資訊安全與揭露事項
本公司依據 PCI DSS V4 及 ISO 27001 為基準制定相關資訊安全政策。相關人員於制定或執行政策所規範之事項時,將遵守包括但不限於 PCI DSS、「個人資料保護法」、公司營運法令及與客戶合約等相關規範。 資訊安全政策
資訊安全與揭露事項
本公司依據 PCI DSS V4 及 ISO 27001 為基準制定相關資訊安全政策。相關人員於制定或執行政策所規範之事項時,將遵守包括但不限於 PCI DSS、「個人資料保護法」、公司營運法令及與客戶合約等相關規範。 資訊安全政策
- 本公司成立『資訊安全管理委員會』,負責本資訊安全管理系統之整體規劃,並編列人員成立『資訊安全工作小組』執行之。若有特殊或重大事件發生時,『資訊安全管理委員會』將召集相關人員舉行不定期的會議討論。
- 確保本公司主機、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,並建立資通安全管理規範。
-
確保持卡人資料之機密性、完整性與可用性。
- 機密性:確保持卡人可使用資訊。
- 完整性:確保持卡人資料正確無誤、未遭竄改。
- 可用性:確保持卡人能取得所需資訊。
- 規範系統主機進行弱點偵測、補強作業時,所需遵守之作業規範及相關權責規劃,以降低因系統主機技術弱點而引發之攻擊的衝擊。
- 督導全體同仁落實資通安全管理工作,每年持續進行適當的資通安全教育訓練,建立「資通安全、人人有責」的觀念,促使同仁瞭解資通安全之重要性,促其遵守資通安全規定,藉此提高資通安全智能及緊急應變能力,降低資通安全風險,達持續營運之目標。
- 確保資料安全、規劃資料備份與異地備援作業,避免因資料損壞造成損失。
- 建立密碼及金鑰管理控制措施,以防止不當存取及使用之安全性,確保資料加密之安全與完整。
- 測試及營運環境進行區隔,以降低營運系統受未經授權存取或變更之風險;監控、調配各項資源的使用與系統技術弱點資訊,採取適當改善措施,並建立對惡意軟體之偵防及復原等措施。
- 建立資訊資產風險評鑑之標準,以鑑別資訊資產之弱點及威脅而導致之風險,並依據評鑑結果採取對策或控制措施,降低資訊資產遭受損害的風險。
- 建立資訊資產清冊,並符合相關法令法規要求,使其免於遭受內、外部的蓄意或意外之威脅,以保障本公司所屬利害關係人之權益。
- 每年定期執行稽核,確保ISMS的各項管制目標、控制措施、運作過程以及各項程序是否皆符合規範。