安全性與資料隱私 %%page%% %%sep%% %%sitename%%

堅守資料安全的周延設計。

深獲世界一流組織信賴。

我們立足矽谷，長年耕耘事業，深刻體認到值得信賴的軟體合作夥伴對於組織而言有多麼重要。這意味著我們的首要使命除了保護您的資料，還必須滿足您的法規遵循需求。因此，我們的網路應用程式乃是透過「以安全為本」的設計方法所開發。

憑藉焦點明確的安全專家團隊、強大且安全的主機託管環境，合乎 ISO 27001 標準的架構，我們深信本公司的解決方案得以兼顧穩定、可靠與規範遵從度。事實上，確保客戶安全無虞，才能真正守護我們的長年聲譽。

瀏覽各家客戶的成功案例

領先同業的安全保障

從主機託管合作夥伴等外部供應商的管理作業，到最佳開發實務的日常遵循以及安全焦點團隊的部署，我們的方法業已順應安全性基礎架構，並且超越國際公認標準而設計。

實體安全性
存取控制
安全部門人員
安全弱點管理
加密
開發

實體安全性

Centric Software 的資訊系統和技術基礎架構皆託管在世界一流的業界認證資料中心內，資料中心的實體安全控管包括全天候監控、攝影機、訪客紀錄、進出限制，乃至於高度安全性資料處理設施應當執行的各種管制與防護。

如欲進一步了解我們的雲端服務供應商，敬請造訪：

Amazon Web Services | Microsoft Azure | Google Cloud Platform | Centric Data Center

存取控制

Centric Software 制定了政策、程序和邏輯控管措施，確保資訊系統存取及造訪其所在設施的權限，均能限制在適當授權的人員範圍內；

我們確保：

只有實際需要客戶資料的 Centric 軟體人員才會獲准存取資料；
制定控管措施，依據最小權限原則，授與 Centric 軟體人員存取任何的客戶資料權限；
Centric 軟體客戶均可使用功能強大的身分驗證控制措施，因此能將服務設定成合乎業界標準，以解決以下問題：鎖定、唯一性、重置、過期、閒置一段時間後終止、密碼重用限制、密碼長度、密碼過期，乃至於使用者遭鎖定前的無效登入請求次數；
定期 (不少於每季一次) 存取權限審查，確保獲准存取客戶資料的 Centric 軟體人員仍有實際之存取需求。

人員

Centric Software 在僱用人員之際均將進行背景調查 (在適用法律允許或協助範圍內)。此外，Centric Software 將資訊安全政策傳達予所有人員 (他們必須確認已知悉)，並要求新進同仁簽署保密協議，以及提供持續的隱私和安全訓練。

專門的安全部門人員

Centric Software 具備專門的資料隱私和安全團隊，專注於應用程式、雲端、網路和系統安全，團隊負責維護資訊安全管理系統 (ISMS)，以滿足內部安全政策和標準的要求及規範。

安全弱點管理與
滲透測試

Centric Software 持續維護著記錄完整的安全弱點管理方案，其中包括了伺服器、工作站、網路設備與應用程式的定期掃描、身分識別、安全弱點修復。所有網路，包括測試和生產環境，均以受信任的第三方供應商定期進行掃描。重要的修補程式均將根據優先順序，套用至伺服器，並確保同樣做法適用於所有其他修補程式。

我們還定期進行內部和外部滲透測試，並參照嚴重程度妥予修復。

加密

傳輸加密: Centric Software 全面採行安全加密方法，適用於所有系統和服務之間的相關通訊。

靜態資料加密: Centric Software 確保所有靜態資料一致使用業界標準的加密演算法及強度妥予保護。

備份加密: 所有備份都預設為加密。

開發

我們的開發團隊採用安全編碼技術和最佳做法，專注於解決 OWASP 十大網路應用系統安全弱點 (OWASP Top Ten)。開發人員在僱用之初以及往後每年，都會接受有關安全網路應用程式開發實務的正式培訓。

開發、測試與生產環境彼此分立以策安全。在部署到生產環境之前，為了效能、稽核和鑑識分析等目的，所有變更都經過同儕審查和記錄。

資料安全與法規遵循

Centric Software 在治理、風險管理和法規遵循實務上的做法，符合全球公認的資訊安全架構。Centric Software 已獲得 SOC 3 認證，並且符合 GDPR。

確保內部資訊安全管理系統 (ISMS) 實際符合 ISO 27001 架構的標準，從而確立並持續精進資訊安全業務流程。

SOC2 第 2 類與 SOC3 第 2 類法規遵循

Centric Software 已使用標準進行評估，這些標準來自以下指南中第 1.26 項的規定：「美國註冊會計師協會 (AICPA) 指南：報告服務組織與安全性、可用性和保密性原則的設計適用性和營運有效性相關的控管措施。」

下載 SOC 3 報告

一般資料保護規則

一般資料保護規則 (GDPR) 約束了歐盟 (EU) 境內向民眾提供各式產品和服務的組織，此類組織可能會搜集或處理各種歐盟公民的個人資料，但未必位於歐盟國家。Centric Software 致力保護個人資訊。關於我們的個人資訊處理方式，敬請參見下列資源的重要資訊。

隱私權政策 Cookie 政策資料處理條款 Centric Software 委外處理商技術和營運措施

無論哪個階段，資料保護均完備。

信任建立在公開透明之上。為了保護我們系統與貴客戶資料的安全性、完整性與法規遵循性，制定的明確流程，貫徹一切責任，對我們來說至關重要。這一節將介紹本公司所遵循的各種政策，以及我們為了保護平台與客戶資料所採取的安全措施。

安全政策

Centric Software 維護並定期審查和更新資訊安全政策，至少每年一次。同仁均須確認知悉政策，並接受工作職能的相關定期訓練，培訓旨在確認同仁均已遵守適用於 Centric Software 的所有規範與法規。

資產管理

Centric Software 持續實施的資產管理政策，涵蓋了資訊及資產的識別、分類、留存與處分。公司發配賦裝置均已配備了完整的硬碟加密、最新的防毒軟體、端點入侵預防和檢測系統，此外更規定只有公司配發裝置始有權限存取公司內與生產環境網路。

事故管理

Centric Software 持續實施的安全事故回應流程，涵蓋了初始因應、調查、通知客戶和/或個人 (根據需要)、公共溝通與補正作業；這個流程會定期查核，並且每兩年測試一次。

資料外洩通知

縱使窮盡最大的努力，網際網路的傳輸方法及電子儲存技術，仍然無法確保百分百安全；既然沒有萬無一失可言，更須講求有備無患。Centric Software 一旦獲悉安全弱點確實存在，均將將根據法律或其他要求通知受影響的使用者，俾利各方儘速採取適當保護措施。本公司的資料外洩通知程序業已合乎我們在適用的國家/地區級、州和聯邦法律法規下的應盡義務。

業務持續營運管理

備份已加密並儲存在次級環境裡，確保其機密性與完整符實。Centric Software 採用備份策略，確保最短的停機時間與最少量資料遺失，確實達成復原時間目標 (RTO) 及復原點目標 (RPO)。業務持續營運計畫 (BCP) 則將定期測試並更新，實際確保災變期間的成效與安心。

記錄與監控

應用程式和基礎架構系統將資訊記錄至集中管理的紀錄貯存中心，以利授權 Centric 軟體人員據此展開疑難排解、安全審查及分析。本公司根據法規要求，妥慎保存各項紀錄。

應用程式安全發佈標準

Centric Software 一併針對所有軟體版本引進安全發佈標準，其中包括了：

針對所有程式庫，實施相依性檢查，避免各種公開揭露的安全弱點及不再支援版本有機可乘。
靜態應用程式安全測試 (SAST) 容許測試人員存取基礎架構、設計與實作過程。應用程式採行由內而外的測試。
動態應用程式安全測試 (DAST)，測試人員無法瞭解構建應用程式的技術或架構。應用程式採行由外而內的測試。
由開發團隊的資深成員進行同儕程式碼審查，確保合乎內部標準。
實施外部滲透測試，確保應用程式或其主機託管平台皆無任何嚴重、高度或中度安全弱點。
進行法規遵循檢查，以符合適用標準，並確保遵守資料隱私和保護法。

Centric Software 安全性與法規遵循

忠於託付，守護您的各式資料安全。

堅守資料安全的周延設計。

深獲世界一流組織信賴。

40 多個國家/地區的 12,500+ 多個經典品牌