Kintaria 的安全保障
Kintaria 处理着脆弱时刻人们的健康信息。我们对此非常认真。本页记录了今天已经落实的内容、即将到来的内容,以及我们尚未做到的事情 — 是为想知道您将什么托付给我们的家属所写,而不仅仅是为审计员所写。
1. 今天已经落实的控制措施
每张表都启用行级安全(RLS)
数据库中的每一行都在 Postgres 内部由家庭成员身份校验把守。即使我们的应用代码有 bug,数据库也会拒绝返回其他家庭的数据。
每次变更都有审计日志
工作区内容的每一次插入、更新和删除都会在审计表中写入一行 — 谁、什么、何时。基于触发器,应用代码无法绕过。
传输与静态加密
所有连接均使用 TLS 1.2+。数据库存储和文件均由底层供应商(Supabase / Postgres / Supabase Storage)在静态时加密。
带过期时间的分享链接
"与医生分享" 链接使用 32 字节随机令牌,自动过期(1–90 天),可即时撤销。接收方看不到您工作区中的其他成员,也看不到您所选区段之外的任何数据。
免密码的链接登录
登录使用通过电子邮件发送的一次性链接。没有可被泄露、重复使用或网络钓鱼窃取的密码。会话是与设备绑定的仅 HTTP 的 cookie。
仅照护者可见的笔记
笔记可标记为仅对所有者 + 照护者可见,对父母角色和观察者隐藏。在服务器端强制执行 — 非照护者即使直接调用 API 也无法编写隐藏笔记。
服务密钥隔离
Supabase 的特权密钥只存在于服务器,绝不发送给浏览器。应用使用公开密钥处理常规流量,仅在管理操作(demo 种子数据、解码共享链接)时才使用特权密钥。
安全响应头
Strict-Transport-Security、X-Frame-Options DENY、X-Content-Type-Options nosniff、Referrer-Policy strict-origin-when-cross-origin、Permissions-Policy 禁用相机/麦克风/定位。应用子域名已配置为不被索引。
2. 谁能看到什么
工作区内有四种角色,每种角色的访问权限依次缩小。它们都看不到其他家庭的工作区 — 这是数据库层的保证,而不仅仅是一项策略。
| 角色 | 读取 | 写入 | 仅照护者笔记 |
|---|---|---|---|
| 所有者 | 工作区内的所有内容 | 所有内容 | 可读可写 |
| 照护者 | 工作区内的所有内容 | 除删除工作区外的所有内容 | 可读可写 |
| 父母(受照护者) | 除仅照护者笔记外的所有内容 | 笔记、档案、预约、用药、文档 | 隐藏 |
| 观察者 | 除仅照护者笔记外的所有内容 | 无 | 隐藏 |
Kintaria 员工在日常运营中无法读取工作区内容。工程团队用于迁移和事件响应的特权数据库角色会被记录并受到限制;我们永远不会在您不知情的情况下浏览您家庭的数据。
3. 您的数据存放在哪里
所有工作区内容都存储在位于美国的单一 Supabase 项目中(数据库 + 存储)。无跨区域复制。无对工作区页面的 CDN 边缘缓存。
公开站点(thrive.me)托管在 Vercel 和 Cloudflare 网络上,仅提供静态、非个人内容(落地页、政策文本、营销文案)。语音电话号码查询运行在 Fly.io 上。
4. 供应商清单
每一项接触您数据的外部服务,用直白的语言列出,并说明各自在业务伙伴协议(BAA)方面的进展:
| 供应商 | 用途 | BAA |
|---|---|---|
| Supabase | 数据库 + 存储 + 身份认证 | Pro 套餐,BAA 可用 — 进行中 |
| Vercel | 托管应用 + 公开站点 | BAA 需要 Enterprise 套餐 — 暂未达到 |
| Anthropic (Claude) | AI 功能:就诊摘要、化验提取、文档标注 — 仅在用户主动启用时 | BAA 需要 Enterprise 级别 — 沟通中 |
| Resend | 事务邮件(邀请、通知、摘要) | BAA 可用 — 进行中 |
| Twilio | 紧急提醒短信(用户主动启用) | BAA 可用 — 进行中 |
| Cloudflare | 公开站点 thrive.me 的 DNS + 边缘 | 工作区数据不经过此处 |
| Plausible | 无 cookie、尊重隐私的站点分析 | 仅聚合计数,不含 PII |
5. AI 功能
AI 功能(就诊摘要、文档分类、从照片中提取化验数据)默认关闭。工作区所有者必须在「设置 → AI 功能」中明确启用。AI 关闭时,工作区的任何内容都不会发送给任何 AI 服务。
AI 启用时:内容通过 TLS 连接发送到 Anthropic (Claude);Anthropic 不使用 API 内容来训练其模型(这是其默认策略,无需 opt-in);Anthropic 出于信任与安全审查的目的将 API 内容保留最多 30 天后删除;我们只发送该功能所必需的最小内容;每个使用 AI 的页面都会显示横幅,提醒 AI 仍在预览阶段并建议复核结果。
6. 与医疗服务提供者分享
「与医生分享」功能让照护者可以向医生、急诊室、社工或律师提供您父母病历的只读视图,而无需对方注册账号。令牌是一个 32 字节的加密随机字符串 — 几乎不可能被猜中。您选择要包含哪些区段。链接会自动过期。您可以随时撤销。每次访问都会被计数。接收方看不到所选区段之外的任何内容 — 包括其他家庭成员或工作区历史。共享页面不会被搜索引擎索引。
请把该 URL 当作一次性密码对待。请勿张贴到公开论坛。对于敏感的接收方,请通过患者门户消息或电话发送,而不要使用普通短信。
7. HIPAA 立场 — 直言不讳
Kintaria 尚未成为 HIPAA 受保护实体。我们处于发布前阶段,尚未与每一家接触工作区数据的供应商签署业务伙伴协议。
我们的架构按符合 HIPAA 的控制构建(审计日志、加密、访问控制、最小必要披露、安全开发实践)。正式的 BAA 框架、隐私实践通知,以及 HIPAA 要求的运营政策(事件响应、违规通知、员工培训、业务伙伴清单)都在发布前的准备路线上。在它们完成、并且我们与 Supabase、Anthropic、Resend 和 Twilio 的 BAA 签署完成之前,请不要上传任何今天需要受 HIPAA 合同约束的内容。
当我们达到正式可用、并且完整的 BAA 框架到位时,本页会更新,我们将向需要的组织(诊所、FQHC、照护协调公司等)提供 BAA。
德州负责任人工智能治理法(TRAIGA,自 2026 年 1 月 1 日起生效)。德州现在要求持牌医疗从业者就诊断或治疗中任何 AI 使用向患者提供醒目的书面披露。Kintaria 的 AI 功能(就诊摘要、化验提取、文档标注)默认关闭,需要由工作区所有者按功能逐项明确启用 — 这样设计是为了让一位德州临床医生在审阅家属带来的笔记时,能够在必要时准确披露 AI 的参与情况。
HHS HIPAA 安全规则更新(最终规则预计在 2026 年末发布)。拟议规则将要求 ePHI 在传输和静态时加密(Kintaria 已就位)、关键和远程系统采用 MFA(我们今天提供可选的两步登录)、以及对接触患者数据的 AI 系统提出明确要求(书面清单、持续漏洞监测)。我们现有的姿态符合大多数拟议控制;最终规则落地后我们会更新本节。
8. 数据保留与删除
工作区数据在工作区存续期间保留。当您删除工作区时:所有内容在 7 天内从数据库中硬删除;数据库备份(包含当时数据快照)按其自身保留计划过期 — 通常 7 天用于时间点恢复,然后删除;文档文件立即从存储中删除;引用已删除家庭的审计日志行会级联删除;您的账户(如没有其他工作区)在您请求后被硬删除 — 请发邮件至 info@kintaria.com。
「导出您的数据」功能(让您在删除前下载整个工作区的 ZIP 包)在近期路线图上。在此之前,请发邮件给 info@kintaria.com,我们会手动打包并发送。
9. 报告安全问题
如果您在 Kintaria 中发现了安全问题 — 一种可以查看其他家庭数据的方式、一个本应需要鉴权却未鉴权的接口、在公开制品中泄露的密钥,或任何看起来像漏洞的事物 — 请发邮件至 security@thrive.me 或拨打 (888) 704-0999。我们将在一个工作日内确认收到。
10. 运营实践
- 所有接触生产基础设施(Supabase、Vercel、GitHub、Cloudflare、域名注册商)的账号均要求两步验证。
- 生产密钥(API 密钥、数据库密码)存放在 Vercel 环境变量和 Supabase 控制台中。永不提交到版本控制。代码仓库为私有。
- 数据库迁移受版本控制,在应用到生产前由工程团队审查,并通过 Supabase 的迁移工具应用(不直接编辑生产数据库)。
- 依赖漏洞通过 GitHub Dependabot 跟踪;安全公告在一周内审查。
11. 接下来的工作
- 完成与 Supabase、Anthropic、Resend 和 Twilio 的 BAA 签署。
- SOC 2 Type 1 准备工作 — 记录政策、收集证据、走完控制框架。目标:正式可用后的第一年内。
- 在工作区设置页面提供自助「导出您的数据」下载。
- 自助删除工作区(今天需要联系我们)。
- 工作区内的审计日志查看器,让照护者能查看变更历史。
12. 问题咨询
请发邮件至 info@kintaria.com 或拨打 (888) 704-0999。我们回复每一条消息;我们不是一家在门口放着机器人的风投支持的初创公司。