保护您文档的真实控制措施。

静态数据AES-256加密

上传的文档默认使用SSE-S3服务端加密写入MinIO。生产环境（Railway）启用了KMS运行MinIO，因此始终应用SSE-S3。在不支持的无KMS自托管部署中，MinIO可能回退到未加密写入——这是部署选择，而非生产环境中的静默降级。

backend/app/services/storage_service.py · upload_file()

传输中TLS 1.2+

每一次网络跳转——从浏览器到Vercel边缘，从边缘到Railway后端，从后端到LLM提供者——均使用TLS。在根域上设置了max-age=63072000且包含includeSubDomains的HSTS。

不使用您的数据进行训练

DocTalk通过OpenRouter路由LLM调用。您的文档和问题绝不会被DocTalk用于训练模型。提供方侧的保留取决于上游模型（DeepSeek / Mistral）——为保证零保留，我们依赖OpenRouter的账户级隐私设置（运营控制，尚未在请求级代码强制执行），并可通过请求时的提供方可信名单进一步收紧。

魔数字节文件验证

上传文件根据文件签名字节而非文件扩展名进行验证。包含可执行载荷的.pdf文件在输入时被拒绝——您无法通过重命名文件来欺骗解析器。

backend/app/services/upload_service.py · magic-byte check

URL输入时的SSRF防护

当您放入URL进行摘要时，后端会对照公共主机可信任名单验证目标，并拒绝任何对私有IP范围、链路本地地址或云元数据端点（169.254.169.254等）的请求。

backend/app/core/url_validator.py

匿名端点的速率限制

公共端点（共享视图、匿名阅读）有基于IP的速率限制。真实客户端IP从Vercel边缘转发到我们的后端，并带有绑定到每个请求时间戳的HMAC-SHA256签名，因此后端可以验证代理来源并拒绝头部欺骗尝试。这不是针对主动中间人攻击的防御——TLS处理该层。经过身份验证的用户绕过IP速率限制。

backend/app/core/rate_limit.py · shared_view_limiter, anon_read_limiter

完整数据导出

从您的个人资料 → 账户页面，您可以导出所有文档和会话数据。导出内容包括DocTalk存储的有关您的所有信息，以可移植格式提供。

账户删除

您可以从个人资料 → 账户页面删除您的账户。所有文档、会话、聊天记录、嵌入和账单记录将被移除；账户删除后无法恢复。

用户隔离

每个文档和会话在数据库和向量存储层都限定为其所有者的user_id。没有共享命名空间，默认没有组织范围内的集合，隔离在查询时强制执行——而不仅仅是在渲染时。