安全政策

Vegebuddy Technologies 高度重视您的账户、个人资料与支付资讯的安全。本安全政策说明我们采取的控制措施，以及我们与您共同承担的安全责任。

• VegeBuddy App、官网与服务器之间的所有流量均使用 TLS 1.2 或以上 加密。
• vegebuddy.com 全站通过 HSTS（HTTP 严格传输安全）强制启用 HTTPS。
• 支付资料经由各自符合 PCI DSS 的支付通道直接从您的设备加密传送，VegeBuddy 不在中间环节接触原始凭据。

• 用户数据与应用数据存储于受管理的云端基础设施，启用云服务商级别的静态加密（AES-256）。
• 媒体（照片、动态、头像）存放于对象存储；在必要情况下，访问通过签名 URL 限制权限。
• 生产数据访问仅限授权工程师，并需通过多因素验证。

VegeBuddy 不会存储完整信用卡号或完整银行凭证。所有支付凭据由认证通道处理：

• Razorpay Curlec — 符合 PCI DSS，获马来西亚国家银行批准，统一处理信用卡、FPX 网络银行与支持的电子钱包

信用卡交易在发卡行支持的情况下启用 3D Secure（3DS）保护。详见支付政策。

我们采用以下机制保护您的账户：

• 凭据散列存储（密码绝不以明文保存）
• 会话与令牌设有过期时间，并可远程登出装置
• 可选 Apple / Google 登录以降低密码重用风险
• 敏感操作（如修改邮箱、删除账户）需 App 内或邮件二次验证

为确保账户安全，请您：

• 使用独一无二、强度足够的密码，不在其他平台重复使用
• 保持手机系统与 VegeBuddy App 为最新版本
• 在共享装置上使用完毕后登出
• 切勿向他人透露一次性验证码或验证链接

我们依据隐私政策及马来西亚《2010 年个人资料保护法》（PDPA）收集与使用个人资料。您可随时发送邮件至 vegelahmy@gmail.com 申请查阅、更正或删除资料。

• 生产环境访问透过 IAM 实施最小权限并记录审计日志
• 密钥与 API Key 存于受管理的密钥保管库；疑似外泄时立即轮换
• 依赖项持续扫描已知漏洞，及时套用补丁
• 服务器日志集中收集、有限期保留，不用于行销目的

若怀疑发生安全事件，我们会启动内部事件响应流程，涵盖隔离、调查、按法律要求通知用户与监管机关，以及事后复盘。在 PDPA 或其他适用法律要求通知用户或监管机关时，我们将及时进行通知。

若您发现 VegeBuddy 存在安全漏洞，请保密反馈至 vegelahmy@gmail.com，并附上：

• 问题说明与受影响的组件（App、网页、API）
• 复现步骤或概念验证（PoC）
• 您方便接收后续联系的方式

本安全政策可能随实务调整。最新版本将始终发布于本网址，并标注生效日期。

安全或资料保护相关问题：vegelahmy@gmail.com。