安全

安全概覽

計畫方法

Giftpack 維持旨在保護客戶與平台資料的管理、技術與組織措施。我們的安全計畫旨在支援機密性、完整性、可用性、隱私與負責任的服務交付。

基礎設施與託管

雲端基礎設施

Giftpack 使用 Google Cloud Platform（GCP）提供託管與相關基礎設施服務。Giftpack 使用位於東京的 GCP 基礎設施作為災難復原用途。正式環境及相關環境在管理時會考量安全性、韌性與營運持續性。

環境管理

Giftpack 以支援變更管理、系統可靠性，以及在適用情況下對存取權限與職責進行適當分離的控制措施來管理正式環境及相關環境。

加密

傳輸中與靜態資料保護

Giftpack 使用符合業界標準的加密協定來保護傳輸中與靜態資料。相關加密措施旨在支援透過平台處理之資料的機密性與完整性。

存取控制與驗證

存取管理

系統與客戶資料的存取僅限於具有正當業務需求的授權人員。Giftpack 採用以角色為基礎的存取原則，並在適當情況下努力遵循最小權限實務。

驗證控制

Giftpack 支援旨在降低未授權存取風險的驗證與存取控制，包括在適當情況下對內部系統啟用多因素驗證。依服務設定與方案不同，也支援單一登入及相關身分控制。

安全開發與變更管理

開發實務

Giftpack 維持旨在支援安全軟體交付的開發與變更管理實務。程式碼變更與基礎設施更新預計會透過適合服務環境的受控流程進行審查、測試與部署。

監控、日誌與弱點管理

安全營運

Giftpack 維持監控與記錄實務，以支援潛在安全事件與營運異常的偵測、調查與回應。

安全測試與修補

Giftpack 會執行弱點掃描與定期安全測試，包括滲透測試，並依風險、嚴重程度與營運情境檢視並推進修補。

事件回應

回應流程

Giftpack 維持事件回應流程，以支援在適當情況下識別、升級、遏止、調查、修補與溝通安全事件。相關客戶可能會依契約與法律義務收到通知。

人員與內部安全

員工意識

Giftpack 的安全計畫由內部政策、保密義務與安全意識實務所支援，旨在強化對系統與資料的負責任處理。

隱私與資料保護

負責任的資料處理

Giftpack 的安全與隱私實務旨在支援對個人資料與機密資訊的負責任處理。存取限制、保密義務與安全控制旨在支援適用的隱私要求。更多資訊請參閱 Giftpack 的 隱私權政策。

合規與保證

外部保證與計畫對齊

Giftpack 維持一份涵蓋相關安全控制的 SOC 2 Type II 報告。Giftpack 的隱私與安全計畫在設計時參考了公認框架與監管要求，包括 GDPR、CCPA，以及在適當情況下與 ISO 27001 原則對齊的控制措施。

供應商與次處理者管理

第三方風險管理

Giftpack 在評估與管理第三方服務供應商時會考量安全與隱私因素。資料存取預計僅限於服務交付所需範圍，並在適當情況下使用契約保護措施。

安全審查與聯絡

額外審查請求

若客戶需要額外的安全審查、問卷或評估支援，可透過下方管道提出申請。Giftpack 可在保密要求與內部審查流程下提供額外文件，包括安全問卷或支援材料。