資訊安全規劃
重視安全性的企業文化
作為雲端服務提供者,netiCRM 將資安防護視為首要任務:
系統有完整的安全架構,透過定期/非定期的更新維護,提供所有用戶最完善的保護。並投保資安險,確保有足夠能量應對資安事件。我們深知資安事件的嚴重性,除了第一線把關,也積極向用戶宣導資安相關概念,邀請非營利組織與我們一起協力保障資料安全。
雲端安全防護
netiCRM 是基於雲端系統的服務,我們選用信譽優良的主機供應商,並結合不斷升級的資安配置、高頻率的修補與維護來確保雲端服務的安全性。
主機的安全性
我們的主機由美國的老牌廠商Linode提供,他們的服務以穩定著稱、採用高層級的資安保護,並獲得多國監管稽核認證。
前期基礎架構
netiCRM各站台的資料庫皆各自獨立,且使用非對稱加密資料備份,最大程度保障資料安全。使用機器自動學習為基礎的資安配置:反饋式防火牆規則、即時偵測異常流量和入侵行為等,能提升對入侵的反應速度。定期/不定期的安全性更新,也讓系統資安更有保障。
隨時依據相關通報修補資安漏洞
缺乏日常維護的系統常是安全防護的弱點,也是駭客的首要攻擊目標。netiCRM 採用完整的品質測試程序,除了定期性更新維護系統,也會根據即時監測結果修補資安漏洞。且每次系統升級僅會斷線 3 分鐘以內,將影響降至最低。
資料加密與即時資安監測
所有用戶資料都透過安全加密機制傳輸,防止被有心人士竊取及攔截。並藉由機器學習技術來偵測可疑行為,在前期就能採取有效措施,阻斷入侵行為。
安全加密連線(流量加密)
Secure Sockets Layer (SSL) 加密機制已廣泛運用在敏感的網路資訊傳遞中,本服務也提供安全加密連線的機制,以防止資料被不當竊取。SSL加密連線可有效防止用戶在未加密的網路環境中被竊取資訊,以及敏感資訊、密碼在資訊傳輸過程中被攔截。
入侵偵測機制
入侵者通常會先進行一段時間的潛伏、掃描、測試程式碼等前置動作,系統中已建立相關偵測機制,有可疑活動會立即收到潛在威脅通知,並進行後續處理。
機器學習監控可疑流量
我們藉助先進的機器學習功能來偵測可疑的網站流量,每次偵測都將讓未來的判讀更準確,只要發現不正常的活動,就能在第一時間採取相應措施來確保系統安全。
系統管控與稽核
除了系統端的安全防護外,為了杜絕可能從各種管道入侵的駭客,使用者對資安的重視也非常重要。因此針對使用者端,我們有細緻的資安設定,也讓用戶能即時掌握自己站台的安全狀況,藉此提升資安防護力。
安全中心
用戶站台中最高層級的管理員,可以在此安全性管理的主控台快速掌握站台最新狀況,包含不正常的活動紀錄,以及系統的安全設定建議等。例如此頁面有:尚未啟用兩步驟驗證的管理帳號、鮮少使用的高風險帳戶、系統中有過高權限的角色、需要注意的安全性相關動作等。
完善的驗證機制
用戶站台中管理者層級的角色,系統設有驗證保護機制,只要關閉瀏覽器、太久沒有動作便會自動登出,並支援兩階段驗證登入,確保帳號安全。
提供稽核追蹤,掌控資料處理狀況
系統後台的「安全稽核紀錄」會顯示與資料安全相關的重要動作,包括:匯出資料、帳號變更、密碼變更、角色變更等詳情。
系統不會儲存信用卡資訊,有效降低風險
竊取信用卡號是駭客的主要目標,本公司的服務和系統永遠不會儲存信用卡於系統中,以防止盜刷事件。交易過程中,皆是透過金流廠商所提供之環境進行處理與儲存。本服務並未傳輸或儲存任何信用卡資訊,同時我們也不允許使用本服務之客戶,在系統裡儲存信用卡資訊。
組織如何進行個人資料保護?
信用卡機敏資訊
請不要將信用卡卡號、到期日、保密碼,儲存於組織內部的電子檔案,例如Excel,或經過郵件傳遞。若將卡號託管為第三方進行自動定期定額,須確保該單位是有經過PCI驗證的金流公司。目前 netiCRM 支援的定期定額金流商,藍新金流、綠界金流、TapPay,都是符合上述託管卡號自動扣款的單位。
個人資料儲存與內部控管
個人資料應確保儲存於可供密碼控管的地方,例如為文件本身設定密碼,或存放於需要密碼的硬碟。若暫時使用的個資,請確保使用後即刪除。從netiCRM系統下載的Excel個資,儲存於個人電腦內,請於使用完畢後盡快刪除,若需要長久保存請設定密碼保存,以免個人電腦被駭入時資料被竊取。
權限控管
需要使用到,才給予該帳號存取的角色。例如,編寫電子報的帳號,無須查詢看到所有聯絡人個資,就僅設定netiCRM的角色「電子報管理員」。不要為帳號開立不需要的角色,例如為會計或財務同仁的帳號,可設定角色為捐款管理員,請勿提供其他角色例如網站總管或帳號管理員。
帳號安全
絕大多數的使用者使用多數服務都用同一組密碼,因此密碼的流失,常常成為使用者隱私被竊取的任意門。帳號密碼外洩,會導致嚴重的入侵事件,常見的駭客行為,是竊取其他站外洩的帳號密碼,拿來測試登入使用。 請組織妥善進行以下安全規劃:
- 組織請不要開設「公用帳號」,整個單位共用帳號密碼,每位操作系統的使用者,應有不同的帳號密碼,共用帳號密碼會讓入侵或惡意存取事件無法追蹤,公用帳號是無法追蹤資料外洩的元兇。
- 請不要寫下您的密碼,事實上,只要你的Email正確,即可隨時利用「忘記密碼」重新設定密碼。
- 請不要告訴別人你的常用密碼,有心人甚至可用此資訊在你的網路戶頭匯款。
- 建議您使用專用的密碼,存取netiCRM的網站,勿為了便利,使用與其他網站相同密碼,以免其他網站/服務資安保密不佳,外洩密碼。
- 建議開啟兩步驟驗證,確保電腦遺失或被猜中密碼後,仍需要綁定的手機產生隨機碼才能登入。
- 請務必將已離職員工的帳號停用,避免有心人士登入取得機密資訊。