一次 API 呼叫，六個 SOC 2 證據區塊：存取審查、加密、供應商等等

SOC 2 稽核之所以困難，不是因為控制措施複雜，而是因為證據散落各處。存取審查資料在您的身分提供者中。加密細節埋藏在基礎設施配置裡。供應商風險評估存在試算表中。事件應變程序存在於自上次稽核後就沒更新過的 wiki。稽核日誌在資料庫裡，但沒人將它們整合成稽核員想要的格式。

每季都有人花好幾天從六個不同系統拉取資料、格式化成報告，並祈禱自上次檢查以來沒有任何變化。

JieGou 的 SOC 2 證據聚合器消除了這項工作。一次 API 呼叫就能回傳涵蓋六個證據區塊的結構化報告——從即時平台資料平行抓取、快取以提升效能，並設計成在任何區塊暫時無法使用時仍能優雅失敗。

報告結構

單一 GET /api/soc2-evidence?accountId=X 就能回傳完整報告。它包含九個圍繞 SOC 2 稽核員關注的證據類別組織的區塊：

區塊	包含內容	來源
存取審查	每位使用者的角色、權限、部門分配、資源存取數量、最後活動時間	治理模組 + 權限引擎
安全指標	失敗的身分驗證嘗試、封鎖的 IP、API 金鑰健康狀況、使用量激增警報	安全分析
加密清單	10 個加密控制措施，包含演算法、金鑰大小、範圍和管理細節	靜態目錄
供應商登記	11 個第三方供應商，包含風險等級、認證和資料存取分類	靜態目錄
事件應變	4 個階段中的 6 個程序，包含嚴重性定義、SLA 和逐步手冊	靜態目錄
合規配置	啟用的合規框架、資料駐留規則、PII 偵測設定	帳戶配置
資料駐留	每類別的駐留模式（僅本地、雲端同步、雲端編修）	帳戶配置
保留政策	稽核日誌保留期間和配置	帳戶配置
稽核日誌摘要	30 天事件計數、操作分解、活動前 10 名執行者	Firestore audit_logs

報告有版本（1.0.0）和時間戳記。每個區塊都包含自己的 generatedAt 時間戳記，讓稽核員能確切看到每項證據的收集時間。

存取審查

存取審查區塊是稽核員花費最多時間的部分。JieGou 從即時平台資料自動產生它。

對於您帳戶中的每位使用者：

身分 — 電子郵件、顯示名稱、使用者 ID
角色 — 全域角色（Owner、Admin、Dept Lead、Member、Auditor、Viewer）及數值等級
部門 — 使用者所屬的部門
權限 — 其角色授予的完整細粒度權限清單（8 個類別中的 26 個權限）
資源存取 — 此使用者可存取的 recipe 和 workflow 數量
最後活動 — 使用者最近活動的時間戳記

報告還包含角色分布 — 每個角色等級有多少使用者 — 讓稽核員能驗證權限分配是否遵循最小權限原則。

API 金鑰摘要補充了存取審查：總金鑰數、配置了哪些 LLM 提供者，以及每個金鑰的細節（提供者、有效性狀態、使用時間）。稽核員可以驗證不存在過時或孤立的金鑰，無需深入另一個金鑰管理控制台。

加密清單

SOC 2 信任服務準則 CC6.1 要求組織記錄其加密控制措施。JieGou 的加密清單列出了涵蓋靜態和傳輸中資料的 10 個控制措施：

控制措施	演算法	範圍
BYOK 金鑰加密	AES-256-GCM	儲存在 Firestore 中的客戶 API 金鑰
Firestore 靜態資料	AES-256	所有 Firestore 集合
Session Cookie 簽署	RS256 (JWT)	Firebase Auth session cookie
密碼儲存	bcrypt / scrypt	使用者密碼雜湊
TLS — Istio Gateway	TLS 1.3	所有至 *.jiegou.ai 的 HTTPS 流量
TLS — Firebase Services	TLS 1.3	Firestore 和 Auth API 流量
TLS — Redis Cluster	TLS 1.2+	Redis 快取連線
文件新鮮度雜湊	SHA-256	URL 文件變更偵測
Session 快取金鑰雜湊	SHA-256	Redis session 快取金鑰
容器映像檔驗證	SHA-256	ECR 中的 Docker 映像檔摘要

每個控制措施都包含金鑰大小、管理者（JieGou、Google Cloud、AWS、Firebase）、程式碼庫中的來源模組，以及它涵蓋的是靜態資料、傳輸中資料或兩者。這不是行銷宣傳——而是直接對應到您基礎設施的機器可讀清單。

供應商登記

第三方供應商管理是 SOC 2 的要求。JieGou 的供應商登記列出了 11 個供應商，並附有結構化風險評估：

對於每個供應商：

風險等級 — 關鍵、高、中或低
SOC 2 認證狀態 — 供應商是否持有 SOC 2 Type II
其他認證 — ISO 27001、FedRAMP、PCI DSS、HIPAA 等
資料存取 — 供應商可存取和處理的資料
緩解措施 — 降低此供應商風險的特定控制措施
審查排程 — 上次審查日期和下次審查日期

供應商範圍從關鍵（GCP、AWS、Firebase Auth — 它們託管您的資料）到中（Resend 用於電子郵件、Redis 用於快取）。LLM 提供者（Anthropic、OpenAI、Google AI）被分類為高 — 它們暫時處理客戶提示，但 BYOK 支援和不訓練政策緩解了風險。

登記包含供應商特定的緩解措施，而非通用陳述。對於 Stripe：「PCI DSS Level 1 認證 — 卡片資料永不觸及 JieGou 伺服器。」對於 Redis：「僅快取模式（停用持久化）— 無 PV。」這些是稽核員尋找的細節。

事件應變手冊

SOC 2 CC7.3 和 CC7.4 要求記錄事件應變程序。手冊包含 4 個階段中的 6 個程序：

階段 1：偵測與分級（所有嚴重性）— 確認警報、分類嚴重性 P1-P4、建立事件頻道、保存初始證據。

階段 2：圍堵 — 三個依嚴重性的程序：

資料外洩（P1）— 識別受影響的帳戶、停用受損使用者、輪替 API 金鑰、清空 session 快取、保存稽核日誌、根據 GDPR 在 72 小時內通知客戶
未經授權存取（P1）— 撤銷 session、停用帳戶、檢查 IP 封鎖、執行存取審查、調查橫向移動
服務中斷（P2）— 檢查斷路器、故障轉移至替代 LLM 提供者、驗證 Redis fail-open、發布客戶狀態更新

階段 3：根除與恢復（P1-P3）— 根本原因分析、修復部署、生產驗證、服務恢復。

階段 4：事後檢討（P1-P2）— 48 小時內進行無責備審查、編譯事件時間軸、追蹤糾正行動。

每個程序步驟都包含負責方（值班工程師、安全主管、基礎設施工程師）、SLA（分鐘）、使用的特定工具（不是通用類別 — 實際的模組名稱和指令），以及當情況惡化時的升級觸發條件。

嚴重性定義具有明確的回應時間 SLA：P1 關鍵為 15 分鐘、P2 高為 1 小時、P3 中為 4 小時、P4 低為 24 小時。

稽核日誌摘要

稽核日誌摘要將過去 30 天的活動彙總成兩個視圖：

操作分解 — 每個操作類型的計數。在此期間發生了多少 recipe 執行、workflow 執行、角色變更、API 金鑰操作、配置更新和其他可稽核事件。這告訴稽核員平台上發生了什麼，以及活動模式是否看起來正常。

最活躍執行者 — 按事件計數排序的 10 位最活躍使用者。稽核員使用此來驗證高活動帳戶是否對應於預期使用者（自動化服務帳戶、進階使用者），而非異常行為。

為提升效能，摘要上限為 1,000 個事件。對於活動量更高的帳戶，原始稽核日誌始終可透過治理模組取得。

如何建構

證據報告透過使用 Promise.all 同時平行抓取所有九個區塊來產生。六個區塊來自即時查詢（存取審查、安全指標、合規配置、資料駐留、保留政策、稽核日誌摘要）。三個是靜態目錄（加密清單、供應商登記、事件應變手冊）。

**失敗開放設計。**每個動態區塊都包裹在 .catch() 處理器中。如果安全指標服務暫時無法使用，報告仍會回傳其他八個區塊並以安全預設值填充失敗的區塊。報告始終會回傳——它不會因為一個子系統緩慢而完全失敗。

**Redis 快取。**完整報告會快取 5 分鐘。在稽核期間，多位團隊成員可能會重複拉取相同報告。快取可防止冗餘的 Firestore 查詢並保持回應時間一致。

**區塊層級存取。**您不一定總需要完整報告。附加 ?section=access-review 來僅取得存取審查，或 ?section=encryption-inventory 來僅取得加密目錄。六個區塊可單獨定址：access-review、security-metrics、encryption-inventory、vendor-register、incident-response、audit-log-summary。

權限模型

此端點需要 audit:read 權限，對應到 Auditor 角色（等級 15）或以上。這意味著：

Auditor、Dept Lead、Admin、Owner — 可以拉取報告
Member、Viewer — 無法存取

這符合最小權限原則。您的合規團隊可以產生證據而無需管理員存取權限。您的工程團隊成員可以執行 workflow 和編輯 recipe，但除非其角色需要，否則無法查看安全狀態報告。

可用性

SOC 2 證據收集適用於 Enterprise 方案。包括完整證據報告 API、個別區塊存取、存取審查、加密清單、供應商登記、事件應變手冊和稽核日誌摘要。深入了解企業功能或開始試用。