Topic 1
基礎設施安全
我們的應用程式託管在世界級的雲端基礎設施提供商上,維持最先進的實體和網路安全。
- 服務節點部署於容器化平台,確保服務高可用性與彈性擴展
- 網路邊界採用防火牆規則與 DDoS 防護機制
- 生產環境與開發/測試環境完全隔離,遵循最小化攻擊面原則
- 伺服器定期執行安全性更新,修補已知漏洞
企業級
安全性
我們的承諾:
安全性不僅僅是一個功能,更是我們的基礎。我們使用銀行級的安全措施保護您的數據。
了解我們用於保護您的數據安全和業務運行的安全措施、協議和標準。
Topic 2
數據加密
所有數據在傳輸過程中均使用 TLS 1.2+ 加密,在靜態時使用業界標準的 AES-256 加密協議。
- 傳輸加密:強制使用 HTTPS(TLS 1.2+),所有 HTTP 請求自動重導向至 HTTPS
- 密碼儲存:採用 BCrypt(cost factor ≥ 12)單向雜湊演算法,密碼不可逆向還原
- 工作階段安全:Session Token 以 UUID v4 隨機生成,閒置 30 分鐘自動失效,登出時立即銷毀
- CSRF 防護:所有表單送出與 API 寫入操作均採用 Double Submit Cookie 模式驗證 CSRF Token
Topic 3
存取控制
我們實施嚴格的角色存取控制 (RBAC) 和多因素身份驗證 (MFA),以確保只有授權人員才能存取敏感數據。
- 五層角色架構:SUPER_ADMIN → ADMIN → MANAGER → STAFF → USER,每層僅持有必要權限
- 細粒度 API 權限:支援 REPORT_VIEW、APPOINTMENT_MANAGE 等細粒度功能授權
- 操作稽核:所有關鍵操作(建立、修改、刪除)均記錄稽核日誌,內含操作人員、IP 位址、時間戳記
- 多租戶隔離:每個租戶的資料以 tenant_id + store_id 雙鍵強制隔離,無法跨租戶存取
Topic 4
合規性
我們定期審核我們的系統和流程,以確保符合全球安全標準和隱私法規。
- 定期執行內部程式碼安全審查(Code Review),以 OWASP Top 10 防護原則為開發標準
- 依《個人資料保護法》落實資料處理安全義務及用戶告知責任
- 新功能上線前執行安全性測試,防止常見注入攻擊(SQL Injection、XSS、CSRF)
Topic 5
備份與災難復原
- 每日自動備份:資料庫每日自動備份一次,備份資料採 AES-256 加密後儲存於異地伺服器,確保單一區域性災難不會影響資料完整性。
- 備份保留週期:每日備份保留最近 30 天的滾動週期,提供充足的資料還原時間窗口。
- 定期演練:我們定期執行備份還原演練,驗證備份資料可用性及復原程序的有效性,確保服務可在預期時間內恢復正常。
Topic 6
安全事件回應
- 24/7 監控:我們部署全天候的系統異常監控機制,當偵測到異常存取模式或潛在資安攻擊時,自動觸發警報並啟動事件回應程序。
- 用戶通知義務:若發生可能影響您個人資料的資安事件,我們將在確認後 72 小時內(或法規所定時限內),以電子郵件通知受影響的用戶及主管機關,並說明事件性質與因應措施。
- 漏洞責任揭露:若您發現任何安全漏洞,歡迎透過 [email protected] 負責任地回報,我們承諾在 48 小時內回覆,並對合法的漏洞回報者提供保護。
Topic 7
帳號安全建議
建議您採取以下措施以保護您的 Loopin 帳號安全:
- 設定至少 12 字元的強密碼,包含大寫字母、小寫字母、數字及特殊符號的組合,避免使用生日、姓名等易猜資訊。
- 勿與任何人共享您的帳號或密碼,不同服務平台應使用不同的密碼,避免單一密碼外洩造成連鎖風險。
- 若發現任何可疑的登入活動(如非您本人操作的紀錄),請立即聯絡系統管理員重設密碼,並通知我們的客服團隊。
- 定期審查帳號下各員工的存取權限設定,及時移除已離職員工的帳號存取,落實最小權限原則。