访问与治理
为每个人分配其工作所需的访问权限
按组织、项目、问卷和集成控制权限。在需要的地方添加审批关卡,并保留重要操作的可审查历史记录。有关安全架构和合规状态,请参阅信任与安全。

捐助方资助的项目、政府机构和研究团队无法将访问控制当作事后才考虑的问题。负责填写安全问卷的人需要能够明确指出数据是如何隔离的、谁能看到什么,以及审计记录存放在何处。FlexiSurvey 从一开始就被构建为以治理为基础的多租户平台,因此这些答案早已存在于产品之中。
本页面涵盖管理员所配置的内容:角色与权限范围、隔离边界、字段保护以及运营控制。更深层的架构、合规状态与策略,即审查人员所需核实的证据,汇聚于信任与安全页面统一维护,而不是在此重复说明。
在恰当的范围内分配角色
使用内置角色,或从精细权限中组合出一个角色,再将访问范围限定到相关的组织、项目、问卷、地区或 API 集成,从而让数据分析师、项目经理和只读审计员各自只能看到其职责所需的内容。权限校验在高负载下保持快速,自定义角色无需编写代码。
- 覆盖平台、租户、问卷和 API 范围的内置角色
- 从精细的原子权限组合自定义角色,无需编写代码
- 将访问范围限定到组织、项目、问卷、地区或集成
- 高负载下的快速权限校验
强制执行组织间的隔离
大多数平台仅在应用代码中强制实施租户隔离,这意味着一处遗漏的过滤条件就可能暴露另一个组织的数据。FlexiSurvey 在两个层面强制执行隔离:应用程序以一个无法绕过行级安全的数据库角色运行,而每一张租户范围的数据表都附带一项策略,除非当前租户上下文匹配,否则返回零行数据。对于任何因数据保护义务而需要可证明的隔离机制的人而言,这正是信任一次代码审查与指向数据库本身强制执行的策略之间的区别。有关当前覆盖范围和测试方法,请参阅信任与安全。
- 租户记录受应用层校验和数据库行级策略双重保护
- 应用程序以无法绕过行级安全的角色运行
- 纵深防御,仅凭应用层的漏洞无法导致跨租户数据泄露
- 平台支持访问由策略治理并记录在审计记录中
保护敏感字段
数据在传输中通过 TLS 加密,静态存储时由覆盖数据库和文件存储的 AWS 托管存储加密保护。每个租户的数据行还通过数据库强制执行的行级安全实现隔离:即使查询遗漏了租户过滤条件,也只会返回空结果,而不是他人的数据。移动应用会在设备上加密所采集的数据(AES-256-GCM),直至同步完成。
- 所有传输中的数据均使用 TLS 加密
- 数据库和文件存储在静态时由 AWS 托管的存储加密保护
- 数据库强制执行的行级安全隔离每个租户的数据行
- 移动应用在设备上加密所采集的数据(AES-256-GCM)
证明运营控制的有效性
当合规仅是一份幻灯片而非一套可运行的系统时,难度最大。FlexiSurvey 内置了各类项目实际被要求提供的运营控制:同意管理和数据主体请求处理、审批与变更历史、多因素身份验证选项、审计导出与留存,以及带有截止期限跟踪的数据泄露处理工作流。持续的对齐 SOC 2 的控制项监控会按计划检查 MFA 注册和审计留存等事项;合规状态本身则呈现于信任与安全页面。
- 同意管理和数据主体请求工作流
- 审批与变更历史
- 身份验证及多因素选项
- 审计导出与留存
- 带有截止期限跟踪的事件与数据泄露处理工作流
工作原理
从设置到产出的典型流程。
从一个角色开始
使用内置角色(管理员、项目经理、分析师、查看者),或从精细权限中自行组合专属角色。
叠加权限范围
按组织、项目、问卷或 API 限定角色范围。为某个地区指派项目经理,只需一个下拉菜单即可完成。
持续审计
每一次权限校验和数据变更都会被记录。审查人员提出要求时即可导出审计记录。
完美搭配
你可能想接着阅读的相关能力和解决方案页面。