檢視次數:
趨勢科技為全球網路資安領導廠商,協助世界安全地交換數位資訊。憑藉著數十年的資安專業、全球威脅研究以及持續不斷的創新,趨勢科技跨雲端、網路、裝置及端點的網路資安平台隨時守護著全球數十萬家企業機構及數百萬一般使用者。趨勢科技身為雲端及企業網路資安領導廠商,我們的平台提供了各種強大的進階安全威脅防禦技術,專為如 AWS、Microsoft 及 Google 的環境提供最佳化,集中掌握及更快更有效的偵測及回應威脅。
趨勢科技致力於保護我們客戶及其資料的安全和隱私。以下 Trend Micro Apex One™ as a Service 資源代表我們對安全、隱私、透明度和遵守產業公認標準的承諾。如需詳細資訊,請參閱趨勢科技 Trust Center
有關 Trend Micro Apex One™ as a Service 的最新安全、隱私和合規詳細資訊提供如下。
privacy.jpg
隱私權
 security.jpg
安全
 compliance.jpg
符合性
資料隱私
GDPR
Trend Micro Apex One™ as a Service 資料蒐集注意事項
資料安全
資料隔離
資料加密
資料存取
安全記錄檔
資料保留
災難復原和業務永續性 (DR)
刪除資料
員工訓練
變更控制
弱點管理
程式碼分析
Web 應用程式評估
事件回應
ISO 27001
ISO 27014
ISO 27034-1
ISO 27017
SOC2

資料隱私

如需趨勢科技如何保護資料的一般資訊,請參閱趨勢科技全球隱私權聲明
根據受保護環境的性質,以及列為安全事件的目標對象(例如,文件、記憶體、網路流量),可能會在安全事件中收集個人資訊。我們會提供安全策略設定和模組選擇,以滿足目標環境的需求,並將這類風險降至最低。
如需進一步瞭解傳送給趨勢科技的資料,以及客戶對該資料的控制權,請閱讀Trend Micro Apex One as a Service 資料蒐集注意事項

GDPR

趨勢科技遵守適用法律,包括 GDPR。如需詳細資訊,請參閱趨勢科技 GDPR 法規遵循網站。
  • 視情況適用,我們會實作技術和組織措施 (TOM),以支援我們根據 GDPR 處理資料。
  • 我們身為受 GDPR 規範的資料處理者,對個人資料的處理在許多情況下均受到限制。由 Trend Micro Apex Central as a Service 處理的資料的詳細資訊,以及您對該資料可用的控制權,均記錄於 Trend Micro Apex One as a Service 資料蒐集注意事項

Trend Micro Apex One™ as a Service 資料蒐集注意事項

Trend Micro Apex One™ as a Service 中所提供的部分功能會蒐集與產品使用和偵測相關的資訊,並傳送回饋給趨勢科技。如需詳細資訊,請參閱Trend Micro Apex One as a Service 資料蒐集注意事項

資料安全

趨勢科技遵守所有資料安全產業標準,並提供一般安全實務做法概述。此外,Trend Micro Apex One™ as a Service 也使用產業認可的最佳實務做法來保護您的資料。這包括隔離個別客戶資料以及加密傳輸中的資料。客戶資料的備份遵循產業定義的最佳實務做法,我們也取得各種認證,例如 ISO 27001(用於存取控制和加密)和 ISO 27017(用於監控雲端服務和環境隔離),均有助於定義我們的備份和資料復原流程。

資料隔離

所有客戶資訊都會加以隔離,以確保客戶只能存取自己的資料。客戶資料會在擷取期間標記為「客戶 ID」,以做為資料架構的一部分。趨勢科技應用程式的內部資料存取層需要此「客戶 ID」參數來存取資料。此措施可保護客戶資料不被任何他方所存取,因為查詢一次只能存取一個「客戶 ID」。客戶與服務互動時不會直接提供「客戶 ID」,這會由應用程式自己處理。如此可確保惡意行為者無法透過錯誤的客戶 ID 存取另一個資料集。
客戶聯絡方式(例如他們的電子郵件信箱)會在靜態時進行加密以確保機密性。由 Trend Micro Apex One™ as a Service 所收集的資料列於 Trend Micro Apex One as a Service 資料蒐集注意事項

資料加密

靜態:敏感資料受其所在雲端的原生雲端技術保護。對於 Azure SQL,資料庫會以「透明資料庫加密」進行加密。此外,所有使用者帳號密碼也會經過雜湊、進行 Salt 處理並加密。
傳輸中:所有後端資料都使用 TLS 1.2 (TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) 加密,以保護 Azure 後端內節點到節點間的資料傳輸。對於端點到雲端之間的通訊,支援舊版的 HTTP 通訊協定以向下相容於舊版本中的用戶端。從端點進行的上傳也會使用 JSON Web Token 來提高安全性。

資料存取

進出所有趨勢科技辦公室和存取所有網路均受到嚴格控制,只有獲得授權的人員或在陪同下方可進入。透過鑰匙卡系統提供進出,在進入敏感區域之前需獲得核准。Trend Micro Apex One™ as a Service 基礎架構託管於 Microsoft Azure 中。
Trend Micro Apex One™ as a Service 託管於一個高度受限的子網路中,無法直接存取 Internet。只有有限的一組管理員可以存取 Trend Micro Apex One™ as a Service 以執行維護工作或疑難排解。特別是疑難排解需由客戶明確提供存取權限。操作員存取是透過安全的加密連線完成的,並透過多層網路和存取控制進行保護。
存取僅限於某些允許的 IP 位址,並在 SIEM 中進行監控。任何可疑的存取都會產生警訊,並根據事件管理程序對警訊進行調查。
禁止使用轉包商進行 Trend Micro Apex One™ as a Service 的開發或運作。

安全記錄檔

Trend Micro Apex One™ as a Service 使用 Trend Micro Cloud One Agent 進行監控:惡意程式防護、防火牆、入侵防護、完整性監控和記錄檔檢測。透過 Microsoft Azure 提供的原生安全服務監控和記錄對基礎架構的所有存取。
Trend Micro Apex One™ as a Service 會啟用自動警訊並僱用隨時待命的人員。每天都會審查所有系統的安全記錄檔。如果懷疑發生安全事件,將立即向趨勢科技安全作業中心 (SOC) 報告。根據可疑事件的嚴重性,決定潛在事件的優先順序,並指派 SOC 團隊和技術專家進行調查。
這些記錄檔會保留在託管 Trend Micro Apex One™ as a Service 帳號的地區中,客戶無權存取這些記錄檔。如需 Trend Micro Apex One™ as a Service 涵蓋哪些地區的詳細資訊,請參閱 Apex One as a Service 資料落地聲明

資料保留

如果客戶的使用授權到期,所有資料將刪除如下:
  • 完整授權:60 天後(30 天寬限期加上 30 天鎖定期)
  • 試用版授權:30 天後(30 天鎖定期)

資料備份

趨勢科技將根據客戶的需求佈建 Trend Micro Apex One™ as a Service 環境。Trend Micro Apex One™ as a Service 資料庫的資料使用 Azure SQL 服務進行即時備份,並可還原到前 7 天的任意時間點。Trend Micro Apex One™ as a Service 將每日客戶組態設定備份保留 7 天以緩和問題。根據災難復原目的,定期執行備份資料的驗證測試。
Trend Micro Apex One™ as a Service 每六個月會執行一次測試演練(模擬測試),進行完整的系統還原。當趨勢科技發現環境損毀時,後端團隊將在 30 分鐘內執行還原程式檔,還原客戶環境。

災難復原和業務永續性 (DR)

趨勢科技根據 BIA 的結果準備資訊處理作業 BCP,並且每六個月執行一次 BCP 演練。我們的 ISO 27001 認證涵蓋了 BCP。
關於 Trend Micro Apex One™ as a Service
  • 復原時間目標 (RTO) — 5 小時
  • 復原點目標 (RPO) — 24 小時
我們會儲存為驗證我們備份一致性而每週執行的自動化測試,以緩和單一地區內的問題的風險。DR 模擬會定期執行,以驗證資料和 RTO/RPO 要求。
Trend Micro Apex One™ as a Service:任何服務影響(無論是計劃內或計劃外)都不會影響在客戶端點上執行的現有用戶端所提供的防護。在服務影響之前啟動的用戶端,將繼續為執行它們的電腦提供防護,直到恢復對服務的存取。只要電腦有足夠的磁碟空間,事件就會排入佇列,用戶端會在下次連線時將事件傳輸到 Trend Micro Apex One™ as a Service。服務恢復後,用戶端就會自動重新連線。
Trend Micro Apex One™ as a Service 團隊也會發佈有關手動復原的詳細災難復原程序,請參閱 https://success.trendmicro.com/zh-TW/solution/ka-0009727

刪除資料

若要提交資料刪除要求,請造訪 https://www.trendmicro.com/en_us/about/trust-center/privacy/gdpr/individual-rights.html
ISO 27001 包含資料銷毀相關規定。Trend Micro Apex One™ as a Service 和 Microsoft Azure 均符合 ISO 27001 標準。
客戶可以傳送電子郵件給趨勢科技 (gdpr@trendmicro.com) 來提出個人資料刪除要求。

員工訓練

Trend Micro Apex One™ as a Service 軟體開發人員均接受安全編碼實務做法訓練,這些訓練使用以 SANS 25/OWASP Top 10 為基礎的產業標準課程。教育訓練活動每年實施,有員工加入公司時也會實施。所有員工都必須遵守趨勢科技 Internet、電腦、遠端存取和行動裝置合宜使用政策。未遵守這些政策的員工將受到紀律處分,包括解僱。Trend Micro Apex One™ as a Service 開發團隊聘用專門人員來處理產品安全問題。安全測試、安全程式碼審查和威脅建模皆為開發生命週期的一部分。如需我們安全編碼最佳實務做法的詳細資訊,請參閱 趨勢科技 Trust Center 的「法規遵循」部分
趨勢科技遵守以下密碼策略和標準:
  • 所有密碼必須至少每季變更一次。
  • 密碼不得插入電子郵件或其他形式的電子通訊中。
  • 密碼不得共用或透露給任何人。
  • 如果懷疑有洩密情事發生,須立即變更密碼。
  • 密碼在傳輸過程中必須加密,並使用 salt 進行雜湊儲存。
  • 密碼長度必須至少為八個英數字元。
  • 密碼必須同時包含大寫和小寫字元(例如,a-z、A-Z)。
  • 強制執行禁止重複使用舊密碼。
  • 不得使用個人資訊、家庭姓名等做為密碼。

變更控制

確保我們的客戶可以持續以安全、可靠的方式獲得最新的安全功能,是我們團隊的首要任務。我們除了導入以程式碼審查、功能測試和規模測試為核心的開發實務做法,還有我們的弱點掃瞄和滲透測試之外,還採取了許多步驟來確保以安全且可控制的方式推出任何服務更新。所有服務更新都會以小型增量更新的形式推出,這些更新會先推行到預備環境,然後再推行到生產環境。所有變更都受到密切監控,我們也制定了多道程序(包括自動和手動),以處理可能出現的情況。服務的所有更新都會清楚透明地介紹給客戶,並且能在發生任何無法預料的問題時,以一目了然的方式復原。
Trend Micro Apex One™ as a Service 環境中的應用程式升級會在我們達成品質目標後完成。趨勢科技使用最佳實務做法進行任何變更,包括完整備份和核准流程。Trend Micro Apex One™ as a Service 具有多個專用開發和測試環境。要求的任何變更都會先由技術相關人員審查,並判定變更的急迫性和潛在影響。所有變更一律需有文件形式的退場計畫。這些變更會在變更控制系統中進行追蹤和記錄。

弱點管理

我們會持續監控並追蹤弱點。每個弱點都會指派有一個 CVSS 分數。修補要求會根據以 CVSS 為基礎的嚴重性指定解決弱點的時間範圍,這些要求會包含在安全開發合規策略中。Trend Micro Apex One™ as a Service 環境中的 Trend Micro Apex One™ as a Service 軟體會每月更新一次,以使用最新可用的程式碼庫,其中包括弱點修正。Trend Micro Apex One™ as a Service 團隊會負責修補 Trend Micro Apex One™ as a Service 軟體及支援 Microsoft Azure 服務。

程式碼分析

趨勢科技原始碼透過靜態程式碼分析,使用 Fortify、BlackDuck 等產業標準工具進行掃瞄,這些工具會部署在每個開發階段。此外,趨勢科技有一個專案法律和弱點審查制度 (Project Legal & Vulnerability Review System,PLVRS) 內部系統來識別第三方弱點。安全測試、安全程式碼審查和威脅建模也是所有趨勢科技產品開發生命週期的一部分。
Trend Micro Apex One™ as a Service 從開發階段到 GM 發佈,全程都經過嚴格的品質檢查。發佈後,團隊會每週以自動方式執行弱點掃瞄。使用 CVSS 評分對弱點的嚴重性進行分等。重大弱點必須在一個月內修正,或透過緩和或因應措施解決。

Web 應用程式評估

趨勢科技資安團隊使用領先的動態分析安全工具,每年對任何主要版本的 Trend Micro Apex One™ as a Service 進行至少一次的 Web 應用程式評估。
如需我們的弱點回應計畫詳細資訊,請參閱趨勢科技弱點回應網站。

事件回應

趨勢科技擁有專門的資安 (InfoSec) 團隊,負責確保遵守趨勢科技安全策略。發現安全事件後,Trend Micro Apex One™ as a Service 工程師會立即聯絡資安 (InfoSec) 團隊。此外,資安團隊也會獨立監控 Trend Micro Apex One™ as a Service 環境記錄。如果發現安全事件,就會根據嚴重性決定事件的優先順序。我們會指派專門的技術專家團隊進行調查、就防堵程序提出建議、進行鑑識和管理溝通。團隊會在事件發生後檢查根本原因,並隨之修改回應計畫。如果發生涉及客戶資料的違規行為,趨勢科技將遵守 GDPR 規定的義務。如需詳細資訊,請參閱趨勢科技 GDPR 法規遵循網站。

認證

ISO 27001、ISO 27014、ISO 27034-1、ISO 27017 和 SOC2

趨勢科技和趨勢科技雲端服務每年都會接受可信賴的外部稽核人員的稽核,以確保我們遵守產業最佳實務做法。ISO 27001 是一項全球標準,用於定義趨勢科技的整體資訊安全管理系統。ISO 27001 涵蓋人力資源安全、存取控制、運作安全和資訊安全事件管理等項目。SOC Type II 認證用於驗證對我們 IT 系統的安全控制,包括趨勢科技內部系統及其 SaaS 產品。SOC Type II 控制包括安全(防火牆、IPS 等)、可用性(災難復原和事件處理)、機密性(加密和存取控制)、隱私和處理完整性(品質保證)等項目。
Trend Micro Apex One™ as a Service 已通過 ISO 27001、27014、27034-1 和 27017 認證。您可以在 趨勢科技 Trust Center 的「法規遵循」部分找到合規認證。
Trend Micro Apex One™ as a Service 已完成 SOC 2 Type II 評估,您可以在 趨勢科技 Trust Center 的「法規遵循」部分找到 SOC 3 報告和 SOC 2 報告申請表。