为了让应用冷启动更快,Nestli 会在设备上缓存喂养、睡眠、成长记录和照片说明等数据。这些缓存会使用每次安装独立生成的密钥加密,并存放在设备的安全区域中(iOS 使用 Keychain,Android 使用 EncryptedSharedPreferences)。即使手机丢失或被清空,别人也无法直接读取宝宝记录。
认真保护宝宝的数据,让它始终属于你的家庭。
Nestli 是宝宝记录工具,不是广告平台。下面清楚说明我们会做什么,也说明我们不会做什么。
我们如何保护数据
设备端加密
默认按家庭隔离
每一次读取和写入都会检查对应宝宝的家庭成员权限。即使系统配置出现问题,其他家庭也不能看到你的记录。边界不仅由 App 控制,也由数据库本身强制执行。
照片保存前会自动审核
每张照片上传时,都会立即经过自动内容审核。不符合家庭友好准则的内容会在存储前被拒绝并移除,确保即使邀请了更多家人,宝宝时间线也保持安全、合适。
真正的账号删除
删除宝宝资料是一个经过确认的三步操作:阅读警告、输入宝宝姓名、再输入我们发送到邮箱的 6 位验证码。一次误点不会抹掉一整年的回忆。删除账号会从线上系统中移除你的个人资料和已上传照片。
无广告。不转卖。不放追踪 SDK。
Nestli 不接入广告网络,不使用会画像用户的分析 SDK,也不会把数据交给数据经纪商。我们不会出售你的信息,也不会拿它做交易。Nestli 的运营来自用户付费,而不是贩卖用户数据。
AI+ 只在该做的范围内工作
AI 助手只回答与宝宝照护相关的问题。离题请求、越狱尝试,以及隐藏在上传图片里的提示词攻击,都会被拒绝。你的 AI 对话不会被用于训练模型;我们使用的 API 服务也禁止将这些数据用于训练。
数据存储在澳大利亚
你的记录和照片存放在亚太地区(悉尼)。照片会通过全球内容分发网络提供给受邀家人访问,让身处其他国家的亲人也能更快看到宝宝的重要瞬间,同时不会把底层存储公开。
传输过程加密
App、服务器和服务提供商之间的所有连接都使用 HTTPS。照片链接是短期有效的签名链接,即使链接被截获,也会在数小时后过期,并且只指向你自己家庭的私有存储路径。
我们不会夸大承诺
很多产品的宣传页喜欢把安全能力说得过满。我们更愿意说清楚:
- Nestli 不是端到端加密。AI 功能需要读取相关上下文才能回答问题,受邀伴侣的设备也需要读取记录才能显示给他们。这意味着数据在使用过程中会经过我们的服务器。
- Nestli 不是“绝对无法被攻击”。互联网上不存在绝对安全。我们会尽量减少收集的数据、按家庭隔离、并持续监控风险,但任何“绝对安全”的说法都应被谨慎看待。
- 我们目前没有 SOC 2 或 HIPAA 等正式认证。我们遵循这些框架背后的原则,例如最小权限访问、加密存储和审计日志,但目前尚未购买或完成相关认证。
- 我们是一个小团队。如果收到严重漏洞报告,我们会修复并通知受影响用户;但我们不会假装自己拥有 24/7 的安全运营中心。
我们会与哪些服务提供商合作
以下是我们使用的服务提供商,以及它们分别承担的作用。这份清单与 隐私政策 保持一致,只是用更直白的方式说明:
Supabase
数据库、身份验证和无服务器函数。用于存放你的记录。
Amazon Web Services
位于悉尼的照片存储,以及用于自动内容审核的图像审核服务。
Amazon CloudFront
全球内容分发网络,用于让受邀家人在其他国家也能更快加载照片。
OpenAI
支持 AI+ 聊天回答和语音记录转写。通过 API 提交的数据不会用于训练模型。
Moonshot(月之暗面 / Kimi)
用于处理常规中文问题的备用 AI 服务提供商;同样适用不用于训练模型的约定。
Resend
发送事务性邮件,例如验证码、密码重置、家庭邀请和删除宝宝资料确认邮件。
你可以做什么
- 为设备设置密码或生物识别。 上面提到的设备端加密,需要依赖设备在不用时处于锁定状态。
- 不要在共享设备上保持登录。 退出登录会清除本地缓存,避免下一个使用设备的人看到宝宝记录。
- 定期检查家庭成员。 你可以在家庭设置中查看每个宝宝资料的访问成员,并随时移除不应继续访问的人。
- 发现异常请联系我们。 如果你看到未邀请的成员,或发现不是你创建的记录,请发送邮件至 support@nestliapp.com,我们会在当天进行调查。