评定。
VIZA 保留随时修改或终止本计划的权利。如果不确定您的研究是否符合政策,请在行动之前通过 security@viza.it.com 联系我们。
我们宁可把一个小问题听两遍,也不愿错过一个大问题。报告会直达安全团队的真人——没有工单门户,没有分诊机器人。