安全和驗證
CINNOX打破界限,提供統一平台,聯繫全球消費者,令使用者有效輕易溝通。
CINNOX為功能強大的雲端客戶服務平台,提供穩健的通話和訊息功能予企業的網站和應用程序,從而在服務供應商和客戶之間,建立更好的互動。
CINNOX結合通話和聊天功能,你可以和客戶共同在多頻道平台交談和聊天。當你的客服在流動裝置上的瀏覽器使用CINNOX,或直接使用其應用程式,便可以任何時間支援客戶。
安全和有效通訊同樣重要。我們重視數據安全,責無旁貸,以超於行業標準的要求,保護你的數據。
多年來不少大小企業均滿意我們的服務,當中包括《財富》世界500強 (Fortune 500) 的企業。
我們的服務不僅達到甚至超越他們的要求和期望,我們為此自豪。這從我們在通訊業界獲得的證書得以證明。
共同安全責任
安全和遵守規定為「你」身為客戶,以及「我們」身為軟體即服務供應商(SaaS Provider) 的共同責任。
CINNOX的責任在於「運作CINNOX服務的安全」- CINNOX負責保護提供服務的基礎建設,包括數據、軟件、硬件、網絡,以及設備。
客戶的責任在於「使用CINNOX服務的安全」- 客戶的責任取決於如何使用和調配功能。這方面的配置決定了部份的安全責任。
基礎建設
IT基礎建設是CINNOX服務的根本。穩健的IT服務有賴穩健的IT基礎建設。
我們的IT基礎建設由以下部份組成:
- 容量規劃
- 可用性規劃
- 持續性規劃
- 安全性規劃
- 商業增長規劃
當我們建立基礎建設時,慎重考慮了技術和商業上的需要,確保符合行業標準,以及業務需要。我們的網絡設備安裝於多個專用數據中心,這些設備包括:交換器(Switch)、伺服器,以及其他網絡設備,以提供CINNOX服務。
CINNOX也使用多個公眾雲端提供更好服務。這些一級數據中心均符合當地的規定。
防火牆兼容性
CINNOX使用多個標準協定 (Protocols)交換訊息和通話。這些協定均能夠通過防火牆。
我們會使用常用的連接埠 (Ports),防止防火牆或Proxy伺服器阻擋流量 (Traffic)進入。通話流量使用SIP 協定 (SIP Protocol)通過HTTPS (443連接埠)進入,從而交換來源 (Source)和目的地 (Destination)號碼。只要連接通話,媒介交換會使用UDP 10000 - 50000進行,確保資料包傳輸層安全(DTLS-SRTP)。
訊息交換通過HTTPS (443連接埠),並使用WebSocket進行。
客戶安全
每位客戶均擁有一個不會重複的網域 (Domain)和服務編號 (Service ID)。當訪客點擊懸浮圖標的按鈕時,我們會給予每位客戶一個與網域關聯而且不會重複的編號。授權後,當他們再次瀏覽你的網頁後,他們的身份便能夠確認。然而,客戶獲取的數據完整性(Data Integrity) 需要界定,每次進入網頁時需檢查身份。
由於客戶之瀏覽器可使用客戶數據,有見及此,我們執行了高規格的保安機制,減低擅自使用客戶數據的風險。
每次當客戶進入網頁時,不會重複的權杖 (Token)只供使用一次。當客戶再次進入該網頁時,權杖會再次發出予客戶。我們亦可以利用永久存放區 (localStorage),防止連線劫持(Session Hijack)。
安全功能:
- 跨地域識別
- 安全的數據加密
- 安全的身份驗證
- 多重身份驗證 (Multi-factor authentication)
- 利用客服或訪客的IP位置或電話號碼作存取控制 (Access Control)
- 密碼原則 (Password Policy)
- 結合第三方驗證系統 (OAuth 2.0)
- 審計日誌 (Audit Log)
- 數據保存
- 自訂角色和權限
- 私人和公開群組
- 安全設定不同上限,如更改每分鐘的通話或訊息次數 (高級節流系統)
- 詐騙電話偵測和封鎖
- 免費分散式阻斷服務攻擊 (DDoS)保護系統
受保護的客服/管理員進入範圍:這個區域的控制面板 (Control Panel)需要使用者名稱和密碼方可進入,而且有嘗試登入次數限制。如此,管理員可以定義密碼原則 (密碼歷程記錄 (Password History)、密碼最短使用期限 (Password Age),以及帳戶鎖定閥值 (Lockout Threshold))。此外,管理員可以仔細分配客服和管理員角色,亦可自訂角色。
管理員有權許可或封鎖指定客服或訪客的IP位置,或電話號碼進入。
群組安全: 訪客或客服建立新群組後,檢查以下步驟:
- 檢查訪客是否來自垃圾訊息
- 建立加密群組,通知客服有關安全頻道
- 交談期間加密訊息和通話
- 防止發送大量訊息和諮詢,以誤當為發送垃圾訊息 (速率限制)
- 數據傳輸中加密 (Data encryption in transit) (經SSL Labs 認證TLS v1.3達A+評級)
- 以金鑰輪替 (Key Rotation)作靜態加密數據 (Data encryption at rest)
- 通知不重複使用的房間ID予群組參與者
通話安全: CINNOX使用VoIP (Voice-Over-Internet-Protocol)網絡電話提供高質素通話服務。
功能:
- 高質素/可靠的編解碼器,提供高清編解碼,同時低耗費頻寬。如此,頻寬能同時用於後備編解碼
- AES-256 bit TLS v1.3 數據加密 (亦支持TLS v1.2) – 經SSL Labs 認證達A+評級
- 媒體加密 (DTLS-SRTP)
- 靜態加密保護數據
- 詐騙電話偵測和封鎖
- 使用全球號碼封鎖名單防止垃圾電話
- 使用不重複的EID標示來源和目的地電話號碼以防止垃圾電話
- 使用AES-256加密密鑰生成不重複的暫時SIP (Session Initiation Protocol) 帳號
管理權控制
CINNOX有著多年保護客戶的經驗,免於他們受成千上萬黑客攻擊。 CINNOX已經執行了多項功能保護你的帳號,你亦有責任使用這些有關管理權控制的功能保護自己。
我們提供以下功能內部管理你的數據存取:
- 配合指定角色建立員工帳號
- 自訂員工角色和權限
- 建立組別
- 建立不同部門
- 編配不同角色予不同部門
- 暫停員工帳號
- 可執行多重身份驗證
- 員工登入前強制要求他們啟用多重身份驗證
- 監察員工使用量
- 檢查和審計與每位員工相關的收費
- 提供唯讀審計跟蹤(Audit Trail)記錄不同更改
- 具備匯出功能將記錄匯入到安全性資訊與事件管理(SIEM)
你可以自訂以下功能以防可疑活動造成影響:
- 錯誤的登入嘗試後封鎖登入
- 限制訪客諮詢數目
- 限制訪客訊息數目
- 預設偵測和封閉詐騙來電
- 封閉有宿舍IP位置的請求 (Request)
- 偵測跨地區的垃圾訊息
此外,你可以啟用數據保存功能將你的數據存檔。
- 當你使用數據保存功能時,有責任管理和維護你在辦公室內運作的SFTP伺服器 (例如:在地托管的伺服器,或後備網站。)
安全性資訊與事件管理與資訊安全監控中心(SOC)
安全性資訊與事件管理工具是數據安全生態系統的基本和必須部份:它儲存來自不同系統的日誌,並且分析這些日誌以捕捉不正常行動,或潛在的網絡攻擊。它集中於監察和協助管理使用者以及服務優先權、目錄, 以及其他系統配置上的更改和提供日誌審計和意外回應。
安全性資訊與事件管理工具的好處是,識別嘗試進入我們平台的攻擊者或黑客。從黑客開始嘗試進入平台,直到在不同平台封鎖他們為止,我們均可以偵測它們。
在CINNOX的應用實例
- 從所有裝置和應用程式蒐集日誌
- 相互關聯 (Correlate)日誌並找出不正常行為
- 利用人工智能 (AI)尋找網絡攻擊
- 鑑識 (Forensics)功能 - 為事故回應 (Incident Response)作決定和報告
- 利用人工智能演算法偵測並防止詐騙訊息
為何我們在CINNOX使用安全性資訊與事件管理?
有了安全性資訊與事件管理,我們可以偵測網絡攻擊, 利用人工智能自動阻擋有害流量。此外,我們發出警報予保安團隊,以及客戶,通知他們留意事件。
CINNOX的安全性資訊與事件管理,減少資源使用,即時回應事件,以及控制損失,大大改善事件回應的效率。
資訊安全監控中心
我們的SOC團隊擁有高水平網絡保安技術,能進入不同系統,包括:安全性資訊與事件管理,防止身份盜用,以及阻止事故發生。
在CINNOX,我們的24/7 SOC團隊擁有保安證書如CEH、CISSP、OSCP和SANS。
我們的保安團隊分成不同級別。第一級別是監察圖表和警號。當發出保安警號時,他們會分析和發出報告予下一級別,從而調查和作出行動。行動可能是封鎖黑客,或鑑識過程以及事故處理。
私隱與符合規定
保護客戶的私隱是CINNOX的首要任務,我們承諾提供強大的保護,保障個人私隱,以符合《個人資料(私隱)條例》(香港法例第486章),以及歐盟第2016/679號條例《通用數據保障條例》的規定。
確保你的數據私隱安全是重要的責任,我們感謝你對我們的信任。
CINNOX集團的私隱條例完全透明。我們承諾保障個人私隱,以及保證個人資料只用於客戶同意的項目上。
CINNOX保證使用最佳科技和方法保護客戶數據。
CINNOX符合的規定
GDPR
《通用數據保護條例》(GDPR) 是全世界最嚴謹的私隱和安全法例。
《通用數據保護條例》首要目標是給個人數據控制權予個體,以及在歐盟國家內擁有統一的法例,這樣對國際商務來說,簡化了監管環境。
CINNOX保證:
- 根據《通用數據保護條例》,個人數據儲存在安全和合適地方
- 蒐集最少數據改善產品
- 清楚和簡化的政策
- 當刪除或編輯個人數據時通知客戶
- 一旦資料外洩通知客戶
其他安全措施
培訓
每年我們均為員工舉行資訊安全意識培訓,亦會每月出版相關通訊。開發者需通過多個資訊安全培訓,確保他們的工作規範符合資訊安全。
安全滲透測試
保安公司和黑客多次測試CINNOX,確保我們的系統安全,此外,我們亦保護網站,免於被入侵,而造成如「OWASP TOP 10」的風險。
公司例子:
瑞豐科技: https://www.infocean.com/?lang=zh-hant
永盛科訊: https://ringus-solution.com
我們每天均在入網點 (Point-of-Presence)測試漏洞,確保新部署和資料庫為最安全版本,從而免於攻擊。
我們有漏洞回報獎勵計畫 (Bug Bounty Program)。當你找到漏洞,請電郵至[email protected]聯絡我們。讓我們分析漏洞,你亦會收到奬金。
政策
我們定下了多項員工政策。
敏感資料庫的登入資料,只可以由獨立一方提供予可信的員工,而且可以透過審核紀錄審查。
我們內在的政策和密碼管理員經經理批准後,可以發出一個具時間性的登入資料,供員工使用。這個帳號只供使用一小時,之後便失效。
員工僱傭合約包括保密條款。
重要的資產如敏感數據包括客戶數據,只能夠從安全的環境內存取。這個環境阻絕互聯網,而且受多重保安控制保護。
當重要的管理人員放假時,要確保後備管理人員完成資訊安全訓練,以免網絡詐騙出現時無人處理。
Updated 6 months ago