ESG雲系統資訊安全聲明

為確保 ESG 雲端系統資料安全與服務穩定，本公司依據國際資訊安全標準，建置 AWS 與 GCP 雲端架構之資安管理機制，並訂定以下安全措施：

一、資訊安全管理原則

• 確保資料之機密性、完整性與可用性，防止未授權存取、竄改或破壞。
• 持續檢視並改善雲端資安政策，確保符合業務需求及法令規範。
• 定期審核資訊安全管理制度，並由管理階層核准後實施。

二、雲端服務安全機制

雲端系統環境架設於 GCP（Google）及 AWS（Amazon），採取合適的權限控管與資料隔離機制，確保各客戶資料之安全性與獨立性。

主要運算與儲存服務採用 AWS S3 及 GCP Compute Engine。

資安控管與資料保護措施：

• 雲端環境全面採用加密傳輸與加密儲存機制。
• 系統權限設計採最小必要原則，使用者僅能存取其業務所需之資料與檔案。
• 顧問與本公司間皆簽署正式合約，包含保密條款與智慧財產權約定。
• 針對資料提取、備份與刪除作業，皆可依客戶需求提供協助。
• 所有靜態資料採用 AES-256 加密，傳輸資料以 TLS/SSL 保護。
• 強制啟用多因素驗證（MFA），並執行帳號行為稽核。
• 重要資料每日備份一次。

三、監控與防護

• 啟用 AWS CloudTrail、CloudWatch 及 GCP Monitoring，即時偵測異常行為。
• 透過 WAF、AWS Shield、Cloud Armor 強化防禦並防範外部攻擊。

四、法規遵循與隱私保護

• 所有雲端服務遵循個人資料保護法等資料保護法規。
• 選擇合規區域進行資料存放，確保符合地區性資料規範。

五、員工資安責任

• 全體員工應遵守本公司資訊安全規範並妥善保護帳號憑證。
• 定期參與資安教育訓練，強化防範社交工程與資安威脅意識。

六、應變與持續改進

• 若發生安全事件，立即啟動應變程序進行通報、修復及檢討。
• 持續投入資源強化防護系統，確保 ESG 雲系統之穩定與安全。

七、資料刪除與客戶主控權

除法令另有規定外，當客戶終止與本公司之契約關係後，客戶有權請求本公司刪除、停止處理或停止利用其所提供之個人或業務資料。本公司將依據客戶指示執行相關程序，確保資料之安全銷毀與權益維護。