常见问题
遇到问题了吗?不用担心,答案都在这。
全站搜索

Ragic 资安措施说明

Ragic 采取了多种措施来保护数据安全,以下我们从资安认证、资安合规、主机实体安全性、数据保存安全性、网络与系统安全性、程序体系结构安全性、人员安全性、备份与防灾、私有主机等各面向说明。

ISO 27001 认证

ISO/IEC 27001《信息科技—安全技术—信息安全管理系统—要求》是国际上最广泛使用的资安标准,其列出有关信息安全管理系统体系结构、实现、维护以及持续改善上的要求,目的是帮助组织可以使其保管的信息资产更加安全。

Ragic 已获取 ISO/IEC 27001:2022 认证,并依循相关治理方法施行信息安全保护防治,可在此网页面查看相关信息,点此链接下载证书。

Data Privacy Framework 美国欧盟隐私盾认证

《美国欧盟隐私盾框架》与《美国瑞士隐私盾框架》简称隐私盾(Data Privacy Framework),提供符合欧洲数据保护要求的信息传输处理方式。

Ragic 已获取上述隐私盾认证,从欧洲经济区、英国、瑞士移植到美国的个人数据的汇集、使用和保存均遵循相关框架。关于 Ragic 此份认证的详细说明,可至此页面面查询 Ragic。

GDPR 合规

GDPR 全名为《一般数据保护规则》(General Data Protection Regulation),是在欧盟法律中针对欧盟个人数据保护和隐私的规范。

Ragic 符合 GDPR 规范,实现数据删除请求处理程序、软件个人身份信息保护审查程序、订户数据库数据传输程序,保障删除、拒绝跟踪、数据可携权。同时,Ragic 定期评估风险、具有完整资安措施,Ragic 的隐私政策页面面亦详述个人数据处理原则。

另外,Ragic 欧洲订户数据库位于欧洲服务器,其他区域订户若有特殊需求亦可洽询将数据库移至欧洲服务器。

HIPAA 合规

Ragic 资安规范亦遵循美国《健康保险便利及责任法案》(Health Insurance Portability and Accountability Act,简称 HIPAA),保障处理、存放和传输受保护医疗信息 (PHI) 流程。

Ragic 的主机服务提供商 AWS、GCP 资安流程亦遵循相关规范,有需要时可签署业务合作协议(BAA)。

主机实体安全性

Ragic 的主机是由世界级的公有云服务商 Google、AWS 提供,在主机实体安全上的特色包括:

1. 通过 ISO 27001, SOC1, SOC 2, SOC 3, PCI DSS v3.0 等认证

2. 超过五百人的专业资安团队

3. 24/7 全年无休实体主机图像监控、电子化门禁、生化认证、实体栅栏、金属侦测器侦测

4. 定期云软件弱点扫描服务

数据保存安全性

此部分措施包括:

数据保存加密:所有写入硬盘的数据都经过加密,符合ISO 27001, SOC 1, SOC 2, and SOC 3 等规范。

RAID 硬盘:所有数据实时存到多颗RAID硬盘上,不会因为硬盘损毁造成任何数据的消失

服务器备份:每一台服务器每天都会固定自动做完整备份

数据库备份:每位客户的数据库,每天另外会自动单独异地备份到不同区域的保存空间,确保数据安全

网络与系统安全性

此部分措施包括:

传输SSL加密:所有传输都支持HTTPS/SSL加密、敏感数据传输时自动强迫使用加密传输

应用层入侵侦测:进入主机的封包,都会经过严格的防火墙设置,以及特殊的入侵侦测程序,实时阻塞恶意的联机

完整内控纪录:所有联机都有完整的内控纪录,随时供信息安全人员查阅;定期分析可能的恶意行为,调整防止入侵策略

程序体系结构安全性

此部分措施包括:

数据库安全:Ragic 数据库特殊的设计,完全不支持 SQL,因此绝对没有任何 SQL 相关的 injection 安全性问题。同时,Ragic不同客户的数据库,都存在于完全分离的数据库文件上,确保没有任何数据库应用面上的数据漏洞。

定期弱点扫描:Ragic 与配合厂商,会针对主机进行整体的定期安全性妨骇漏洞扫描扫描,确保系统守卫状态良好

定期安全更新:Ragic 系统管理员随时会根据最新的信息安全通报,进行系统安全更新,确保您的主机不受最新发现的漏洞影响安全性

人员安全性

此部分措施包括:

数据授权:若没有经过您的授权,任何人包括Ragic的技术人员都不能访问您数据库中的数据(在提供技术支持的时候,默认我们只能看到您数据库的设计,而没有里面的数据)。

无数据库接口:Ragic 使用的数据库型态特殊,完全没有任何一般数据库的查询维护接口。因此没有任何透过数据库后端,在您不知道的形况下访问数据库的可能性。

完整内控纪录:所有数据访问都有完整的内控纪录,随时供信息安全人员查阅

备份与防灾

此部分措施包括:

系统整体定期备份:Ragic 每台服务器都有完整的每天以及每周整体备份,确保任何灾难下数据都能够还原

帐号数据库定期备份:专业版以上的订户,另外还有自己帐号数据库的“每日”、“每周”、“每双周”的自动异地,异厂商备份,确保任何情况都能够找回自己的数据,帐号数据库的自动备份也提供您随时手动下载或是进行还原

手动备份:Ragic 也提供专业版以上订户手动数据库备份的功能,让您可以随时下载您的数据库完整备份;并也提供专业版以上订户手动异地备份功能,让您随时可以把整个数据库,备份到另一个不同站点的不同云厂商的备份系统上。

私有主机

若贵公司有一些数据的特殊考量,并且具备良好的主机维护能力,以及信息安全知识,可以选择采用私有主机版(地端版本),相关说明请见这里

回最上面

    马上登记
    免费试用 Ragic!

    用 Google 帐号登记

    立即科技 Ragic, Inc.
    02-7728-8692
    台北市中正区南昌路二段81号9楼