Noise21 安全与隐私政策

1. 安全设计与基础设施

Noise21 完全构建在 Atlassian Forge 之上，这是 Atlassian 严格隔离的无服务器应用平台。

• 无外部服务器： 我们不在外部服务器上托管、处理或存储您的数据。所有计算与存储均严格发生在 Atlassian 云边界内。
• 数据驻留： Noise21 仅通过原生 Forge Storage API 在 Atlassian 应用与服务中存储最终用户数据。数据驻留完全由您的 Atlassian 租户的地理位置设置决定。
• 无远程 API： Noise21 不对外暴露用于与其他工具集成的远程 REST API。应用完全在您的 Jira 实例内自包含运行。

2. 数据处理与隐私（GDPR / CCPA）

根据《通用数据保护条例》（GDPR），我们作为数据处理者行事。由于我们是独立开发者主体且未达到 CCPA 下“企业”的门槛，CCPA 并不直接适用于我们，但我们对所有用户保持同样高的隐私标准。

• 处理的数据： 为提供排序功能，应用会处理特定的 Jira 事务详情（事务 ID、键、摘要、描述、状态、事务类型、优先级和经办人），并计算衍生统计（Elo 评分、对战次数、历史快照）。
• 数据控制： 您仍是数据控制者。由于应用使用 Forge Storage，您对相关数据保有完全控制权；若您卸载应用并清除租户数据，数据将自动删除。
• 数据处理协议（DPA）： 作为完全在租户内运行的精简 Forge 应用，数据处理受标准的 Atlassian Marketplace 合作伙伴协议约束。我们目前不提供定制 DPA。

3. 日志与数据外传

Noise21 的设计目标是确保您的数据不会外泄。

• 日志中无最终用户数据： 我们不在日志中记录最终用户数据（如事务摘要或描述）。技术性调试日志由 Atlassian 原生托管，不包含个人身份信息。
• 不与第三方共享： 我们不会向第三方实体（例如外部分析或监控工具）导出或共享任何日志或最终用户数据。除 Atlassian 服务外严格零数据外传。

4. 认证与共享密钥

Noise21 使用无缝、原生的 Atlassian 认证（@forge/api）。

• 无需密码或 PAT： 我们绝不会要求最终用户提供 Atlassian 个人访问令牌（PAT）、账户密码或其他共享密钥。
• 最小权限： 应用仅请求读取面板以及更新事务优先级/属性所需的明确 Jira 权限（scopes）。

5. 漏洞披露

安全是我们的持续承诺。若您发现漏洞或有具体的合规问题，请联系我们的安全团队： security@noise21.com