Centric Software 安全性與法規遵循

忠於託付,守護您的各式資料安全。

堅守資料安全的周延設計。

深獲世界一流組織信賴。

我們立足矽谷,長年耕耘事業,深刻體認到值得信賴的軟體合作夥伴對於組織而言有多麼重要。這意味著我們的首要使命除了保護您的資料,還必須滿足您的法規遵循需求。因此,我們的網路應用程式乃是透過「以安全為本」的設計方法所開發。

憑藉焦點明確的安全專家團隊、強大且安全的主機託管環境,合乎 ISO 27001 標準的架構,我們深信本公司的解決方案得以兼顧穩定、可靠與規範遵從度。事實上,確保客戶安全無虞,才能真正守護我們的長年聲譽。

瀏覽各家客戶的成功案例

40 多個國家/地區的 5,200+ 多個經典品牌

領先同業的安全保障

從主機託管合作夥伴等外部供應商的管理作業,到最佳開發實務的日常遵循以及安全焦點團隊的部署,我們的方法業已順應安全性基礎架構,並且超越國際公認標準而設計。

    • 實體安全性
    • 存取控制
    • 安全部門人員
    • 安全弱點管理
    • 加密
    • 開發
    Physical Security @2x
    Access Control @2x
    Security Personnel @2x
    Vulnerability Management @2x
    Encryption @2x
    Develpoment @2x

    資料安全與法規遵循

    Centric Software 在治理、風險管理和法規遵循實務上的做法,符合全球公認的資訊安全架構。Centric Software 已獲得 SOC 3 認證,並且符合 GDPR。

    確保內部資訊安全管理系統 (ISMS) 實際符合 ISO 27001 架構的標準,從而確立並持續精進資訊安全業務流程。

    SOC2 第 2 類與 SOC3 第 2 類法規遵循

    Centric Software 已使用標準進行評估,這些標準來自以下指南中第 1.26 項的規定:「美國註冊會計師協會 (AICPA) 指南:報告服務組織與安全性、可用性和保密性原則的設計適用性和營運有效性相關的控管措施。」
    下載 SOC 3 報告

    一般資料保護規則

    一般資料保護規則 (GDPR) 約束了歐盟 (EU) 境內向民眾提供各式產品和服務的組織,此類組織可能會搜集或處理各種歐盟公民的個人資料,但未必位於歐盟國家。Centric Software 致力保護個人資訊。關於我們的個人資訊處理方式,敬請參見下列資源的重要資訊。
    隱私權政策 Cookie 政策 資料處理條款 Centric Software 委外處理商 技術和營運措施

    無論哪個階段,資料保護均完備。

    信任建立在公開透明之上。為了保護我們系統與貴客戶資料的安全性、完整性與法規遵循性,制定的明確流程,貫徹一切責任,對我們來說至關重要。這一節將介紹本公司所遵循的各種政策,以及我們為了保護平台與客戶資料所採取的安全措施。

    安全政策

    Centric Software 維護並定期審查和更新資訊安全政策,至少每年一次。同仁均須確認知悉政策,並接受工作職能的相關定期訓練,培訓旨在確認同仁均已遵守適用於 Centric Software 的所有規範與法規。

    資產管理

    Centric Software 持續實施的資產管理政策,涵蓋了資訊及資產的識別、分類、留存與處分。公司發配賦裝置均已配備了完整的硬碟加密、最新的防毒軟體、端點入侵預防和檢測系統,此外更規定只有公司配發裝置始有權限存取公司內與生產環境網路。

    事故管理

    Centric Software 持續實施的安全事故回應流程,涵蓋了初始因應、調查、通知客戶和/或個人 (根據需要)、公共溝通與補正作業;這個流程會定期查核,並且每兩年測試一次。

    資料外洩通知

    縱使窮盡最大的努力,網際網路的傳輸方法及電子儲存技術,仍然無法確保百分百安全;既然沒有萬無一失可言,更須講求有備無患。Centric Software 一旦獲悉安全弱點確實存在,均將將根據法律或其他要求通知受影響的使用者,俾利各方儘速採取適當保護措施。本公司的資料外洩通知程序業已合乎我們在適用的國家/地區級、州和聯邦法律法規下的應盡義務。

    業務持續營運管理

    備份已加密並儲存在次級環境裡,確保其機密性與完整符實。Centric Software 採用備份策略,確保最短的停機時間與最少量資料遺失,確實達成復原時間目標 (RTO) 及復原點目標 (RPO)。業務持續營運計畫 (BCP) 則將定期測試並更新,實際確保災變期間的成效與安心。

    記錄與監控

    應用程式和基礎架構系統將資訊記錄至集中管理的紀錄貯存中心,以利授權 Centric 軟體人員據此展開疑難排解、安全審查及分析。本公司根據法規要求,妥慎保存各項紀錄。

    應用程式安全發佈標準

    Centric Software 一併針對所有軟體版本引進安全發佈標準,其中包括了:

    • 針對所有程式庫,實施相依性檢查,避免各種公開揭露的安全弱點及不再支援版本有機可乘。
    • 靜態應用程式安全測試 (SAST) 容許測試人員存取基礎架構、設計與實作過程。應用程式採行由內而外的測試。
    • 動態應用程式安全測試 (DAST),測試人員無法瞭解構建應用程式的技術或架構。應用程式採行由外而內的測試。
    • 由開發團隊的資深成員進行同儕程式碼審查,確保合乎內部標準。
    • 實施外部滲透測試,確保應用程式或其主機託管平台皆無任何嚴重、高度或中度安全弱點。
    • 進行法規遵循檢查,以符合適用標準,並確保遵守資料隱私和保護法。

    常見問題

    如何進一步瞭解安全性與法規遵循的相關資訊?

    如果您對於安全性和法規遵循仍有其他疑問,敬請使用聯絡我們頁面上的表格,直接聯繫本公司。若有任何法律問題,敬請聯繫 legal@centricsoftware.com 

    我嘎如何回報潛在的安全弱點?

    若您目前是 Centric Software 的客戶,敬請使用支援入口網站回報任何產品或服務的任何問題。願意私下分享可疑安全弱點的安全研究人員,可透過 Centric Software 安全團隊的電子郵件地址直接聯繫本公司 security@centricsoftware.com。為了提升您報告的價值,支援團隊評估可疑安全弱點,每份報告最好都能包含詳細說明、風險判斷、目標範圍及其級別、POC,以及任何支援資料。

    常見相關資源