資訊與網路安全

Information
Security

本公司訂有「資訊安全政策」由執行長核定，為本集團建立資訊安全、網路安全管理制度、程序及電腦系統軟硬體等相關資通管理之準則，以確保公司重要資訊之機密性、完整性及可用性。

網路服務均設有防火牆、網路身份辨識、威脅監控分析機制並阻隔惡意網路行為、不定期針對網站系統弱點掃描並予以補強修正、不定期模擬駭客攻擊及資訊安全演練、依服務內容制定及實施備份作業等各項資訊安全防護措施，惟有經過授權的人員才能接觸到相關資料。另外，任何個人資料的網路傳遞皆經過加密機制，以確保資料在傳輸過程中不被第三方非法擷取。依消費者或供應商簽訂服務約定，不會任意提供、出售、交換或出租的隱私與機敏資料給其他團體、個人、私人機構或其他用途。2024年並未發生侵犯客戶隱私事件。

資安管理

「集團資通安全管理委員會」（以下簡稱資安委員會）為本公司資通安全的最高指導組織，由集團董事長暨執行長擔任最高督導，董事長自公司成立以來具備豐富資安治理經驗，同時擔任集團旗下資安公司雲力橘子法人代表，負責全面監督與檢視各項資訊安全管理措施的落實，充分展現集團對資通安全制度的高度重視與支持。委員會成員由各部門指派專員組成，成員層級涵蓋首長與處級主管等職，並設置「資安主管」一職，由資訊服務處之處級單位統籌管理資通安全相關事務，另委請專業資安技術團隊協助提供各項資安服務。

2024年委員會召開兩次會議，由集團執行長主持，針對資安管理制度的執行情況、營運風險評估、資安專案進度及因應對策進行整體檢討與決策，確保資安策略與營運需求保持一致。

「資安委員會」基於集團營運目標、策略，遵照政府相關法令、法規要求，負責制定相應之資安政策，進行資安防護佈署、弱點漏洞補強、異常訊息掌握、緊急事件應變等，落實各項資安管理工作；秉承PDCA(Plan-規劃評估、Do-設計建置、Check-覆核稽查、Act-檢討改善)管理循環思維，以說寫做一致作為執行要點管理風險，以確保服務及營運持續。在風險評估、政策修訂、防護佈署、風險監控、安全補強的循環架構下，持續掌握新的資安趨勢，因應時空改變不同的資訊服務、營運環境、適法性及各項影響條件，滾動式檢討現行管理與防護作為，使資訊系統運營及網路服務均能做到適當的風險管控。

資訊安全管理策略與具體管理措施

本公司資安策略關注人員、制度及管理三大面向，遵循國家法令，通過風險導向的分析與管控，管理客戶及會員數字資產。

事前預防

定期檢討資訊安全相關管理規範
每年依照現行法令法規、產業脈動、關注方要求，進行資安政策及相關管理規範、程序編修作業，內容涵蓋資料保護、營運安全、資訊作業委外、密碼管理…等共計13項規範。
資訊作業安全檢測
依據不同的資訊作業服務性質及風險進⾏營運業務資安分級、設定必要防護作為，並定期進⾏各項資安管理評量；對於資通服務系統進⾏安全檢測、辦理網站或主機弱點掃描、滲透測試，要求系統上線前或重⼤變更時執⾏源碼掃描安全檢測，並完成系統弱點修補，降低⼈為或⾃然因素對企業營運所造成的衝擊；同時也藉此了解、評估企業網路環境及系統安全狀況，驗證⽬前資安防護設定的安全等級與成效。

導入資安監控(SOC)及端點防護(EDR)機制
偕請國內第三方資安技術顧問團隊監控並掌握資安告警及情資，強化並加速偵防與回應。
資通安全作為有效性檢討
集團資訊安全委員會每年定期召開兩次會議，針對資安策略與機制進行滾動式的檢討與修正，同時檢討規範落地執行之成效並追蹤內部查核發現。

鼓勵集團導入ISO 27001等國際資訊安全管理標準
– 每年透過公正第三⽅定期執⾏外部稽核，全⾯檢視資通安全管理系統，強化資訊安全管理體系，訂定各項作業要求及應變處理計畫，提⾼整體資訊安全管控與應變能⼒。集團各分子公司取得國際資安認證（具體情形請參閱資安認證一覽表）。
– 橘子支付自2019年起連年取得「行動應用App基本資安檢測」認證，並經第三方檢測機構通過。
培養員工資安意識
– 年度辦理電子郵件社交工程演練，透過模擬駭客攻擊手法、打造仿真度極高的攻擊模擬郵件，寄送誘騙信件給員工，藉以了解員工資安意識的真實狀況與面對社交工程、網路釣魚等行為的基礎防衛能力；對於誘騙成功的員工施以針對性的教育，喚起員工面對此類威脅的本能反應，引以調整資安應對行為、建立資安防護停、看、聽的反應力。
– 由資安風險驅動教育訓練，讓主動防禦位於攻擊之前，透過內部適當的資訊安全講習，提升資通管理人員及一般同仁資安認知及意識、了解資訊安全重要性及各種可能的安全風險、提高員工資訊安全意識、進而改變行為。2024年列為集團全員必修課程，以全面性地提升同仁資安意識，完訓率達100%。
– 不定期派送資訊安全電子報輔以資安意識宣導，藉此提升及鞏固企業員工對於資安意識警覺性、培養安全檢查的習慣。

事中執行與檢核

營運資訊作業自我評量
針對各項資安管理措設定評量機制，每季要求各營運分子公司進行資訊作業自我評量。
端點安全管理
設有端點防護機制，有效降低端點設備因不慎使用，形成資安缺口。
重要系統、資料庫及檔案皆具備份機制
集團已建立完整的營運持續與災難復原計畫，涵蓋關鍵系統、資料庫與檔案之備份機制，並定期（每年⾄少⼀次）執⾏災復演練。演練內容包含書⾯模擬與實際情境測試，以確保還原IT基礎架構存取權和功能的有效性，確認在發⽣異常時能即時恢復存取權限與系統功能，快速恢復⾄企業正常或可接受的營運⽔準，以達到核⼼服務系統持續運作、企業營運不中斷。
年度資安內部查核作業
每年由集團總部擬定實施資安管理檢核計畫，對各營運分子公司進行訪談與抽樣各項資訊作業執行情況，並將查核結果提報集團資安委員會，查核發現則列管追蹤矯正情況，作為精進集團資安管理依據

事後應變與復原

確保資安事件可迅速及完善的處理與復原，同時增設資安事件回顧管理機制。
2024年未發生重大的網路攻擊或事件，亦未曾涉入任何相關之法律案件或監管調查。

資安風險管理

橘子在2024年檢視並調整「集團營運事業資安管理要點」，持續提升資訊安全管理的完整性。針對資訊系統內的網路、作業系統、資料庫、應用程式等面向，強化整體安全強度，確保資訊系統穩定運作，保護資訊設備與資料文件的安全，避免遭受各類威脅侵入與破壞，進而降低營運作業風險。針對任何可能對營運資訊作業構成威脅的因素，公司進行安全指標資料之蒐集，並要求相關資訊系統與服務實施定期或不定期的必要安全檢測，以提升防護效能。

資安風險管理為持續性的循環機制，透過管理機制進行資通安全營運風險分析及影響評估，建立適當防護機制、監控措施及應變作為，從而使公司營運做到最小化損失和最大化收益。

律法及標準合規性

數位發展部於2023年10月12日頒布「數位經濟相關產業個人資料檔案安全維護管理辦法」，依辦法施行之日起三個月內完成個人資料檔案安全維護計畫及業務終止後個人資料處理方法。且企業有符合國際資訊安全標準體系之目標。

網路攻擊

企業資訊技術人員自身不安全的規則設定或未依規辦理的資訊作業程序，將有機會讓不肖人士使用技術手段或方法，透過管理漏洞，入侵、破壞或是竊取目標系統或網路，直接衝擊企業營運。

病毒威脅

瀏覽過的網站、電子郵件中含惡意程式的附件或連結、社交媒體網站的惡意連結或執行檔、可攜式儲存媒體、未經驗證文件、檔案、軟體或應用程式、不安全的存取權限設定等皆可能攜帶病毒。

營運中斷

資通系統無法持續運作，將停止對外提供營運服務，影響品牌形象、營收、客戶及股東信任及權利受損。

員工資安意識不足

員工因職責所需，直接接觸公司營運系統及資料，未依安控要求操作、非安全的使用習慣或處理方式、甚至是將公司配發的資訊設備不慎遺失且未妥善進行必要之處置，該設備可能會使用到不明軟體、感染惡意程式，因而洩漏營運之機敏資料，影響到公司內部系統安全、營業秘密、資料外洩，引發資安事件。

新興資安威脅

雲服務與生成式AI工具的普及雖然提升了作業效率與技術學習速度，卻也伴隨資安風險的上升。生成式AI工具的普及可能造成資訊過度依賴或做出錯誤決策，且降低攻擊工具的獲取門檻，可能加速資安威脅的擴散。

資安通報與處理程序

2024年，公司檢修「資訊安全事件處理程序」，以「資安事件通報及應變作業」重新界定資安事件分類、分級標準（含升、降級）以及通報與處理層級。對於相較過往之變動，統一對資通安全組織之執行小組成員召開說明會，要求將相關異動資訊進行單位橫向宣導，同時亦要求於公司電子告示板刊登「資安事件24小時通報專線及通報專用信箱」資訊。

集團全體同仁皆有舉發事件之責，並須第一時間主動通報所屬單位IT技術窗口，窗口將依據事件類型與嚴重程度進行初步釐清，並填寫「資訊安全事件通報紀錄單」，後續由資訊部門聯同相關單位展開後續資安事件處置。資訊單位需在預定的處理時限內完成事件排除與解決，並於處理結束後，提供事件分析報告及改善建議，以預防同類事件再次發生。所有資安事件的處理結果與報告將定期彙整納入資訊安全月報，供資訊安全委員會議檢視留存。

供應商資安管理

橘子設有「資訊作業委外安全管理辦法」，規範委外開發案資訊安全審核之要求。凡由第三方開發、建置、維護、處理與管理之活動，須依照其功能可能涉及之資安風險嚴重程度，具備相對應之資安檢測項目，包括重要數據隱私要求，確保每個供應商承諾應用足夠的技術和組織措施保護其處理的資訊。資安檢測廠商資格需具備資安專業證照，並可提供原始碼檢測、弱點及滲透測試等檢測服務，使各分子公司之委外開發系統於導入或上線前具備標準安全性。「集團營運事業資安管理要點」亦設有系統或服務正式上線前之各項安全檢測要求。此外，公司法律團隊在處理和公司的數據交換時（包括個資），已確保所有供應商協議均包括適當的陳述和保護的義務。

守護網路安全

【消費者保護措施】

集團對於所提供之商品或服務，除重視消費者之健康與安全，並對所提供的網路服務均向消費者詳細說明商品或服務之使用方法，維護交易之公平。對所提供的網路服務訂立預先擬定之契約條款，提供消費者充分與正確之資訊，及實施其他必要之消費者保護措施，以維護商品或服務之品質與安全，防止服務損害消費者之身心健康、財產或其他權益。對於商品或服務之標示、公平交易符合法令規定。致力於完整消費資訊，提供消費者運用，俾能採取正確合理之消費行為，以維護其安全與權益。

【犯罪防治】

隨著網路資訊蓬勃發展，詐騙行為與盜取遊戲帳號等問題頻頻發生，成為新型態的社會挑戰。橘子秉持以服務客戶至上、玩家權益優先的態度，積極投入數位犯罪防制行動，與大眾消費者站在同一陣線。對於接獲的相關申訴案件，只要具備充分佐證資料，橘子團隊即主動配合，協助消費者應對犯罪行為，防堵不法投機者危害平台安全。

自2022年起，橘子攜手165全民防詐騙網站，設置線上查詢機制，司法警察可透過系統即時提交查詢案件需求，大幅提升查辦效率。同時，考量數位遊戲術語專業度高、辨識不易，集團成立獨立運作的「聯防小組」，派遣專人24小時輪班支援，提供警察、檢調單位即時資訊說明與疑問解答服務，確保防詐作業不中斷。

【產業法規推動】

為強化產業競爭力，橘子積極參與協助政府推動兼顧公平正義且符合產業發展需求的法規制定。公司法務同仁擔任全國律師聯合會文創、運動及娛樂法委員會委員，並透過各公協會長期向政府提出修法建議，親赴相關機構進行意見說明與分享。此外，我們亦接受律師、司法官團體及學校法律相關科系學生參訪，了解在快速變動的數位娛樂產業中可能遇到的常見爭議情境，促進對產業法規制度的理解與交流。

數位內容責任

橘子集團之產品與服務多以數位娛樂多媒體內容為主，為提供玩家及消費者優質創新的服務體驗，所有數位內容之上架皆依循營運所在地法規之要求。除此之外，網路世界在民主的社會環境下，更加容易發聲，易伴隨不當內容的曝光風險，作為平台方，橘子主張應制定責任內容相關準則以傳達本公司在數位科技產業中的永續商業理念。

廣告倫理

2023年啟動「集團廣告倫理政策」，為國內同業首家針對廣告主訂定廣告業務相關規範，並統合集團泛數位娛樂事業體之回饋，藉以提高本政策之適用性及作為產業示範。本政策內容除適法外，亦針對成人內容、管制商品、娛樂、健康等產品分類設定管制條件，並禁止一切暴力仇恨、騷擾、欺騙性文字以招攬或誤導消費者，如違反，橘子有權停刊該廣告。

例如2024年橘子旗下電商事業體購物橘子，全面遵循本政策，針對數位隱私保障之蒐集、高風險內容識別之警語與要求合法素材使用權等，進一步落實行動，確保廣告內容誠實無虞。

責任內容

本公司所發布的遊戲及平台，於註冊頁面重點聲明使用者應遵守本公司營業規章、管理規則、網際網路國際使用慣例與禮節之相關規定，嚴禁任何違反公序良俗等行為，禁止上傳或發布包括但不限於：暴力、性暗示、仇恨言論、恐怖或極端主義思想、錯誤資訊、網路騷擾、自我傷害、歧視性等生成式內容，情節重大者本公司有權終止任何數位服務。

兒童保護

本公司所產生之數位內容，為促進兒童青少年重視身心均衡發展，皆鼓勵年滿12歲以上的自然人使用，並依照《兒童及少年福利與權益保障法》、《遊戲軟體分級管理辦法》規定，提供合適之數位內容及明確分級標章，採取避免兒少接觸之必要措施，並明確標示相對應之警語。為尊重兒童及青少年的隱私權，所發布之遊戲及平台，皆於使用者條款中提醒，對於未成年用戶或玩家，要求其法定監護人同意方可蒐集其個人隱私或敏感資訊。同時，若家長／法定監護人有發現異狀，連繫客服後，本公司將採取適當措施保護兒童及青少年隱私。