安全規劃

安全性仰賴先進的技術以及使用者對資訊的正確管理,我們希望藉由透明資訊,與您達成良好的互信關係。以下是我們對本服務努力的安全措施:

安全加密連線

Secure Sockets Layer (SSL) 加密機制已廣泛運用在敏感的網路資訊傳遞中,本服務也提供安全加密連線的機制,以防止資料被不當的竊取。SSL加密連線可有效防止下列情況:

  • 未加密的網路環境中,被竊聽資訊
  • 敏感資訊、密碼在資訊傳輸的過程中被攔截解析

 

密碼控管

密碼是個人隱私中非常重要,卻最容易被忽視的資訊安全問題。絕大多數的使用者使用多數服務都用同一組密碼,因此密碼的流失,常常成為使用者隱私被竊取的任意門。

我們的密碼控管機制,能有效防止絕大都數的密碼外洩問題,包含

  • 沒有第二人能夠從系統中得知您的密碼,即使系統管理員也無法得知
  • 密碼以亂數雜湊儲存
  • 忘記密碼機制,以一次性連結取代寄出密碼,密碼將不會洩漏在 Email 或通訊中
  • 密碼的傳輸過程以加密機制完成
  • 密碼需要最短長度(6碼),並且提供密碼強度提示

良好的密碼控管也需要使用者配合,我們對於密碼保存有下列建議:

  • 請不要寫下您的密碼,事實上,只要你的Email正確,即可隨時重新設定密碼
  • 請不要開啟「公用帳號」,公用帳號是無法追蹤資料外洩的元兇
  • 請不要告訴別人你的常用密碼,有心人甚至可用此資訊在你的網路戶頭匯款

 

金流資訊/信用卡資料傳輸

本服務所介接之第三方金流服務,使用者在輸入信用卡卡號等金流資訊時,皆是透過金流廠商所提供之環境進行處理與儲存。本服務並未傳輸或儲存任何信用卡資訊,同時我們也不允許使用本服務之客戶,在系統裡儲存信用卡資訊。

 

災害防範 / 資料保全與回復

支持者系統既重要且敏感,因此我們特別針對資料保全做出完整的規劃。任何時候,我們的資料透過層層防護儲存,比起自家建置的機器,netiCRM 服務特別讓你免去自行聘用網管人員,又能維持完善的資料保全:

  • 即時硬碟映像備份 - 最完整的RAID備份,避免硬碟壞軌
  • 每日資料庫本地備份 - 由我們設計的備份、回復機制,資訊隨時可回朔
  • 每日異地映像備份 - 唯有異地備份可避免重大災害時造成的損失

然而,系統並非全然萬能,偶也有斷線或災害的發生,我們規劃下列步驟以提供應變,與您做更良好的溝通:

  1. 每15-30 分鐘提供即時訊息於 http://status.neticrm.tw
  2. 評估該斷線/災害情況是否短時間無法回復
  3. 短時間無法回復,進行備援機制,將服務轉移到第二個資訊中心(美西資料中心)

 

應用程式漏洞更新

缺乏日常維護的系統、使用者人數有限的系統,常常造成安全防護的弱點,也是駭客的首要攻擊目標。既然是雲端系統結合開放原始碼軟體,您不再需要擔心系統沒有人協助更新,因為我們定期的修補與維護,讓系統更為完善。每次系統的升級,都將有下列完整的品質測試程序:

  • 穩定版本發佈前,會先有發佈前期的測試階段,由內部服務首先使用
  • 測試無誤後,升級標的測試網站,並且做完重要的品質測試程序(金流、報名、捐款...)
  • 通知使用者網站將升級
  • 排程升級網站,無接縫升級(斷線於3分鐘以內)

 

若您對本服務的安全規劃有任何建議,也歡迎您給我們寶貴的建議