電子報系統如何確保資安
郵件同樣屬於個資,不僅在台灣受「個資法」規範,若發送到歐盟國家,更有嚴格GDPR法規限制。對大型跨國企業或上市公司,凡牽涉到個資均有最嚴格資安要求。「沛盛資訊」擁有眾多跨國大企業客戶、上市公司、金融集團,每日發送電子報到全球各地,對於資安有最安全最高等級執行作法。
ISO27001驗證
「沛盛資訊」所有資料均存放在經ISO 27001 資訊安全管理系統驗證設施,ISO 27001 是資訊安全領域的管理系統標準,能夠有效保護在「沛盛資訊」發送電子報的資訊資源安全。
資料SHA加密

「沛盛資訊」開發出Secure Hash Algorithm (SHA)加密架構,徹底解決企業客戶擔心資安外流疑慮。SHA由美國國家安全局所開發,國際間驗證絕無破解洩漏原始個資可能。在SHA郵件發送架構,所有資料全程嚴密控管,從郵件名單上傳、內部暫存、發送、報表等,均徹底審視杜絕洩密可能。

2FA 多重要素驗證

「沛盛資訊」可提供專機等級以上客戶「多重要素驗證」 Two-factor Authentication (2FA) ,不僅利用傳統帳號、密碼登入方式,可再搭配另一種登入驗證,例如郵件、簡訊接收特定驗證碼,輸入後始可登入。2FA大幅降低非本人利用駭客技術嘗試登入帳密,確保絕對帳號擁有者才可登入。

郵件發送加簽加密與數位簽章

「沛盛資訊」要求所有發送電子報客戶,不論規模大小,均應使用自有網域,且設定郵件SPF/DKIM/DMARC。DKIM即為郵件加簽,避免傳送過程中,遭到竄改。對於更嚴格要求,如金融機構,則可購買郵件憑證後,所發送郵件均會有「電子郵件數位簽章」,在郵件讀信系統即可驗證。

資料傳輸加密
當客戶使用「沛盛資訊」雲端電子報系統發送,需要上傳收信人郵件地址、姓名等個資,傳輸過程均全程採用安全加密SSL憑證,這是建立加密連結的產業標準安全技術。若客戶進行資料介接,要採用其它方式例如FTP、點對點等傳輸,均可導入額外加密機制,確保過程安全。
備受跨國金融機構信賴
由於「沛盛資訊」自行研發電子報發送引擎,對系統擁有100%控制能力,許多跨國金融集團均將重要金融資訊,透過「沛盛資訊」發送。這些金融機構在正式使用前,均需進行詳盡資安能力查核,必要回覆英文問題甚至高達數百項,並經總公司驗證無誤後才能使用。經歷多間金融機構審核,已具備嚴密國際資安等級。
安全架構
  1. SSL/TLS連線:User Web發送介面及HTTP API連線均提供HTTPS SSL連線,目錄介接可提供SFTP連線。發送Email/SMS時可依接收方能力進行SSL/TLS加密傳送。
  2. 資料Hash:可提供Email/SMS等發送名單Hash後才儲存在DB或是FILE等永久裝置的服務。由於Hash具有不可逆轉的功能,因此除非有原始資料進行比對,否則無法得知發送名單。
  3. 資料加密:可提供Email/SMS等發送名單加密後才儲存在DB或是FILE等永久裝置的服務。有雙重密碼(User指定及系統設定),所以除非同時拿到雙重密碼及知道加密方式,否則無法得知原始發送名單。
  4. 郵件憑證加簽:郵件除適用 SPF/DKIM/DMARC加簽外還可提供專屬憑證做加簽(適用帳單發送服務或是特殊需求服務)。
  5. 資料庫加密:將敏感性或全資料庫,在寫入資料時使用金鑰加密,在讀出資料庫時才解密,避免資料庫遭竊取時,反解資料造成資安危害。
  6. 其他特殊需求:如VPN、客製的加密連線服務均可需求整合提供服務。
登入安全機制
為了有效提升系統登入安全性,「沛盛資訊」高度強化企業級系統登入架構,包含:
  1. IP限制:可限定連線IP,包含User Web發送介面、HTTP API、SFTP/FTP等等連線。
  2. 連線裝置限制:User Web發送介面及HTTP API連線可限定連線裝置,如可限定瀏覽器或是限定非手機行動瀏覽器連線。
  3. 登入通知:每次登入(成功或是失敗等任何嘗試登入行為)可發出即時通知(Email或是SMS或是第三方通知系統整合)。
  4. OTP(One Time Password驗證)輔助:可在正常登入時再提供OTP驗證,以確保登入者是授權的登入者。
  5. 登入密碼需含英文大小寫、數字及特殊符號,且需一定字元長度。
  6. 預設密碼登入後必須要求使用者更改密碼。
  7. 登入三次失敗至少鎖定帳號15分鐘。
  8. 更改密碼不得與前三次使用之密碼相同。
  9. 需設置最短密碼變更時間(例:三個月強迫更換。)。
  10. 資料庫密碼欄位用SHA256加密,不使用RC4、MD5已破解加密法。
備援架構
可依需求提供以下備援方式:
  1. 叢集系統:多機系統(2台以上)同時運作,彼此備援,任何機器因故停止運作,其他機器可及時備援,不影響運作。適用對象:高發送量(單日2000萬以上)或是特殊需求客戶。
  2. 備援系統:分為主機系統與備援系統,當主機系統因故停止運作時,備援系統會自動啟動及時備援。
網管監控
除提供自動監控服務,並定期掃毒/防駭檢查/OS更新升級。
特殊需求
客製特殊資安規格可依需求提供。