資訊與網路安全

Information
Security

本公司訂有「資訊安全政策」由執行長核定,為本集團建立資訊安全、網路安全管理制度、程序及電腦系統軟硬體等相關資通管理之準則,以確保公司重要資訊之機密性、完整性及可用性。

網路服務均設有防火牆、網路身份辨識、威脅監控分析機制並阻隔惡意網路行為、不定期針對網站系統弱點掃描並予以補強修正、不定期模擬駭客攻擊及資訊安全演練、依服務內容制定及實施備份作業等各項資訊安全防護措施,惟有經過授權的人員才能接觸到相關資料。另外,任何個人資料的網路傳遞皆經過加密機制,以確保資料在傳輸過程中不被第三方非法擷取。依消費者或供應商簽訂服務約定,不會任意提供、出售、交換或出租的隱私與機敏資料給其他團體、個人、私人機構或其他用途。2023年並未發生侵犯客戶隱私事件。

資安管理

「集團資訊安全委員會」為本公司資通安全最高指導組織,由集團執行長擔任最高督導,同時督檢組織成員落實各項資訊安全管理作為,以表示對於資訊安全管理制度之充分支持。委員會組織構架如下,成員由各部門指派專員組成,包括且不限於首長、處級主管級別成員參與,集團總部於2023年設置「資安主管」,由資訊服務處處級管理單位綜理資通安全相關事宜,並委請專業資安技術團隊協助提供所需各項資安服務。年度召開兩次集團資安委員會議,由集團執行長主持,檢討現有安全管理制度執行情況、評估營運風險及相關因應方案及年度資安專案進度檢討。

「集團資訊安全委員會」基於集團營運目標、策略,遵照政府相關法令、法規要求,負責制定相應之資安政策,進行資安防護佈署、弱點漏洞補強、異常訊息掌握、緊急事件應變等,落實各項資安管理工作;秉承PDCA(Plan-規劃評估、Do-設計建置、Check-覆核稽查、Act-檢討改善)管理循環思維,以說寫做一致作為執行要點管理風險,以確保服務及營運持續。在風險評估、政策修訂、防護佈署、風險監控、安全補強的循環架構下,持續掌握新的資安趨勢,因應時空改變不同的資訊服務、營運環境、適法性及各項影響條件,滾動式檢討現行管理與防護作為,使資訊系統運營及網路服務均能做到適當的風險管控。

資訊安全管理策略與具體管理措施

本公司資安策略關注人員、制度及管理三大面向,遵循國家法令,通過風險導向的分析與管控,管理客戶及會員數字資產。

事前預防

  • 定期檢討資訊安全相關管理規範
    每年依照現行法令法規、產業脈動、關注方要求,進行資安政策及相關管理規範、程序編修作業,內容涵蓋資料保護、營運安全、資訊作業委外、密碼管理…等共計13項規範。
  • 資訊作業安全檢測
    依專案性質進行風險評估,系統上線前依評估結果,進行行源碼掃描/弱點掃描/滲透測試等資安檢測,並確實完成系統弱點修補。
  • 導入資安監控(SOC)及端點防護(EDR)機制
    偕請國內第三方資安技術顧問團隊監控並掌握資安告警及情資,強化並加速偵防與回應。
  • 資通安全作為有效性檢討
    集團資訊安全委員會每年定期召開兩次會議,針對資安策略與機制進行滾動式的檢討與修正,同時檢討規範落地執行之成效並追蹤內部查核發現。
  • 導入ISO 27001等國際資訊安全管理標準
    強化資訊安全管理體系,訂定各項作業要求及應變處理計畫,提高整體資訊安全管控與應變能力。
    – 集團各分子公司取得國際資安認證情形(請參閱資安認證一覽表)。
    – 橘子支付自2019年起連年取得「行動應用App基本資安檢測」認證,並經第三方檢測機構通過。
  • 社交工程演練及員工資安教育訓練
    – 年度辦理電子郵件社交工程1次,另行針對誘驗成功之員工進行教育訓練。
    – 年度實施資安訓練課程,並列為集團全員必修課程以全面性的提升同仁資安意識,完訓率100%。

事中執行與檢核

  • 營運資訊作業自我評量
    針對各項資安管理措設定評量機制,每季要求各營運分子公司進行資訊作業自我評量。
  • 端點安全管理
    設有端點防護機制,有效降低端點設備因不慎使用,形成資安缺口。
  • 重要系統、資料庫及檔案皆具備份機制
    每年針對核心服務系統設有系統復原計畫,定期(每年至少一次)執行災復演練,透過書面模擬及情境模擬演練,確認演練標的達成預設之目標、面臨緊急事件發生時能及時應對,確保服務不中斷。
  • 年度資安內部查核作業
  • 每年由集團總部擬定實施資安管理檢核計畫,對各營運分子公司進行訪談與抽樣各項資訊作業執行情況,並將查核結果提報集團資安委員會,查核發現則列管追蹤矯正情況,作為精進集團資安管理依據

事後應變與復原

  • 建立資安應變及通報機制,確保資安事件可迅速及完善的處理與復原。
  • 2023年未發生重大的網路攻擊或事件,亦未曾涉入任何相關之法律案件或監管調查。

資安風險管理

公司資通安全風險管理是一個持續的過程,透過管理架構進行資通安全對營運風險分析及影響評估,建立適當防護機制、監控措施及應變作為,從而使公司營運做到以最小化損失和最大化收益。公司資通安全風險管理架構主要的目標是提供:
(1)營運所面對資通安全風險得到適當管理 (2)鼓勵公司管理及運營團隊了解風險暴露的影響(3)實現更好的業務彈性和合規性 (4)提供嚴格的決策和規劃流程。
以下針對公司營運所可能遭遇之資安風險,提出說明及因應作為,確保公司營運服務和系統部署了安全必要防護措施。

律法及標準合規性

因應產業變動而生之律法要求,遊戲橘子因即時反應並滾動調整或增加相應管理制度以符合法遵要求。數位發展部於2023 年10 月12 日頒布「數位經濟相關產業個人資料檔案安全維護管理辦法」,並依辦法施行之日起三個月內完成個人資料檔案安全維護計畫及業務終止後個人資料處理方法。本公司於2024 年1 月12 日完成「個人資料保護政策」及「個人資料檔案安全維護計畫」,用以落地執行各環節資料處理與保護。
本公司對標產業資訊安全標準合規性,透過第三方認證機構核實驗證實作,取得ISO 27001 及PCIDSS 認證並持續其有效性。

網路攻擊

駭客使用技術手段或方法入侵、破壞或是竊取目標系統或網路,將直接衝擊企業營運,因此建置環境時應使用必要之防護措施,包括防火牆區隔、網段切割、安全通道存取設計規劃、使用加密通訊協定、設有入侵偵測及阻斷攻擊… 等機制;同時針對對外提供服務之網站定期或不定期進行相關之安全檢測(如:資安檢健、弱點掃描、滲透測試…)並修補弱點,及透過資安情資蒐集之弱點警示,進行系統強化或漏洞修補,以期減低因弱點而遭受攻擊之機率。

病毒威脅

電腦病毒來源可能是瀏覽過的網站、電子郵件中含惡意程式的附件或連結、社交媒體網站的惡意連結或執行檔、可攜式儲存媒體、未經驗證文件、檔案、軟體或應用程式。因應種類廣泛的來源管道,公司設置多層次防禦機制及檢測,並全面導入端點防護系統,採中央管理方式進行監控及防護,以降低遭惡意程式感染及攻擊的風險。

營運中斷

為確保企業營運持續,設有系統營運安全管理、備援及回復作業計畫之規劃及管理要求,而資安事件處理程序則是確保遭遇突發之緊急危難或異常事件時應及時反應與因應。維運依據「資安政策」、「集團營運事業資安管理要點」,年度針對營運核心服務進行資訊作業營運持續演練,驗證系統還原後能持續服務、確保機密資訊之安全性;同時演練含括事件通報處理,藉由完整的演練亦可讓相關同仁熟悉事件處理步驟,強化資安事件應變能力,減少營運衝擊,降低服務、資產及財務損失風險。

員工資安意識不足

員工因職責需要,會直接接觸公司營運系統及資料,因此稍有不慎即可能因使用不明軟體或感染到惡意程式,而影響到公司內部系統資訊安全;因此公司除將自行編製之線上資安教育訓練列為必修課程,定期對全員工進行相關教育之外,日常蒐集資訊安全相關資訊及報導,不定期透過其它管道對員工宣導資安知識,用以降低不慎操作而造成資安風險的機會;同時也會透過社交工程演練驗證員工資安意識,提升員工對隱私權、個資法、數據保護實踐和網路安全行為等認知。鼓勵從事資訊技術職務的同仁,參加各式資訊安全、資訊作業管理… 之研討會,瞭解新興產業動態、資安趨勢及技術,用以提升自我技能,甚至藉此提升風險預判能力、及早防範。

資安通報與處理程序

橘子訂有「資訊安全事件處理程序」,訂定集團全體同仁負舉發資安事件之責,一律立即主動告知所屬單位IT技術窗口,窗口須依其事件等級及分類進行釐清,填寫「資訊安全事件通報紀錄單」,責成資訊單位及事件相關單位做後續資安事件處理。資訊單位需於目標處理時間內排除及解決該事件,並於事件處理完畢後提供分析結果及建議修補作為,以預防事件重複發生。最後,上述的資安事件處理報告會彙整於資訊安全月報中,供資訊安全委員會議檢視留存。

供應商資安管理

橘子於2023 年增設「資訊作業委外安全管理辦法」,為委外開發案做資訊安全審核,凡由第三方開發、建置、維護、處理與管理之活動,須依照其功能可能涉及之資安風險嚴重程度,具備相對應之資安檢測項目,包括重要數據隱私要求,確保每個供應商承諾應用足夠的技術和組織措施保護其處理的資訊。且資安檢測廠商資格需具備資安專業證照,並可提供原始碼檢測、弱點及滲透測試等檢測服務,使各分子公司之委外開發系統於導入或上線前具備標準安全性。此外,我們的法律團隊在處理和公司的數據交換(包括個資),確保所有供應商協議均應包括適當的陳述和關於保護的義務。

守護網路安全

【消費者保護措施】

集團對於所提供之商品或服務,除重視消費者之健康與安全,並對所提供的網路服務均向消費者詳細說明商品或服務之使用方法,維護交易之公平。對所提供的網路服務訂立預先擬定之契約條款,提供消費者充分與正確之資訊,及實施其他必要之消費者保護措施,以維護商品或服務之品質與安全,防止服務損害消費者之身心健康、財產或其他權益。對於商品或服務之標示、公平交易符合法令規定。致力於完整消費資訊,提供消費者運用,俾能採取正確合理之消費行為,以維護其安全與權益。

【犯罪防治】

網路資訊蓬勃發展,卻也伴隨著詐騙行為、盜取遊戲帳號等新型態社會問題。橘子秉持著服務客戶至上、玩家權益優先的態度,與大眾消費者站在同一陣線,凡收到相關的申訴案件,並有足夠的佐證資料,橘子團隊會主動出擊、與消費者並肩面對犯罪者,攜手消滅不良的投機者。自2022年開始我們與全民防詐騙網站(165)合作設置線上查詢平台機制,司法警察可藉由線上投單提出查詢案件需求,提升作業效率。另外,為確保司法警察能及時了解數位遊戲相關的專有名詞,橘子成立獨立運作的「警偵小組」單位,派遣24小時輪班人力,隨時支援警察、檢調單位,提供資訊支援與疑問解答的服務,助力全民防詐騙不中斷。

 

GASH 是橘子的遊戲點數、虛擬商品,因近年電玩遊戲蓬勃發展,在巿場已有大量、普遍性流通趨勢,卻也遭犯罪集團利用作為犯罪工具。

2023年橘子與樂點(Gash)自4月起開始推出一系列風控管理措施,如「序號儲值延遲入點」、「點數防詐鎖卡平台」等,並設置「防詐工作小組」與數位發展部及警政署密切配合打詐,橘子不畏營運績效影響仍善盡產業自律與社會責任。截至年底已顯著減少近九成的詐騙案件發生,攔截逾150萬元,阻詐成效顯著。

【產業法規推動】

為了提升產業的競爭力,橘子協助政府制定維護公平正義且符合產業需求之法規,透過各公協會長期向政府提出修法建議,並前往政府機關說明與分享。同時,每年度固定接受律師、司法官團體及學校法律相關科系學生參訪,了解在快速變動的數位娛樂產業中可能遇到的爭議事件,並交流對產業法規制度之看法。

數位內容責任

橘子集團之產品與服務多以數位娛樂多媒體內容為主,為提供玩家及消費者優質創新的服務體驗,所有數位內容之上架皆依循營運所在地法規之要求。除此之外,網路世界在民主的社會環境下,更加容易發聲,易伴隨不當內容的曝光風險,作為平台方,橘子主張應制定責任內容相關準則以傳達本公司在數位科技產業中的永續商業理念。

廣告倫理

2023年本公司正式啟動「橘子集團廣告倫理政策」制定,為國內同業首家針對廣告主訂定廣告業務相關規範,並統合集團泛數位娛樂事業體之回饋,藉以提高本政策之適用性及作為產業示範。本政策內容除適法外,我們針對成人內容、管制商品、娛樂、健康等產品分類設定管制條件,並禁止一切暴力仇恨、騷擾、欺騙性文字以招攬或誤導消費者,如違反,橘子有權停刊該廣告。

責任內容

本公司所發布的的遊戲及平台,於註冊頁面重點聲明使用者應遵守本公司營業規章、管理規則、網際網路國際使用慣例與禮節之相關規定,嚴禁任何違反公序良俗等行為,如具辱罵、誹謗、威脅、不雅等生成式內容,情節重大者本公司有權終止任何數位服務。

兒童保護

本公司所產生之數位內容,為促進兒童青少年重視身心均衡發展,皆鼓勵年滿12歲以上的自然人使用,並應依照《兒童及少年福利與權益保障法》、《遊戲軟體分級管理辦法》規定,提供合適之數位內容及明確分級標章,採取避免兒少接觸之必要措施,並明確標示相對應之警語。發布之遊戲及平台,皆於使用者條款提醒,我們尊重兒童及青少年的隱私權,對於未成年用戶或玩家,要求其法定監護人同意方可蒐集其個人隱私或敏感資訊。若家長/法定監護人有發現異狀,請立即連繫客服,將採取適當措施保護兒童及青少年隱私。未來如有新法規,將比照辦理,引領台灣遊戲產業注重兒童保護。

本網站採用網站分析技術,為您帶來更優質的使用體驗,若您點選 「我同意」或繼續瀏覽本網站,即表示您同意我們使用第三方 Cookies;相關更多資訊請見隱私權政策