TapPay - 資訊安全

本公司依據PCI DSS V3.2及ISO 27001為基準制定相關資訊安全政策。相關人員於制定或執行政策所規範之事項時，將遵守包括但不限於PCI DSS、「個人資料保護法」、公司營運法令及與客戶合約等相關規範。

資訊安全政策：

本公司成立『資訊安全管理委員會』，負責本資訊安全管理系統之整體規劃，並編列人員成立『資訊安全工作小組』執行之。若有特殊或重大事件發生時，『資訊安全管理委員會』將召集相關人員舉行不定期的會議討論。

確保本公司主機、網路設備及網路通訊安全，有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險，並建立資通安全管理規範。

確保持卡人資料之機密性、完整性與可用性。

規範系統主機進行弱點偵測、補強作業時，所需遵守之作業規範及相關權責規劃，以降低因系統主機技術弱點而引發之攻擊的衝擊。

督導全體同仁落實資通安全管理工作，每年持續進行適當的資通安全教育訓練，建立「資通安全、人人有責」的觀念，促使同仁瞭解資通安全之重要性，促其遵守資通安全規定，藉此提高資通安全智能及緊急應變能力，降低資通安全風險，達持續營運之目標。

確保資料安全、規劃資料備份與異地備援作業，避免因資料損壞造成損失。

建立密碼及金鑰管理控制措施，以防止不當存取及使用之安全性，確保資料加密之安全與完整。

測試及營運環境進行區隔，以降低營運系統受未經授權存取或變更之風險；監控、調配各項資源的使用與系統技術弱點資訊，採取適當改善措施，並建立對惡意軟體之偵防及復原等措施。

建立資訊資產風險評鑑之標準，以鑑別資訊資產之弱點及威脅而導致之風險，並依據評鑑結果採取對策或控制措施，降低資訊資產遭受損害的風險。

建立資訊資產清冊，並符合相關法令法規要求，使其免於遭受內、外部的蓄意或意外之威脅，以保障本公司所屬利害關係人之權益。

每年定期執行稽核，確保ISMS的各項管制目標、控制措施、運作過程以及各項程序是否皆符合規範。