CarbonBridge 的公开信任叙述,围绕可证明性、可交付性与运维真实度来构建。
这个 Trust Center 解释 CarbonBridge 当前如何表述客户信任:把法规支撑的方法论、真实交付工作流与运维真实状态,与 demo 假设或泛化营销明确分开。它刻意比“发布宣传册”更保守,也更适合买方、采购和法务转发。
方法论与监管边界
CarbonBridge 更重视把法规依据、默认值、真实客户数据与核验准备度分开呈现,而不是混成一个营销叙述。
买方与核验交付
平台正在围绕可交给买方、管理层、供应商与核验相关方的交付件进行强化,而不只是围绕内部仪表盘。
数据与运维边界
隐私、支付、监控与提供商状态正在被更清楚地区分,以帮助客户判断哪些是已运行状态,哪些仍依赖人工或外部提供商闭环。
此页面与 `/api/status`、`/status`、`/dashboard/launch-readiness` 共享同一控制面语义:已配置、回调已验证、收款证明已就绪、已存在已支付账单、收款已证明、正式记账工件已就绪、提供商已接受、送达已证明、待客户许可、可发布、已发布、法务闭环待完成。较早阶段不会再被写成较晚阶段。
核心平台与工作流
持续加固中核心产品页面、注册开通、定价、信任页面和多项登录后工作流已显著加固。这一轴最接近客户可用。
商业与支付闭环
证据槽位可见,外部闭环仍待完成计费、提供商状态与生命周期说明已把“商户已配置、回调已验证、收款就绪、已存在已支付账单、收款已证明、正式记账工件已就绪、提供商已接受、送达已证明、客户证明物发布准备度、法务/公开市场闭环”拆开显示。真正的商业闭环仍依赖真实商户、真实收款、可发布客户证明物、邮箱/短信送达证明和法务完成。
运维证明
可见,但尚未全面证成监控、备份、部署与健康页面已经存在,并且对证据边界表述更清楚。但完整运维证明仍需要真实告警路由、恢复演练、回滚纪律和持续现场验证。
法务与市场发布闭环
仍待完成公开信任页面已更强,但 ICP / PSB 与部分商业信任材料仍需闭环,才能支撑全面市场就绪声明。
商业状态边界
仅有方案或订阅标识并不等于最终商业真相。商户配置、回调证据、收款就绪账单证据、已存在已支付账单、收款证明、正式记账工件就绪、提供商已接受、送达证明、客户证明物发布准备度与法务/公开市场闭环必须继续分开呈现,前一阶段不能被写成后一阶段。
运维证明边界
监控、备份脚本与部署工作流即使存在,也可能还未在真实运维条件下被充分证明。CarbonBridge 选择把这些差异讲清楚,而不是笼统写成“生产就绪”。
发布准备度边界
产品复杂度和界面质量本身不足以构成全面发布闭环。最终市场就绪仍依赖法务、支付、运维与客户证明物完成。
代表 CarbonBridge 处理客户数据的第三方服务。新增任何一项都属于重大变更,并会至少提前 14 天通知。最后更新:2026 年 4 月。
| 提供商 | 用途 | 区域 | DPA |
|---|---|---|---|
| Tencent Cloud (CVM + TencentDB + COS) | 应用托管、数据库、对象存储 | 香港(主)+ 上海(中继) | 链接 |
| CoreAI Gateway | 用于法规解读与报告草拟的 AI 推理 | 香港 / 新加坡 | On request via security@carbonbridge.com.cn |
| CoreAI Direct | 摘要、翻译、结构化提取(中国大陆路径) | 中国 | On request via security@carbonbridge.com.cn |
| Stripe | 国际银行卡支付与 webhook 交付 | 爱尔兰 / 美国 | 链接 |
| WeChat Pay (Tenpay) | 中国境内支付 | 中国 | Covered by merchant agreement |
| Alipay | 中国境内支付 | 中国 | Covered by merchant agreement |
| Sentry | 错误追踪与性能监控 | 欧盟 | 链接 |
| Resend | 事务邮件投递 | 美国 | 链接 |
- 主数据存储:Tencent Cloud Hong Kong(43.132.186.229)上的 PostgreSQL。加密日备份保留 14 天。
- 中国路径客户:除非明确为了 EU CBAM 申报导出,否则运行数据留在大中华区。
- 跨境传输:只有客户明确提交给欧盟主管机关的文件会出区,其合法基础是申报义务本身。
- AI 处理:如工作流允许,发送给非中国 AI 提供商的提示词会剥离个人身份信息。企业版可选择仅中国路径的 AI 路由。
| 级别 | 响应 | 更新 | 目标 |
|---|---|---|---|
| Sev 1 — 平台不可用 | 30 分钟 | 每小时 | 4 小时内提供绕行方案或修复 |
| Sev 2 — 主要功能降级 | 2 小时 | 每 4 小时 | 1 个工作日内修复 |
| Sev 3 — 次要问题 | 1 个工作日 | 解决时更新 | 下一个版本修复 |
| 安全事件(数据) | 30 分钟 | 随着新事实披露 | 按 PIPL 第 57 条在 72 小时内通知客户 |
这些时限属于 CarbonBridge 的公开支持与事件沟通姿态,帮助买方、运维与采购理解预期路由;具有约束力的服务承诺仍以签署协议为准。
一般客户支持与采购跟进通过 CarbonBridge 官方支持渠道处理。这是平台帮助、发布问题、交付协调和买方尽调的一线公开联系面。
公开支持姿态帮助买方和运营方理解如何联系到我们;合同级升级路径与服务条款仍取决于签署协议。
漏洞可直接发送给安全团队。我们遵循 90 天负责任披露窗口,并会致谢遵守政策的研究者。
我们的运维姿态由仓库可见工作流与运行时页面支撑,但会刻意区分工作流证据与真实运维证明:
- Webhook smoke 工作流 —— 支付代码路径变更时,CI 会触发 Stripe / WeChat / Alipay 端点验证。
- 恢复演练工作流 —— 当前 CI 会在 scratch Postgres 环境验证恢复路径;这是有用的工作流证据,但仍不同于从生产备份工件恢复成功的完整证明。
- 构建 + lint + typecheck —— 在面向部署的工作流继续之前是强制门槛。
- 端到端 client-readiness smoke —— Playwright smoke 覆盖核心 client-safe 路径,而更广的运维历史仍需时间累积。
真实运维闭环仍依赖真实告警路由、真实事件处理和生产备份工件恢复——这些不会因为“有工作流”就被默认成立。
本页是什么 —— 以及不是什么
它是: 对当前信任姿态、工作流导向与 CarbonBridge 为什么选择“真实胜于夸张”的更清楚解释。
它不是: 不是对所有法务、支付、监控、通信送达或运维要求都已闭环的声明。某些关键商业与运维步骤仍需要真实收款、明确客户许可、可公开内容、有限送达证明或正式合规完成。
当前原则: 客户可见页面应帮助区分“已配置、回调已验证、收款就绪、收款已证明、提供商已接受、送达已证明、客户证明物待许可 / 可发布 / 已发布、法务待完成、公开响应状态”,而不是把它们压缩成一句营销话术。
下一组信任里程碑
- 在获得客户许可且商业上适合公开后,补充客户证明物与案例型证据。
- 只有在可以安全引用真实商户与已支付账单证据时,才把“收款已证明”线路向外提升;此前“收款就绪”必须继续明确标注为未实际收款。
- 在提供商配置与部署证据完全验证后,公开更强的安全、监控与运维证明。
- 把适合买方与适合核验的交付件打包成明确的信任工件,而不是隐含在工作流副产物里。