檢視次數:
趨勢科技為全球網路資安領導廠商,協助世界安全地交換數位資訊。憑藉著數十年的資安專業、全球威脅研究以及持續不斷的創新,趨勢科技跨雲端、網路、裝置及端點的網路資安平台隨時守護著全球數十萬家企業機構及數百萬一般使用者。趨勢科技身為雲端及企業網路資安領導廠商,我們的平台提供了各種強大的進階安全威脅防禦技術,專為如 AWS、Microsoft 及 Google 的環境提供最佳化,集中掌握及更快更有效的偵測及回應威脅。
趨勢科技致力於保護我們客戶及其資料的安全和隱私。以下 Worry-Free Business Security Services 資源代表我們對安全、隱私、透明度和遵守產業公認標準的承諾。如需詳細資訊,請參閱趨勢科技 Trust Center
有關 Worry-Free Business Security Services 的最新安全、隱私和合規詳細資訊提供如下。
privacy.jpg
隱私權
 security.jpg
安全
 compliance.jpg
符合性
資料隱私
GDPR
Worry-Free Business Security Services 資料蒐集注意事項
資料安全
資料隔離
資料加密
資料存取
安全記錄檔
資料保留
災難復原和業務永續性 (DR)
刪除資料
員工訓練
變更控制
弱點管理
程式碼分析
Web 應用程式評估
事件回應
ISO 27001
ISO 27014
ISO 27034-1
ISO 27017
SOC2

資料隱私

如需趨勢科技如何保護資料的一般資訊,請參閱趨勢科技全球隱私權聲明
根據受保護環境的性質,以及列為安全事件的目標對象(例如,文件、記憶體、網路流量),可能會在安全事件中收集個人資訊。我們會提供安全策略設定和模組選擇,以滿足目標環境的需求,並將這類風險降至最低。
如需進一步瞭解傳送給趨勢科技的資料,以及客戶對該資料的控制權,請閱讀Worry-Free Business Security Services 資料蒐集注意事項

GDPR

趨勢科技遵守適用法律,包括 GDPR。如需詳細資訊,請參閱趨勢科技 GDPR 法規遵循網站。
  • 視情況適用,我們會實作技術和組織措施 (TOM),以支援我們根據 GDPR 處理資料。
  • 我們身為受 GDPR 規範的資料處理者,對個人資料的處理在許多情況下均受到限制。由 Trend Micro Worry-Free Business Security Services 處理的資料的詳細資訊,以及您對該資料可用的控制權,均記錄於 Worry-Free Business Security Services 資料蒐集注意事項

Worry-Free Business Security Services 資料蒐集注意事項

Worry-Free Business Security Services 中所提供的部分功能會蒐集與產品使用和偵測相關的資訊,並傳送回饋給趨勢科技。如需詳細資訊,請參閱Worry-Free Business Security Services 資料蒐集注意事項

資料安全

趨勢科技遵守所有資料安全產業標準,並提供一般安全實務做法概述。此外,Worry-Free Services 也使用產業認可的最佳實務做法來保護您的資料。這包括隔離個別客戶資料以及加密傳輸中的資料。客戶資料的備份遵循產業定義的最佳實務做法,我們也取得各種認證,例如 ISO 27001(用於存取控制和加密)和 ISO 27017(用於監控雲端服務和環境隔離),均有助於定義我們的備份和資料復原流程。
客戶可選擇可用的 Worry-Free Services 地區來佈建 Worry-Free Services 主控台,以及儲存並處理所有資料湖服務和資料。客戶可將角色指派給使用者以限制 Worry-Free Services 的存取權,包括但不限於授與支援存取權、啟動回應動作、從端點蒐集檔案,以及將使用者限制為擁有唯讀存取權。
靜態資料受其所在雲端的原生雲端技術保護。客戶資料會在擷取期間標記為「客戶 ID」,以做為資料架構的一部分。趨勢科技應用程式的內部資料存取層需要此「客戶 ID」參數來存取資料。此措施可保護客戶資料不被任何他方所存取,因為查詢一次只能存取一個「客戶 ID」。客戶與服務互動時不會直接提供「客戶 ID」,這會由應用程式自己處理。如此可確保惡意行為者無法透過錯誤的客戶 ID 存取另一個資料集。
Worry-Free Services 會儘可能使用 TLS 1.2 來傳輸資料。
支援的加密:
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256

資料隔離

所有客戶資訊都會加以隔離,以確保客戶只能存取自己的資料。客戶資料會在擷取期間標記為「客戶 ID」,以做為資料架構的一部分。趨勢科技應用程式的內部資料存取層需要此「客戶 ID」參數來存取資料。此措施可保護客戶資料不被任何他方所存取,因為查詢一次只能存取一個「客戶 ID」。客戶與服務互動時不會直接提供「客戶 ID」,這會由應用程式自己處理。如此可確保惡意行為者無法透過錯誤的客戶 ID 存取另一個資料集。
客戶聯絡方式(例如他們的電子郵件信箱)會在靜態時進行加密以確保機密性。由 Worry-Free Business Security Services 所蒐集的資料列於 Worry-Free Business Security Services 資料蒐集注意事項

資料加密

Worry-Free Business Security Services 處理的資訊在傳輸和處於靜態時都會進行加密,再傳送到客戶在初始設定期間所選地區中的 Worry-Free Business Security Services 節點。
靜態:靜態資料受 AWS 的原生雲端技術保護(例如資料庫和備份)。
傳輸中Worry-Free Business Security Services 與客戶 Security Agent 之間的所有通訊會透過使用 TLS 1.2 的安全 HTTPS 連線傳輸

資料存取

進出所有趨勢科技辦公室和存取所有網路均受到嚴格控制,只有獲得授權的人員或在陪同下方可進入。透過鑰匙卡系統提供進出,在進入敏感區域之前需獲得核准。Worry-Free Business Security Services 基礎架構託管於 AWS。
Worry-Free Business Security Services 託管於一個高度受限的子網路中,無法直接存取 Internet。只有一組有限的管理員有權存取 Worry-Free Business Security Services 以執行維護工作。操作員存取是透過安全的加密連線完成的,並透過多層網路和存取控制進行保護。
存取範圍僅限於某些允許的 IP 位址,並使用 Trend Micro Deep Security (Trend Micro Cloud One Endpoint & Workload Security) 監控存取。任何可疑的存取都會產生警訊,並根據事件管理程序對警訊進行調查。
禁止使用轉包商進行 Worry-Free Business Security Services 的開發或運作。

安全記錄檔

Worry-Free Business Security Services 使用 Trend Micro Cloud One Agent 進行監控:惡意程式防護、網頁信譽評等服務、入侵防護、活動監控、完整性監控和記錄檔檢測。透過 Microsoft Azure 提供的原生安全服務監控和記錄對基礎架構的所有存取。
Worry-Free Business Security Services 會啟用自動警訊並僱用隨時待命的人員。每天都會審查所有系統的安全記錄檔。如果懷疑發生安全事件,將立即向趨勢科技安全作業中心 (SOC) 報告。根據可疑事件的嚴重性,決定潛在事件的優先順序,並指派 SOC 團隊和技術專家進行調查。
這些記錄檔會保留在託管 Worry-Free Business Security Services 帳號的地區中,客戶無權存取這些記錄檔。如需 Worry-Free Business Security Services 涵蓋哪些地區的詳細資訊,請參閱 Worry-Free Business Security Services 資料蒐集注意事項

資料保留

關於記錄檔保留,Worry-Free Business Security Services 採用保留策略,一旦收集資料的目的不再需要這些資料,就會將其清除。Worry-Free Business Security Services 會將收集到的原始資訊保留 30 天。使用授權過期後,所有資料將在 60 天 (30 天寬限期和 30 天鎖定期) 後自動刪除。

資料備份

Worry-Free Business Security Services 資料庫會每天備份,且多份分開保留。根據災難復原目的,定期執行備份資料的驗證測試。備份標準和政策、程序以及控制都會在內部由第三方評估人員進行驗證、記錄及稽核。

災難復原和業務永續性 (DR)

趨勢科技根據 BIA 的結果準備資訊處理作業 BCP,並且每一年至少執行一次 BCP 演練。我們的 ISO 27001 認證涵蓋了 BCP。
Worry-Free Business Security Services 具有以下目標:
  • 復原時間目標 (RTO) — 2 小時
  • 復原點目標 (RPO) — 24 小時
資料庫具有即時複寫和每日備份,以緩解問題。

刪除資料

若要提交資料刪除要求,請造訪:
https://www.trendmicro.com/zh_tw/about/trust-center/privacy/gdpr/individual-rights.html
ISO 27001 包含資料銷毀相關規定。Worry-Free Business Security Services、Microsoft Azure 及 AWS 均符合 ISO 27001 標準。
客戶可以傳送電子郵件給趨勢科技 (gdpr@trendmicro.com) 來提出個人資料刪除要求。

員工訓練

Worry-Free Business Security Services 軟體開發人員均接受安全編碼實務做法訓練,這些訓練使用以 SANS 25/OWASP Top 10 為基礎的產業標準課程。教育訓練活動每年實施,有員工加入公司時也會實施。所有員工都必須遵守趨勢科技 Internet、電腦、遠端存取和行動裝置合宜使用政策。未遵守這些政策的員工將受到紀律處分,包括解僱。Worry-Free Business Security Services 開發團隊聘用專門人員來處理產品安全問題。安全測試、安全程式碼審查和威脅建模皆為開發生命週期的一部分。如需我們安全編碼最佳實務做法的詳細資訊,請參閱 趨勢科技 Trust Center 的「法規遵循」部分
趨勢科技遵守以下密碼策略和標準:
  • 所有密碼必須至少每季變更一次。
  • 密碼不得插入電子郵件或其他形式的電子通訊中。
  • 密碼不得共用或透露給任何人。
  • 如果懷疑有洩密情事發生,須立即變更密碼。
  • 密碼在傳輸過程中必須加密,並使用 salt 進行雜湊儲存。
  • 密碼長度必須至少為八個英數字元。
  • 密碼必須同時包含大寫和小寫字元(例如,a-z、A-Z)。
  • 強制執行禁止重複使用舊密碼。
  • 不得使用個人資訊、家庭姓名等做為密碼。

變更控制

確保我們的客戶可以持續以安全、可靠的方式獲得最新的安全功能,是我們團隊的首要任務。我們除了導入以程式碼審查、功能測試和規模測試為核心的開發實務做法,還有我們的弱點掃瞄和滲透測試之外,還採取了許多步驟來確保以安全且可控制的方式推出任何服務更新。所有服務更新都會以小型增量更新的形式推出,這些更新會先推行到預備環境,然後再推行到生產環境。所有變更都受到密切監控,我們也制定了多道程序(包括自動和手動),以處理可能出現的情況。服務的所有更新都會清楚透明地介紹給客戶,並且能在發生任何無法預料的問題時,以一目了然的方式復原。
Worry-Free Business Security Services 環境中的應用程式升級會在我們達成品質目標後完成。趨勢科技使用最佳實務做法進行任何變更,包括完整備份和核准流程。Worry-Free Business Security Services 具有多個專用開發和測試環境。要求的任何變更都會先由技術相關人員審查,並判定變更的急迫性和潛在影響。所有變更一律需有文件形式的退場計畫。這些變更會在變更控制系統中進行追蹤和記錄。

弱點管理

我們會持續監控並追蹤弱點。每個弱點都會指派有一個 CVSS 分數。修補要求會根據以 CVSS 為基礎的嚴重性指定解決弱點的時間範圍,這些要求會包含在安全開發合規策略中。Worry-Free Business Security Services 環境中的 Worry-Free Business Security Services 軟體會每兩週更新一次,以使用最新可用的程式碼庫,其中包括弱點修正。Worry-Free Business Security Services 團隊會負責修補 Worry-Free Business Security Services 軟體及支援 AWS 服務。客戶應負責更新部署在其工作負載上的 Security Agent。

程式碼分析

趨勢科技原始碼透過靜態程式碼分析,使用 Fortify、BlackDuck 等產業標準工具進行掃瞄,這些工具會部署在每個開發階段。此外,趨勢科技有一個 Project Legal & Vulnerability Review System (PLVRS) 內部系統,用於識別第三方弱點。安全測試、安全程式碼審查和威脅建模也是所有趨勢科技產品開發生命週期的一部分。
Worry-Free Business Security Services 從開發階段到每次發佈,全程都經過嚴格的品質檢查。發佈後,團隊會每週自動執行弱點掃瞄。使用 CVSS 評分對弱點的嚴重性進行分等。重大弱點必須在一個月內修正,或透過緩和或因應措施解決。

Web 應用程式評估

趨勢科技資安團隊使用領先的動態分析安全工具,每年對任何主要版本的 Worry-Free Business Security Services 進行至少一次的 Web 應用程式評估。
如需我們的弱點回應計畫詳細資訊,請參閱趨勢科技弱點回應網站。

事件回應

趨勢科技擁有專門的資安 (InfoSec) 團隊,負責確保遵守趨勢科技安全策略。發現安全事件後,Worry-Free Business Security Services 工程師會立即聯絡資安 (InfoSec) 團隊。此外,資安團隊也會獨立監控 Worry-Free Business Security Services 環境記錄。如果發現安全事件,就會根據嚴重性決定事件的優先順序。我們會指派專門的技術專家團隊進行調查、就防堵程序提出建議、進行鑑識和管理溝通。團隊會在事件發生後檢查根本原因,並隨之修改回應計畫。如果發生涉及客戶資料的違規行為,趨勢科技將遵守 GDPR 規定的義務。如需詳細資訊,請參閱趨勢科技 GDPR 法規遵循網站。

認證

ISO 27001、ISO 27014、ISO 27034-1、ISO 27017 和 SOC2

趨勢科技和趨勢科技雲端服務每年都會接受可信賴的外部稽核人員的稽核,以確保我們遵守產業最佳實務做法。ISO 27001 是一項全球標準,用於定義趨勢科技的整體資訊安全管理系統。ISO 27001 涵蓋人力資源安全、存取控制、運作安全和資訊安全事件管理等項目。SOC Type II 認證用於驗證對我們 IT 系統的安全控制,包括趨勢科技內部系統及其 SaaS 產品。SOC Type II 控制包括安全(防火牆、IPS 等)、可用性(災難復原和事件處理)、機密性(加密和存取控制)、隱私和處理完整性(品質保證)等項目。
Worry-Free Business Security Services 已通過 ISO 27001、27014、27034-1 和 27017 認證。您可以在 趨勢科技 Trust Center 的「法規遵循」部分找到合規認證。
Worry-Free Business Security Services 已完成 SOC 2 Type II 評估,您可以在 趨勢科技 Trust Center 的「法規遵循」部分找到 SOC 3 報告和 SOC 2 報告申請表。