GoDaddy
安全性標準
上次修訂時間:2018 年 5 月 9 日
I. 技術與組織方法
我們致力於保障客戶的資訊。 考量最佳實踐,執行成本、處理性質、範疇、環境與目的,以及自然人發生風險可能性與嚴重性,我們會執行下列技術與組織方法。 當選擇方法時,我們會考量系統的機密性、完整性、可得性與韌性。因此在發生實體或技術事件後,一定可以快速復原。
II. 資料隱私權計畫我們的資料隱私權計畫成立之目的為維持一份全球通用的資料管理框架,並在資訊生命週期內提供安全防護。此計畫由資料保護經理人領導,並由經理人監督隱私權實踐及安全性方法的實施情形。 我們會定期測試、評估及評量其資料隱私權計畫和安全性標準的成效。
1.機密性。「機密性意指個人資料將受保護,不會在非經授權的情況下遭到揭露。」
我們使用各種實體且合理之方法保護其客戶個人資料之機密性。方法包含:
實體安全防護
- 備有實體存取控制系統 (徽章存取控制、安全性事件監控等)
- 監視系統,包含警示與 (適合使用之) CCTV 監控
- 備有清理桌面政策與控制 (鎖定無人使用之電腦、上鎖檔案櫃等)
- 訪客存取權管理
- 摧毀實體媒體與文件資料 (切碎或消磁等)
存取控制與防止未經授權之存取行為
- 設有使用者存取限制,並根據不同責任歸屬提供/審核以角色為基礎的存取權限
- 高強度之驗證及授權方法 (多重要素認證、憑證認證、自動停用/登入等)
- 中央管理密碼與高強度/複雜度之密碼政策 (最低長度、字元複雜度、密碼過期時效等)
- email 與網路的控制存取
- 防毒管理
- 入侵防禦系統管理
加密
- 以高強度密碼協定加密外部與內部通訊
- 在待機時加密 PII/SPII 資料 (資料庫、共享資料夾等)
- 為公司電腦與筆記型電腦設有完整磁碟加密
- 儲存媒體之加密
- 與公司網路之遠端連線將以 VPN 進行加密
- 保護加密金鑰生命週期
資料最少化
- PII/SPI 最少化之應用、除錯與安全性紀錄
- 為個人資料進行擬匿名化,防止直接識別某人身分
- 以功能 (測試、佈建、即時) 分隔儲存資料
- 將資料依不同存取權角色進行合理分隔
- 個人資料有明確的留存時間
安全測試
- 為重要公司網路及儲存個人資料之平台進行滲透測試
- 定期掃描網路及漏洞
2.完整性。「完整性意指確保資料正確 (完整無缺) 且系統功能正確。當完整性一詞和『資料』連用時,表示該資料完整且未經變更。」
備有合宜變更與記錄管理控制,另有可維持個人資料完整性的存取權控制,如:
變更與釋出管理
- 變更及釋出管理程序包含 (影響分析、核准、測試、安全性查核、佈建、監控等)
- 產品環境提供之依角色與功能分類 (責任分隔) 存取權
記錄與監控
- 存取與變更資料的記錄
- 集中稽查與安全性記錄
- 監控資料傳輸之完全性與正確性 (端對端查核)
3.可得性。「若使用者可持續以規定方式進行使用,則保證擁有服務與 IT 系統、IT 應用、IT 網路功能或資訊之可得性。」
我們會施行適當之一貫安全方法維護其服務和其服務內的資料:
- 為重要服務定期執行故障轉移測試
- 重要系統之延伸效能/可得性監控與報告
- 事件回應計畫
- 重要資料皆有複製或進行備份 (雲端備份/硬碟/資料庫複製等)
- 有安排軟體、基礎建設與安全性維護 (軟體更新、安全性修補檔等)
- 在異地與/或地理上分隔的位置上建立高韌性的備援冗餘系統 (叢集伺服器、鏡像資料庫、高可得性之設定等)
- 使用不會中斷的電源供應,以及備援的冗餘硬體與網路系統
- 備有安全警示系統
- 重要機房備有實體保護方法 (突波保護器、加高地板、冷卻系統、火焰/煙霧感測器、制火系統等)
- 維持可得性的 DDOS 防護措施
- 讀取及壓力測試
4. 資料處理指示。「資料處理指示要確保個人資料處理過程遵守資料控管者的指示與相關的公司方法」
我們已建立內部隱私權政策、協議,並定期執行員工隱私權訓練,確保依照客戶之偏好與指示處理個人資料。
- 在員工契約內備有隱私權與機密性等詞彙
- 為員工定期執行資料隱私權與安全性訓練
- 與再處理方制定合宜之契約條款,以維持指示控制權
- 定期為外部服務提供商執行隱私權檢查
- 提供客戶完整控制資料處理偏好設定的權利
- 定期安全稽查