購物的創新夥伴
An innovative partner in retailing
ESG
企業永續
可靠資安防護
PChome致力於提供消費者健全安心的網購環境,除了不斷優化作業系統,提升操作的便利性,對於保護客戶的消費資訊、個人隱私更是最基本的堅持。隨著消費需求的攀升,我們將從內部架構、風險評估、系統升級等面向著手,打造更為完善、強韌的資訊系統。
資訊安全治理架構
PChome於2018年度成立專責「資訊安全部門」,統籌集團資訊安全及保護相關政策制定、執行、風險評鑑、控制與遵循度查核。但為執行資訊安全部門訂定的資安策略,確保內部遵循資安相關準則、程序與法規,我們於2021年度正式成立「資訊安全小組」,由執行長指派之資安長擔任小組召集人,召集資安工作小組負責資訊安全預防、稽核、治理與危機處理作業,同時指派各事業單位高階管理者組成「資安推動分組」來進行各項政策推動工作。
PChome於每季召開資安大會,檢視及決議資訊安全與資訊保護方針及政策,落實資訊安全管理措施的有效性。為深化資訊安全防範並落實制度化規範之具體作為,我們於2021年12月依照ISO27001訂定12大項資通安全政策,且每年定期審查政策完整性、適用性與適法性,以進一步確保資安規定與時俱進,符合實際業務所需,並保障客戶之交易過程安全無虞。
為了讓消費者安心得在線上購物,不用擔心資訊安全或個人隱私受到侵犯,PChome設有資訊部建立各項可信賴的資訊應用系統,提升網路服務之資訊安全及服務品質,並確保營業能力及資訊服務的效能,讓每一位消費者都可以安全、便利地暢遊在我們的線上服務中。
資訊安全管理
在資訊科技的發展下也伴隨許多資訊安全風險。PChome建立了一套完整的網路及電腦安全防護系統,並透過存取控制、資產管理等措施,控管或維持公司營運、資料庫安全管理等重要企業運作的功能。依據PChome資訊安全風險分析評估,我們的潛在風險主要來自任何第三方癱瘓系統的網路攻擊。為避免這些攻擊導致公司的營業祕密遭受竊取、消費者個資等機密資訊外洩,以及其他損及公司權益及聲譽之情事,PChome透過下列因應策略來主動鑑別任何可能的潛在資安風險,並訂有解決方針,我們的策略包含:
鑑別潛在資安風險的方法
1.每季定期執行資訊系統內稽內控查驗
2.每季使用自動化工具與流程識別資訊系統的潛在風險
3.每年檢視和評估網路安全規章及程序,確保其適當性和有效性
4.每年定期辦理資安稽核,持續改善並降低資安風險
5.不定期針對營運資訊系統舉辦攻防演練
解決已鑑別出的潛在風險的方法
1.透過資訊稽核內稽內控循環管理風險的處理狀態,確保資訊安全政策實施績效
2.針對營運資訊系統攻防演練之結果,發現未知弱點與失當設定,防止遭受不法利用與駭客入侵
3.針對異常之委外合約深入盤查,確保委外廠商的資安保密義務
針對資安事件的通報與處理流程,PChome訂有「事故通報暨緊急通報程序」,以系統化方式整合通報、判讀與分析、處置、檢討與改善等一系列流程,確保能在資安事件發生時以最迅速且適切之方式解決,防堵類似事件再次發生。PChome在2021年並未發生任何資料洩露、失竊或遺失客戶資料之事件,而我們仍將持續落實內部資安策略,以保障公司資訊安全與客戶權益。
資訊安全措施
PChome在2021年制定四大資訊安全重點管理方案,包含資安管理、課程測驗、內部稽核,以及外部稽核,我們也在每季辦理全集團的資訊安全大會時,向全部同仁布達各季的資訊安全重點。有鑑於近年國內外資安事件頻仍,再加上所屬產業之特殊性,因此我們在2021年度大幅提升資訊系統測試頻率與強度,藉由頻繁進行資訊防護演練,系統性地去強化每位同仁的資安意識與警覺性,防範資安風險於未然。未來,除了延續所有資安工作項目外,再分析國際資安事件與評估自身資安防護措施後,也預計將雲端安全與勒索病毒防治列為重點工作目標。
2021年度資安管理四大成效 | |||
√ 完成1562項資訊循環稽核 | √ 完成136次弱點掃描 | √ 進行527個人天的駭客攻防演練 | √ 完成了595份供應鏈合約資安評估 |
依照資訊安全政策,每季定期執行資訊系統內稽內控查驗,確保資訊安全政策實施績效 | 每季使用自動化工具與流程識別資訊系統的潛在風險,並透過資訊稽核內稽內控循環管理風險的處理狀態 | 營運資訊系統環境不定期舉辦攻防演練,提早發現未知弱點與設定失當,防止遭受不法利用與駭客入侵 | 審閱委合約內容風險與機敏性外,落實簽署保密同意書與違反合約之處置條款,確保並落實委外廠商的資安保密義務 |
資安教育訓練
為提升集團同仁的資訊安全認知與知識,PChome於每季辦理全集團的資訊安全大會,分享近期國內外發生之重大資安事件及法規修訂要求,傳遞資安相關訊息,同時與各單位同步資安工作項進度與狀態跟催,並蒐集與各單位相關之資安事件或新聞,提醒各單位應注意事項與防護方式,以及須熟悉事故發生通報程序。此外,今年我們也安排同仁進行線上外部資安訓練,以確實掌握最新的資訊安全趨勢與新知。
2021年度資安訓練三大成效 | ||
√ 216名IT人員通過進階開發安全課程與測驗 | √ 861名員工完成資安意識教育訓練 | √ 751名新進員工完成資安與個資保護訓練 |
針對技術人員進行資安教育訓練,內容包括駭客攻擊手法、安全開發程式與網路系統加固防護等,並於課程完成後隨即進行測驗。216名員工參加,總時數324小時。 | 針對有電腦操作需求人員進行資安意識線上教育訓練課程,內容包括安全的使用電腦、個資保護與常見的網路陷阱等,並於課程完成後隨即進行測驗。861名員工參加,總時數430.5小時。 | 所有新進人員皆需完成資訊安全與個資保護教育訓練課程。751名新進員工參加,總時數239小時。 |
客戶資料保護
為維護消費者的個人隱私,PChome依循內部訂定之《會員服務使用條款》與《隱私權聲明》進行客戶資料保護,其中隱私權聲明及其所包含之告知事項,僅適用於本公司所擁有及經營的網站與行動應用程式。除非事先說明或為完成提供服務或履行合約義務之必要、依照相關法令規範或主管機關來函等特殊情況,否則本公司不得將足以識別使用者身分的個人資料提供給第三人或移作蒐集目的以外之使用。因此,2021年度涉及行銷、客戶管理與服務、提供網路購物及其他電子商務服務、保護當事人及相關利害關係人之權益、售後服務、辦理贈獎活動以及經營合於營業登記項目或組織章程所定之業務等次要目的營業行為之會員人數,共計0人。此外,為推行電子商務相關業務,PChome可能藉由使用者註冊資訊暨消費行為紀錄,蒐集客戶的行為資料與個人識別資訊,並在遵循資料安全之情況下,有條件地評估有利推進公司業務之商業行為。
除此之外,PChome針對資訊生命週期的各階段也訂有明確的規範,更多詳細內容可參考「PChome Online網路家庭TM會員服務使用條款」與「隱私權聲明」。
除了保護客戶資料安全與隱私,PChome也致力於保護兒童網路安全,提供相關技巧教導兒童如何安全的使用網路,讓兒童及其家長都了解如何保護自己的安全及隱私。更多詳細內容可參考PChome「兒童網路安全指南」。
兒童網路安全指南:https://member.pchome.com.tw/child.html
隱私權聲明:http://faq.pchome.com.tw/faq_solution.html?q_id=16&c_nickname=member&f_id=4
PChome Online網路家庭 TM會員服務使用條款:https://member.pchome.com.tw/law.html