Security
您的數據安全對我們至關重要
IT 基礎架構
系統設計與架構
Horus 的IT架構安全與可靠並重。我們的設計採用了識別多層式架構(n-tier architecture),而中間亦設有防火牆,以提供額外的保護。
企業網絡
HR Plus 運行零信任網路存取 (zero-trust corporate network) ,以確保沒有其他資源因進入我們的企業網絡而獲得額外特權。
數據中心供應商
Horus 的數據服務由 Amazon Web Services (AWS) 的數據中心內託管和管理。他們均在業內最隹標準進行營運:
- ISO 27001
- SOC 1 and SOC 2/SSAE 16/ISAE 3402 (Previously SAS 70 - Type II)
- PCI Level 1
- FISMA Moderate
- Sarbanes-Oxley (SOX)
此外,我們廣泛採用 AWS 提供的服務,以增加我們整個系統的網絡控制。您可以在 AWS 白皮書和指南中查詢更多詳細信息。
數據存取程序
Horus 的數據存取只能由需要訪問的伺服器進行存取。此外,訪問密鑰與我們的源代碼是分開存儲的。
此外,我們亦設有沙盒以將正式環境(Production Environment)與測試環境(Testing Environments)進行分隔,以確保我們在運行日常安全檢查時,不會影響有關的應用程序或操作系統。
數據備份
我們會定期對重要數據進行加密和安全備份。數據備份的保留期限最少為1年,而根據客戶協議,最終時長亦會有所不同。
網絡安全措施
數據加密
我們採用強度為 AES-256或之上的行業標準加密算法來完全加密所有關鍵數據(備份、存檔和日誌)。
HTTPS 和防火牆
我們的所有網絡資源,包括REST API、網絡應用程序(Web application)和公共網站,均使用 HTTPS 提供服務。此外,我們禁用弱密碼套件,亦僅僅支持 TLS 1.2+。而我們的伺服器均受到不直接暴露於互聯網的防火牆保護。
日誌監控
我們執行日誌監控(Log Monitoring)以識別異常或可疑事件。此外,所有敏感數據(例如密碼、個人標識符、API 密鑰等)都會從我們的日誌中過濾出來,並且日誌數據會在預設的時間內完全刪除。
災難復原
我們的服務分佈在多個 AWS 可用區並託管在地理位置獨立的數據中心,以保護服務免受單個數據中心故障的影響。
網絡漏洞掃描
我們通過安全工具對漏洞進行持續掃描。所有第三方庫和工具都會受到密切監控以防範任何潛在風險。 如果我們在系統中使用的軟件發現了新問題,我們會盡早對它們進行修補及更新。
內部安全培訓
我們了解大多數據洩露都是由人為錯誤造成的。我們致力於為所有 HR Plus 員工提供強制性和定期的安全培訓。此外,所有 HR Plus 員工都必須簽署保密協議。
用戶認證
安全 SSO(單一登入)
HR Plus 採用當前最佳的SSO安全標準,包括 SAML、OpenID 和 OAuth。
密碼存取
HR Plus 將密碼存儲在不可逆的密碼雜湊函數(cryptographic hash )中,以確保它們永遠無法被擷取。
認證規則
當用戶更改密鑰信息後,身份驗證會期將失效。而身份驗證會期亦會在一段時間靜止後過期。
角色型存取控制(RBAC)
Horus 採用了具有不同權限級別的角色型存取控制,我們確保特定角色用戶僅訪問他們所需的信息,以最大限度地減少潛在的安全風險。
合規和隱私政策
HR Plus 擁有全面的合規和隱私政策,從歐盟一般資料保護規範(GDPR)到香港特別行政區個人數據(隱私)條例,我們均承諾遵守其規定。此外,我們亦有制定內部合規培訓,以確保所有員工均遵守我們的合規指南。
若要暸解更多信息,請參閱我們的私隱政策。
安全漏洞披露政策
HR Plus擁有一套網路安全事件應變機制以回應未經授權的數據洩露和其他安全事件。
若你有遇到任何疑慮或安全問題,請發送電子郵件至 Security&Privacy@hrplus.info,我們將在確認後迅速調查。