狠狠撸

狠狠撸Share a Scribd company logo

Ragic 資訊安全措施說明(ISO 認證、合規、程式架構與人員備份防災等說明)

?
?
Ragic
Ragic

包括 ISO 認證、資安合規性、主機實體安全性、網路與系統安全性、資料儲存安全性、程式架構安全性、人員安全性、備份與防災各面向的說明。有特殊考量的客戶,也可以選擇將資料放在自己的主機(私有主機方案)。

1 of 13
Download to read offline
资讯安全介绍
資訊安全措施概要 2 ISO 27001 與合規資訊 主機實體安全性 資料儲存安全性 網路與系統安全性 程式架構安全性 人員安全性 備份與防災 私有主機
ISO/IEC 27001 資通安全 3 ? ISO/IEC 27001《資訊科技—安全技術—資訊安 全管理系統—要求》是國際上最廣泛使用的資 安標準,其列出有關資訊安全管理系統架構、 實施、維護以及持續改善上的要求,目的是幫 助組織可以使其保管的資訊資產更加安全。 國際上最廣泛使用,且最完整的 ISMS 資安管理系統標準 ? Ragic 已取得 ISO/IEC 27001:2013 認證,並依循相關治理方法施行資訊安全 保護防治。
Privacy Shield 美國歐盟隱私盾 ? 《美國歐盟隱私盾框架》與《美國瑞士隱私盾框架》—— 簡稱隱私盾 (Privacy Shield),提供符合歐洲資料保護要求的資訊傳輸處理方式。 ? Ragic 已取得上述隱私盾認證,從歐洲經濟區、英國、瑞士轉移到美國的個 人數據的收集、使用和保存均遵循相關框架。 4 強化跨大西洋資料保護
GDPR 合規 ? Ragic 遵循《歐盟一般資料保護規則》( GDPR),實施資料刪除請求處理程序、 軟體個人身份資訊保護審查程序、用戶 資料庫資料傳輸程序。 5 保障歐盟用戶隱私 ? 定期風險評估、完整資安措施、隱私政策詳述資料處理原則。 ? Ragic 歐洲用戶資料庫位於歐洲伺服器,其他區域用戶若有特殊需求亦可洽 詢將資料庫移至歐洲伺服器。
HIPAA 合規 ? 資安規範遵循《健康保險便利及責任法案》(HIPAA),保障處理、存放和 傳輸受保護醫療資訊 (PHI) 流程。 ? 主機服務商 AWS、GCP 資安流程亦遵循相關規範,有需要時可簽署業務合 作協議(BAA)。 6 保護美國境內病患健康資訊
主機實體安全性 ? 通過 ISO 27001, SOC1, SOC 2, SOC 3, PCI DSS v3.0 等認證 ? 超過五百人的專業資安團隊 ? 24/7 全年無休實體主機影像監控、電子化門禁、生化認證、實體柵欄、金 屬偵測器偵測 ? 定期雲端軟體弱點掃描服務 7 世界級雲端平台服務供應商 確保主機實體安全 我們的主機是由知名公有雲(Google、 AWS)提供,特色包括:
資料儲存安全性 ? 資料儲存加密 – 所有寫入硬碟的資料,都經過加密 – 符合 ISO 27001, SOC 1, SOC 2, 和 SOC 3 ? RAID 硬碟 – 所有資料即時存到多顆 RAID 硬碟上,不會因為硬碟損毀造成任何資料的消失 ? 伺服器備份 – 每一台伺服器每天都會固定自動做完整備份 ? 資料庫備份 – 每位客戶的資料庫,每天另外會自動單獨異地備份到不同區域的儲存空間,確 保資料安全 8 資料儲存加密、RAID 硬碟、備份機制
網路與系統安全性 ? 傳輸 SSL 加密 – 所有傳輸都支援 HTTPS/SSL 加密 – 敏感資料傳輸時自動強迫使用加密傳輸 – 支援 TLS 1.2 及 TLS 1.3,詳細報告請參閱此網址 ? 應用層入侵偵測 – 進入主機的封包,都會經過嚴格的防火牆設定,以及特殊的入侵偵測程式,即 時阻擋惡意的連線 ? 完整內控紀錄 – 所有連線都有完整的內控紀錄,隨時供資訊安全人員查閱 – 定期分析可能的惡意行為,調整防止入侵策略 9 傳輸加密,入侵偵測,完整內控紀錄
程式架構安全性 ? 資料庫安全 – Ragic 資料庫特殊的設計,完全不支援 SQL。因此絕對沒有任何 SQL 相關的 injection 安全性問題。 – Ragic 不同客戶的資料庫,都存在於完全分離的資料庫檔案上,確保沒有任何資 料庫應用面上的資料漏洞 ? 定期弱點掃描 – Ragic 與配合廠商,會針對主機進行整體的定期安全性妨駭弱點偵測掃描,確保 系統防護狀態良好 ? 定期安全更新 – Ragic 系統管理員隨時會根據最新的資訊安全通報,進行系統安全更新,確保您 的主機不受最新發現的漏洞影響安全性 10 良好的程式架構,是最大的資訊安全保障
人員安全性 ? 資料授權 – 若沒有經過您的授權,任何人包括 Ragic 的技術人員都不能存取您資料庫中的 資料。 – 在提供技術支援的時候,預設我們只能看到您資料庫的設計,而沒有裡面的資 料。 ? 無資料庫介面 – Ragic 使用的資料庫型態特殊,完全沒有任何一般資料庫的查詢維護介面。因此 沒有任何透過資料庫後端,在您不知道的形況下存取資料庫的可能性。 ? 完整內控紀錄 – 所有資料存取都有完整的內控紀錄,隨時供資訊安全人員查閱 11 未經授權,任何人都不能存取您的資料
備份與防災 ? 系統整體定期備份 – Ragic 每台伺服器都有完整的每天以及每週整體備份,確保任何災難下資料都能 夠還原 ? 帳號資料庫定期備份 – 專業版以上的用戶,另外還有自己帳號資料庫的「每天」「三天」「每週」的 自動異地,異廠商備份,確保任何情況都能夠找回自己的資料 – 帳號資料庫的自動備份也提供您隨時手動下載或是進行還原 ? 手動備份 – Ragic 也提供專業版以上用戶手動資料庫備份的功能,讓您可以隨時下載您的資 料庫完整備份 – Ragic 也提供專業版以上用戶手動異地備份功能,讓您隨時可以把整個資料庫, 備份到另一個不同地點的不同雲端廠商的備份系統上 12 多種備份方式,確保資料的永續保存
私有主機 ? 若貴公司有一些資料的特殊考量,並且具備良好的主機維護能力,以及資 訊安全知識,則可以選擇維護自己的 Ragic 主機 ? 透過 Ragic 備份還原的功能,您隨時可以將線上專業版的帳號,搬移到私 有主機,或是將您私有主機的帳號,搬移到線上專業版 ? 強烈建議公司內部有專業的資訊人員,具備網路伺服器維護經驗,再選擇 私有主機,以策資訊安全! 13 有特殊考量的客戶,可選擇將資料放在自己的主機

More Related Content

Ragic 資訊安全措施說明(ISO 認證、合規、程式架構與人員備份防災等說明)

  • 3. ISO/IEC 27001 資通安全 3 ? ISO/IEC 27001《資訊科技—安全技術—資訊安 全管理系統—要求》是國際上最廣泛使用的資 安標準,其列出有關資訊安全管理系統架構、 實施、維護以及持續改善上的要求,目的是幫 助組織可以使其保管的資訊資產更加安全。 國際上最廣泛使用,且最完整的 ISMS 資安管理系統標準 ? Ragic 已取得 ISO/IEC 27001:2013 認證,並依循相關治理方法施行資訊安全 保護防治。
  • 4. Privacy Shield 美國歐盟隱私盾 ? 《美國歐盟隱私盾框架》與《美國瑞士隱私盾框架》—— 簡稱隱私盾 (Privacy Shield),提供符合歐洲資料保護要求的資訊傳輸處理方式。 ? Ragic 已取得上述隱私盾認證,從歐洲經濟區、英國、瑞士轉移到美國的個 人數據的收集、使用和保存均遵循相關框架。 4 強化跨大西洋資料保護
  • 5. GDPR 合規 ? Ragic 遵循《歐盟一般資料保護規則》( GDPR),實施資料刪除請求處理程序、 軟體個人身份資訊保護審查程序、用戶 資料庫資料傳輸程序。 5 保障歐盟用戶隱私 ? 定期風險評估、完整資安措施、隱私政策詳述資料處理原則。 ? Ragic 歐洲用戶資料庫位於歐洲伺服器,其他區域用戶若有特殊需求亦可洽 詢將資料庫移至歐洲伺服器。
  • 6. HIPAA 合規 ? 資安規範遵循《健康保險便利及責任法案》(HIPAA),保障處理、存放和 傳輸受保護醫療資訊 (PHI) 流程。 ? 主機服務商 AWS、GCP 資安流程亦遵循相關規範,有需要時可簽署業務合 作協議(BAA)。 6 保護美國境內病患健康資訊
  • 7. 主機實體安全性 ? 通過 ISO 27001, SOC1, SOC 2, SOC 3, PCI DSS v3.0 等認證 ? 超過五百人的專業資安團隊 ? 24/7 全年無休實體主機影像監控、電子化門禁、生化認證、實體柵欄、金 屬偵測器偵測 ? 定期雲端軟體弱點掃描服務 7 世界級雲端平台服務供應商 確保主機實體安全 我們的主機是由知名公有雲(Google、 AWS)提供,特色包括:
  • 8. 資料儲存安全性 ? 資料儲存加密 – 所有寫入硬碟的資料,都經過加密 – 符合 ISO 27001, SOC 1, SOC 2, 和 SOC 3 ? RAID 硬碟 – 所有資料即時存到多顆 RAID 硬碟上,不會因為硬碟損毀造成任何資料的消失 ? 伺服器備份 – 每一台伺服器每天都會固定自動做完整備份 ? 資料庫備份 – 每位客戶的資料庫,每天另外會自動單獨異地備份到不同區域的儲存空間,確 保資料安全 8 資料儲存加密、RAID 硬碟、備份機制
  • 9. 網路與系統安全性 ? 傳輸 SSL 加密 – 所有傳輸都支援 HTTPS/SSL 加密 – 敏感資料傳輸時自動強迫使用加密傳輸 – 支援 TLS 1.2 及 TLS 1.3,詳細報告請參閱此網址 ? 應用層入侵偵測 – 進入主機的封包,都會經過嚴格的防火牆設定,以及特殊的入侵偵測程式,即 時阻擋惡意的連線 ? 完整內控紀錄 – 所有連線都有完整的內控紀錄,隨時供資訊安全人員查閱 – 定期分析可能的惡意行為,調整防止入侵策略 9 傳輸加密,入侵偵測,完整內控紀錄
  • 10. 程式架構安全性 ? 資料庫安全 – Ragic 資料庫特殊的設計,完全不支援 SQL。因此絕對沒有任何 SQL 相關的 injection 安全性問題。 – Ragic 不同客戶的資料庫,都存在於完全分離的資料庫檔案上,確保沒有任何資 料庫應用面上的資料漏洞 ? 定期弱點掃描 – Ragic 與配合廠商,會針對主機進行整體的定期安全性妨駭弱點偵測掃描,確保 系統防護狀態良好 ? 定期安全更新 – Ragic 系統管理員隨時會根據最新的資訊安全通報,進行系統安全更新,確保您 的主機不受最新發現的漏洞影響安全性 10 良好的程式架構,是最大的資訊安全保障
  • 11. 人員安全性 ? 資料授權 – 若沒有經過您的授權,任何人包括 Ragic 的技術人員都不能存取您資料庫中的 資料。 – 在提供技術支援的時候,預設我們只能看到您資料庫的設計,而沒有裡面的資 料。 ? 無資料庫介面 – Ragic 使用的資料庫型態特殊,完全沒有任何一般資料庫的查詢維護介面。因此 沒有任何透過資料庫後端,在您不知道的形況下存取資料庫的可能性。 ? 完整內控紀錄 – 所有資料存取都有完整的內控紀錄,隨時供資訊安全人員查閱 11 未經授權,任何人都不能存取您的資料
  • 12. 備份與防災 ? 系統整體定期備份 – Ragic 每台伺服器都有完整的每天以及每週整體備份,確保任何災難下資料都能 夠還原 ? 帳號資料庫定期備份 – 專業版以上的用戶,另外還有自己帳號資料庫的「每天」「三天」「每週」的 自動異地,異廠商備份,確保任何情況都能夠找回自己的資料 – 帳號資料庫的自動備份也提供您隨時手動下載或是進行還原 ? 手動備份 – Ragic 也提供專業版以上用戶手動資料庫備份的功能,讓您可以隨時下載您的資 料庫完整備份 – Ragic 也提供專業版以上用戶手動異地備份功能,讓您隨時可以把整個資料庫, 備份到另一個不同地點的不同雲端廠商的備份系統上 12 多種備份方式,確保資料的永續保存
  • 13. 私有主機 ? 若貴公司有一些資料的特殊考量,並且具備良好的主機維護能力,以及資 訊安全知識,則可以選擇維護自己的 Ragic 主機 ? 透過 Ragic 備份還原的功能,您隨時可以將線上專業版的帳號,搬移到私 有主機,或是將您私有主機的帳號,搬移到線上專業版 ? 強烈建議公司內部有專業的資訊人員,具備網路伺服器維護經驗,再選擇 私有主機,以策資訊安全! 13 有特殊考量的客戶,可選擇將資料放在自己的主機