安全

第 1 節

計畫方法

Giftpack 維護行政、技術和組織措施，旨在支援保密性、完整性、可用性、隱私和負責任的服務交付。Giftpack 的安全計畫設計為隨著 Giftpack 的平台、產品、供應商和客戶要求的發展而演進。

第 2 節

基礎設施和託管

Giftpack 使用 Google Cloud Platform 進行託管和相關基礎設施服務。Giftpack 使用位於東京的 GCP 基礎設施用於災難復原。生產及相關環境在管理時會考量安全性、韌性和營運連續性。

第 3 節

加密

Giftpack 使用業界標準加密協定保護傳輸中和靜態資料。加密措施旨在支援透過平台處理之資料的保密性和完整性。

第 4 節

存取控制和身分驗證

對系統和客戶資料的存取僅限於具有合法業務需要的授權人員。Giftpack 在適當情況下採用基於角色的存取原則和最小權限實務。Giftpack 支援旨在降低未經授權存取風險的身分驗證和存取控制，包括在適當情況下對內部系統使用多因素身分驗證。單一登入和相關身分控制可根據服務設定和方案提供支援。

第 5 節

安全開發和變更管理

Giftpack 維護旨在支援安全軟體交付的開發和變更管理實務。程式碼變更和基礎設施更新應透過適合服務環境的受控流程進行審查、測試和部署。

第 6 節

監控、日誌和漏洞管理

Giftpack 維護監控和日誌實務，旨在支援對潛在安全事件和營運異常的偵測、調查和回應。Giftpack 執行漏洞掃描和定期安全測試，包括滲透測試，並根據風險、嚴重性和營運背景審查已識別問題以進行修復。

第 7 節

事件回應

Giftpack 維護事件回應流程，旨在適當支援安全事件的識別、升級、遏制、調查、修復和溝通。相關客戶可能會根據合約和法律義務收到通知，包括適用情況下 Giftpack 的資料處理附錄。

第 8 節

人員和內部安全

Giftpack 的安全計畫由內部政策、保密義務和安全意識實務支援，旨在強化對系統和資料的負責任處理。

第 9 節

隱私和資料保護

Giftpack 的安全和隱私實務旨在支援對個人資料和機密資訊的負責任處理。更多資訊請查看 Giftpack 的隱私政策和資料處理附錄。

第 10 節

合規和保證

Giftpack 維護涵蓋相關安全控制的 SOC 2 Type II 報告。Giftpack 的隱私和安全計畫參考公認框架和監管要求設計，包括 GDPR、CCPA 以及在適當情況下與 ISO 27001 原則一致的控制。

第 11 節

供應商和次處理者管理

Giftpack 在評估和管理第三方服務提供者時會考量安全和隱私因素。資料存取旨在限制於服務交付所必需的範圍，並在適當情況下使用合約保護。

第 12 節

安全審查請求

需要額外安全審查、問卷、評估支援、SOC 2 材料或採購支援文件的客戶，可透過 Giftpack 的安全或採購審查渠道提交請求。Giftpack 可在保密要求、客戶資格和內部審查的約束下提供額外文件。