購物的創新夥伴
An innovative partner in retailing
ESG
企業永續
可靠資安防護
PChome 致力於提供消費者健全安心的網購環境,除了不斷優化作業系統,提升操作的便利性,對於保護客戶的消費資訊、個人隱私更是最基本的堅持。因網購消費需求攀升,網路攻擊數量也隨之攀升,PChome 從內部架構、風險評估、系統升級等面向著手,防範任何可能的資安風險。我們持續強化防禦縱深,降低遭受駭客攻擊造成營運中斷的可能;持續降低偵測惡意活動與回應速度,有效防堵擴散、縮小影響範圍;持續提升資安教育訓練與社交工程演練普及率,定期依照公司資安政策與實施辦法進行資訊系統查核。為了將來更嚴峻的資安挑戰 PChome 將會保持最嚴格的標準,打造安全無虞的資訊系統與作業環境,以保障消費者的用戶權益。
資訊安全治理架構
為強化資訊安全管理,建立可信賴之資訊應用系統與環境,本公司於 2018 年即成立資安專責部門,下轄中央管理單位,統籌集團資訊安全及保護相關政策制定、執行、風險評鑑、控制與遵循度查核,以達到提升網路服務之資訊安全及服務品質,讓 PChome 成為消費者安心的線上購物平台,不用擔心資訊安全或個人隱私受到侵犯,確保營業能力及資訊服務效能,並由資訊安全部門最高主管定期向執行長與董事會審計委員會彙報資安管理成效、資安相關議題及方向。
為執行資訊安全部門訂定的資安策略,確保內部遵循資安相關準則、程序與法規,特別成立「資訊安全小組」,由執行長指派資安長擔任召集人,召集資安專責單位負責資訊安全預防、稽核、治理與危機處理作業、同時指派各事業單位高階主管組成資安推動分組來進行各項政策推動工作並由執行秘書負責會議舉行、安全事務協調及資安教育訓練辦理之相關執行業務。同時每季召開會議,檢視及決議資訊安全與個資保護方針及政策,落實資訊安全管理措施的有效性。
資訊安全措施
為深化資訊安全防範並落實制度化規範之具體作為,PChome 訂立完整的資安管理政策,從系統面、技術面、程序面評估資訊安全風險,依據風險高低、發生機率、影響層面與規避風險所需成本等多方考量來訂定處理的優先等級,明確識別業務與資安造成衝擊的重大風險,並透過 PDCA(Plan-Do-Check-Act 的簡稱)循環管理的方法論,確保風險降低的有效性,建立符合客戶需求、最高規格的機密資訊保護服務。
同時建構多層資安防護措施,持續導入資安防禦技術,建立包含 Identify 識別、Protect 防護、Detect 偵測、Respond 回應、Recover 復原能力的資安監控與維運機制,以及制訂供應鏈風險管理流程,從各面向控制風險發生率,以維護公司重要資產,如個人資料、營業秘密及線上服務等的機密性、完整性及可用性。
PChome 也積極監督資安管理成效,依據定期內部資安查核結果進行資安風險衡量、分析與改善措施,並透過各種資安攻擊演練,來確保資安防禦能力,並系統性地強化資安意識與警覺性,防範資安風險於未然。此外為提升全體同仁的資訊安全認知與知識,PChome
定期辦理資訊安全大會與資安教育訓練,傳遞資訊安全相關訊息,並蒐集資安事件,即時提醒各單位應注意事項與防護方式。同時也不定期安排同仁進行資安訓練,協助同仁掌握資訊安全最新趨勢與新知,強化資安防護能力。
在資訊科技的發展下也伴隨許多資訊安全風險。PChome 建立了一套完整的網路及電腦安全防護系統,並透過存取控制、資產管理等措施,控管或維持公司營運、資料庫安全管理等重要企業運作的功能。依據 PChome 資訊安全風險分析評估,我們的潛在風險主要來自任何第三方進階持續性的網路攻擊。為避免這些攻擊導致公司的營業祕密遭受竊取、消費者個資等機密資訊外洩,以及其他損及公司權益及聲譽之情事,PChome 透過下列因應策略來主動鑑別任何可能的潛在資安風險,並訂有解決方針,我們的策略包含:
鑑別潛在資安風險的方法
- 每季定期執行資訊系統內稽內控查驗
- 每季使用自動化工具與流程識別資訊系統的潛在風險
- 每年檢視和評估網路安全規章及程序,確保其適當性和有效性
- 每年定期辦理資安稽核,持續改善並降低資安風險
- 不定期針對營運資訊系統舉辦攻防演練
解決已鑑別出的潛在風險的方法
- 透過資訊稽核內稽內控循環管理風險的處理狀態,確保資訊安全政策實施績效
- 針對營運資訊系統攻防演練之結果,發現未知弱點與失當設定,防止遭受不法利用與駭客入侵
- 針對異常之委外合約深入盤查,確保委外廠商的資安保密義務
針對資安事件的通報與處理流程,PChome 訂有「事故通報暨緊急通報程序」,以系統化方式整合通報、判讀與分析、處置、檢討與改善等一系列流程,確保能在資安事件發生時以最迅速且適切之方式解決,防堵類似事件再次發生。PChome 在 2022 年並未發生任何資料洩露、失竊或遺失客戶資料之事件,而我們仍將持續落實內部資安策略,以保障公司資訊安全與客戶權益。
資安教育訓練
為提升集團同仁的資訊安全認知與知識,PChome 持續於每季辦理全集團的資訊安全大會,分享近期國內外發生之重大資安事件及法規修訂要求,傳遞資安相關訊息,同時與各單位同步資安工作項進度與狀態跟催,並蒐集與各單位相關之資安事件或新聞,提醒各單位應注意事項與防護方式,以及須熟悉事故發生通報程序。此外,今年我們也安排同仁進行線上外部資安訓練,以確實掌握最新的資訊安全趨勢與新知。
客戶資料保護
為維護消費者的個人隱私,PChome 依循內部訂定之《會員服務使用條款》與《隱私權聲明》進行客戶資料保護,其中隱私權聲明及其所包含之告知事項,僅適用於本公司所擁有及經營的網站與行動應用程式。除非事先說明或為完成提供服務或履行合約義務之必要、依照相關法令規範或主管機關來函等特殊情況,否則本公司不得將足以識別使用者身分的個人資料提供給第三人或移作蒐集目的以外之使用。因此,2022 年度涉及行銷、客戶管理與服務、提供網路購物及其他電子商務服務、保護當事人及相關利害關係人之權益、售後服務、辦理贈獎活動以及經營合於營業登記項目或組織章程所定之業務等次要目的營業行為之會員人數,共計 0 人。此外,為推行電子商務相關業務,PChome 可能藉由使用者註冊資訊暨消費行為紀錄,蒐集客戶的行為資料與個人識別資訊,並在遵循資料安全之情況下,有條件地評估有利推進公司業務之商業行為。
除此之外,PChome 針對資訊生命週期的各階段也訂有明確的規範,更多詳細內容可參考「PChome Online 網路家庭 TM 會員服務使用條款」與「隱私權聲明」。
除了保護客戶資料安全與隱私,PChome 也致力於保護兒童網路安全,提供相關技巧教導兒童如何安全的使用網路,讓兒童及其家長都了解如何保護自己的安全及隱私。更多詳細內容可參考 PChome「兒童網路安全指南」。
.jpg)