1. 控制框架
平台參照 ISO 27001、OWASP ASVS、NIST CSF 建立資安控制;並依風險評估結果持續修訂。
2. 存取控管
採最小權限原則;管理員後台與品牌主後台以獨立 JWT Cookie 區分;所有員工訪問採雙因素驗證並紀錄審計日誌。
3. 加密
傳輸採 TLS 1.2 以上;靜態資料採 AES-256;Cloudflare R2 採 presigned URL 限時存取;密碼採 bcrypt / argon2 雜湊;敏感欄位額外加密。
4. 弱點管理
依賴套件採 Snyk / Dependabot 監控;對外介面每季進行自動化掃描,必要時委由第三方執行滲透測試。
5. 事故分級
P1(嚴重):個資外洩、服務全面中斷。
P2(重大):特定功能無法使用、金流錯誤。
P3(一般):部分使用者延遲或輕微異常。
P4(低):內部監控告警或系統疑似異常。
6. 通報時限
P1:知悉後 24 小時內通知受影響品牌主與主管機關(若法令要求);依個資法最遲 72 小時內完成初步通報。
P2:知悉後 48 小時內通知。
P3 / P4:於事故結案後彙整通報。
7. 處置與補救
建立事故指揮(Incident Commander)制度,進行隔離、止血、鑑識、根因分析與復原;重大事故後 14 日內提供品牌主事後報告(Post-mortem)。
8. 聯絡窗口
資安通報:security@hypelink.app | 營運主體:HypeLink CO., LTD.(中文:宇浩有限公司)(統編 60359765)