经得起您自己审计的时间追踪

您深知"加密"与"端到端加密"的本质区别。
P256 ECDH 密钥协商。ChaCha20-Poly1305。HKDF-SHA256。
您的客户数据在您的设备上加密,同步到您的 iCloud — 我们永远看不到。

P256 ECDH ChaCha20-Poly1305 零知识架构
免费下载 查看我们的加密方案

零知识架构

密钥在您的设备上生成。数据同步到您的 iCloud,而非我们的服务器。我们永远看不到您的数据 — 甚至看不到加密后的数据。

现代加密技术

P256 ECDH、ChaCha20-Poly1305、HKDF-SHA256。基于 Apple CryptoKit 实现,无自定义加密。

可审计

标准加密原语。Apple 审计过的 CryptoKit。欢迎审查我们的实现。

敏感情报

您的时间记录就是威胁数据

您的工时表揭示了对手梦寐以求的信息:

  • 客户名称 — 哪些公司正在投资安全(或需要投资)
  • 项目类型 — "渗透测试 - 外部边界"、"应急响应 - 勒索软件"、"合规差距"
  • 漏洞详情 — 修复前的发现笔记
  • 项目时间线 — 安全评估何时进行
  • 您的方法论 — 您花时间在什么上揭示了您的方法

"您不会使用明文存储渗透测试笔记的时间追踪器。那为什么使用以同样方式存储客户名称和项目描述的工具呢?"

加密技术详解

供希望验证的人士参考。

密钥协商

P-256 (secp256r1) ECDH
- 首次启动时生成密钥对
- 私钥存储在 iOS 钥匙串中
  (可用时使用安全隔区)
- 公钥仅用于派生

密钥派生

HKDF-SHA256 (RFC 5869)
- 域: "tenths.encryption.v1"
- 每条记录 32 字节随机盐
- 256 位派生密钥

对称加密

ChaCha20-Poly1305 (RFC 8439)
- AEAD 结构
- 256 位密钥,96 位随机数
- 认证标签防止篡改

密钥备份

BIP-39 12 词助记词
- 标准词表
- 可恢复完整密钥材料
- 兼容硬件钱包流程

完整加密规范

威胁模型

各种场景下您的数据会发生什么。

场景 您的数据
我们的服务器被攻破 没有用户数据可窃取 — 数据在您的 iCloud 中
流氓员工访问后端 无可访问内容 — 我们不存储您的数据
政府传唤我们的记录 无可提供内容 — 您的数据在您的 CloudKit 中
我们公司被收购 新所有者得不到用户数据 — 数据从来不属于我们

"这是您会推荐给客户的架构。现在自己用起来吧。"

安全项目

渗透测试与评估追踪

  • 快速笔记(加密) — "在登录页面发现 SQL 注入"
  • 多种费率类型 — 评估 vs. 报告撰写
  • 固定费用 + 按时计费 — 追踪范围蔓延,为未来谈判做准备
Tenths 计时器追踪安全项目
应急响应

时间紧迫的追踪

  • 一键启动计时器 — 在活跃事件期间
  • 离线可用 — 适用于隔离网络环境
  • 导出时间线 — 用于事后计费和保险理赔
  • 预付费追踪 — 月度小时数,超出部分按小时计费
Tenths 小组件快速启动计时器

当客户询问您的安全措施

您的企业客户会发送供应商安全调查问卷。当他们询问您的时间追踪工具时:

数据在静态时是否加密?

是的。所有数据在存储或同步前都使用 ChaCha20-Poly1305 在设备上加密。

数据在传输时是否加密?

是的。iCloud 同步使用 TLS。此外,我们的数据在传输前已进行端到端加密。

谁可以访问我们的项目数据?

只有您。您的数据在您的设备上加密,并同步到您的个人 iCloud — 我们永远看不到、存储或访问它。

你们有 SOC 2 认证吗?

SOC 2 认证的是公司如何处理客户数据。我们根本不处理客户数据 — 数据在您的设备上加密,并同步到您的 iCloud,而非我们的服务器。我们没有什么需要审计的。

为什么不用通用时间追踪器?

标准 Tenths 通用工具
密钥管理 仅客户端 服务器端
加密 端到端(在设备上) 静态加密(服务器)
供应商访问 零知识 完全访问
数据泄露影响 我们服务器上无用户数据 明文暴露
加密标准 P256 + ChaCha20 未知/AES

使用场景

渗透测试人员 — 独立顾问

"我每年为 20 多个客户做渗透测试。每个项目都包含可能被武器化的发现。我不能把这些数据放在别人控制的系统里。"

解决方案:在 Tenths 中为每个客户创建记录,每个项目作为一个事项。追踪侦察、测试和报告时间。添加关于发现的笔记(加密)。您的客户列表和发现用您的密钥加密保存。

安全公司 — 多名顾问

"我们有 8 名顾问。我们需要时间追踪来计费,但不能让顾问之间相互访问数据。"

解决方案:每位顾问使用自己的 Tenths 实例和密钥。导出时间到您的 PSA 进行统一计费。顾问之间无法共享访问客户数据 — 这是设计使然。

应急响应人员 — 随时待命

"我凌晨 2 点接到勒索软件事件的电话。我需要立即准确地追踪时间,用于保险赔付申请。"

解决方案:主屏幕上的小组件。一键开始追踪。知道客户后再添加。关于事件的笔记保持加密。导出详细时间线用于保险理赔支持。

虚拟首席信息安全官 — 多客户

"我是 6 家公司的兼职 CISO。每家公司都认为他们是我唯一的客户。时间追踪必须滴水不漏。"

解决方案:每家公司作为独立客户。追踪咨询时间、会议时间、项目工作。在为客户 B 工作时不会有暴露客户 A 项目的风险。按客户导出独立发票。

为重视安全的专业人士设计

免费版永久可用。需要更多导出时再升级。

免费版
$0

体验架构

  • 无限客户/项目
  • 完整端到端加密
  • iCloud 同步
  • AI 助手
  • 每月 1 次导出
开始使用
Plus
¥60*/月

活跃的咨询业务

  • 无限客户/项目
  • 完整端到端加密
  • iCloud 同步
  • AI 助手
  • 无限导出
开始免费试用

*价格以当地货币显示。实际价格由 App Store 确定,可能因汇率变动而略有不同。

技术常见问题

我可以审计你们的加密实现吗?

我们使用 Apple 的 CryptoKit 进行所有加密操作 — 没有自定义加密。我们的实现遵循标准模式。我们欢迎安全研究人员审查。

如果 Apple 的 CryptoKit 有漏洞怎么办?

我们使用 CryptoKit 是因为它经过审计、硬件加速,并由 Apple 安全团队维护。如果发现漏洞,我们会随操作系统更新。这比自己编写加密要好。

我的数据在 iCloud 中吗?

您的加密数据通过 CloudKit 同步到您的个人 iCloud 账户。我们永远看不到它。Apple 在您的私有 CloudKit 容器中只能看到密文。您的数据永远不会接触我们的服务器。

可以自托管吗?

不可以。但您不需要 — 我们反正也无法访问您的数据。自托管需要我们构建服务器基础设施,您来维护它。我们的架构使这变得不必要。

有 API 访问吗?

目前没有。API 访问需要我们处理包含您数据的请求,这与我们的零知识模型冲突。导出为 CSV/Excel 用于集成。

使用您会推荐的安全架构

P256 + ChaCha20。零知识架构。免费开始。

在 App Store 下载 查看加密方案