能力為何選擇CINNOX商業用例定價合作夥伴博客
說明文件
English免費試用

安全和驗證

Suggest Edits

CINNOX打破界限,提供統一平台,聯繫全球消費者,令使用者有效輕易溝通。

CINNOX為功能強大的雲端客戶服務平台,提供穩健的通話和訊息功能予企業的網站和應用程序,從而在服務供應商和客戶之間,建立更好的互動。

CINNOX結合通話和聊天功能,你可以和客戶共同在多頻道平台交談和聊天。當你的客服在流動裝置上的瀏覽器使用CINNOX,或直接使用其應用程式,便可以任何時間支援客戶。

安全和有效通訊同樣重要。我們重視數據安全,責無旁貸,以超於行業標準的要求,保護你的數據。

多年來不少大小企業均滿意我們的服務,當中包括《財富》世界500強 (Fortune 500) 的企業。

我們的服務不僅達到甚至超越他們的要求和期望,我們為此自豪。這從我們在通訊業界獲得的證書得以證明。

 

共同安全責任

安全和遵守規定為「你」身為客戶,以及「我們」身為軟體即服務供應商(SaaS Provider) 的共同責任。

CINNOX的責任在於「運作CINNOX服務的安全」- CINNOX負責保護提供服務的基礎建設,包括數據、軟件、硬件、網絡,以及設備。

客戶的責任在於「使用CINNOX服務的安全」- 客戶的責任取決於如何使用和調配功能。這方面的配置決定了部份的安全責任。

2130

共同安全責任

 

基礎建設

IT基礎建設是CINNOX服務的根本。穩健的IT服務有賴穩健的IT基礎建設。

我們的IT基礎建設由以下部份組成:

  • 容量規劃
  • 可用性規劃
  • 持續性規劃
  • 安全性規劃
  • 商業增長規劃

當我們建立基礎建設時,慎重考慮了技術和商業上的需要,確保符合行業標準,以及業務需要。我們的網絡設備安裝於多個專用數據中心,這些設備包括:交換器(Switch)、伺服器,以及其他網絡設備,以提供CINNOX服務。我們的數據中心均符合ISO 9001、ISO 27001,以及ISO 20000標準。

CINNOX也使用多個公眾雲端提供更好服務。這些一級數據中心均符合當地的規定。

 

防火牆兼容性

CINNOX使用多個標準協定 (Protocols)交換訊息和通話。這些協定均能夠通過防火牆。

我們會使用常用的連接埠 (Ports),防止防火牆或Proxy伺服器阻擋流量 (Traffic)進入。通話流量使用SIP 協定 (SIP Protocol)通過HTTPS (443連接埠)進入,從而交換來源 (Source)和目的地 (Destination)號碼。只要連接通話,媒介交換會使用UDP 10000 - 50000進行,確保資料包傳輸層安全(DTLS-SRTP)。

訊息交換通過HTTPS (443連接埠),並使用WebSocket進行。

 

客戶安全

每位客戶均擁有一個不會重複的網域 (Domain)和服務編號 (Service ID)。當訪客點擊懸浮圖標的按鈕時,我們會給予每位客戶一個與網域關聯而且不會重複的編號。授權後,當他們再次瀏覽你的網頁後,他們的身份便能夠確認。然而,客戶獲取的數據完整性(Data Integrity) 需要界定,每次進入網頁時需檢查身份。

由於客戶之瀏覽器可使用客戶數據,有見及此,我們執行了高規格的保安機制,減低擅自使用客戶數據的風險。

每次當客戶進入網頁時,不會重複的權杖 (Token)只供使用一次。當客戶再次進入該網頁時,權杖會再次發出予客戶。我們亦可以利用永久存放區 (localStorage),防止連線劫持(Session Hijack)。

安全功能:

  • 跨地域識別
  • 安全的數據加密
  • 安全的身份驗證
    • 多重身份驗證 (Multi-factor authentication)
    • 利用客服或訪客的IP位置或電話號碼作存取控制 (Access Control)
    • 密碼原則 (Password Policy)
    • 結合第三方驗證系統 (OAuth 2.0)
  • 審計日誌 (Audit Log)
  • 數據保存
  • 自訂角色和權限
  • 私人和公開群組
  • 安全設定不同上限,如更改每分鐘的通話或訊息次數 (高級節流系統)
  • 詐騙電話偵測和封鎖
  • 免費分散式阻斷服務攻擊 (DDoS)保護系統

受保護的客服/管理員進入範圍:這個區域的控制面板 (Control Panel)需要使用者名稱和密碼方可進入,而且有嘗試登入次數限制。如此,管理員可以定義密碼原則 (密碼歷程記錄 (Password History)、密碼最短使用期限 (Password Age),以及帳戶鎖定閥值 (Lockout Threshold))。此外,管理員可以仔細分配客服和管理員角色,亦可自訂角色。

管理員有權許可或封鎖指定客服或訪客的IP位置,或電話號碼進入。

群組安全: 訪客或客服建立新群組後,檢查以下步驟:

  • 檢查訪客是否來自垃圾訊息
  • 建立加密群組,通知客服有關安全頻道
  • 交談期間加密訊息和通話
  • 防止發送大量訊息和諮詢,以誤當為發送垃圾訊息 (速率限制)
  • 數據傳輸中加密 (Data encryption in transit) (經SSL Labs 認證TLS v1.3達A+評級)
  • 以金鑰輪替 (Key Rotation)作靜態加密數據 (Data encryption at rest)
  • 通知不重複使用的房間ID予群組參與者

通話安全: CINNOX使用VoIP (Voice-Over-Internet-Protocol)網絡電話提供高質素通話服務。

功能:

  • 高質素/可靠的編解碼器,提供高清編解碼,同時低耗費頻寬。如此,頻寬能同時用於後備編解碼
  • AES-256 bit TLS v1.3 數據加密 (亦支持TLS v1.2) – 經SSL Labs 認證達A+評級
  • 媒體加密 (DTLS-SRTP)
  • 靜態加密保護數據
  • 詐騙電話偵測和封鎖
  • 使用全球號碼封鎖名單防止垃圾電話
  • 使用不重複的EID標示來源和目的地電話號碼以防止垃圾電話
  • 使用AES-256加密密鑰生成不重複的暫時SIP (Session Initiation Protocol) 帳號

 

管理權控制

CINNOX有著多年保護客戶的經驗,免於他們受成千上萬黑客攻擊。 CINNOX已經執行了多項功能保護你的帳號,你亦有責任使用這些有關管理權控制的功能保護自己。

我們提供以下功能內部管理你的數據存取:

  • 配合指定角色建立員工帳號
  • 自訂員工角色和權限
    • 建立組別
    • 建立不同部門
    • 編配不同角色予不同部門
  • 暫停員工帳號
  • 可執行多重身份驗證
  • 員工登入前強制要求他們啟用多重身份驗證
  • 監察員工使用量
  • 檢查和審計與每位員工相關的收費
  • 提供唯讀審計跟蹤(Audit Trail)記錄不同更改
    • 具備匯出功能將記錄匯入到安全性資訊與事件管理(SIEM)

 

你可以自訂以下功能以防可疑活動造成影響:

  • 錯誤的登入嘗試後封鎖登入
  • 限制訪客諮詢數目
  • 限制訪客訊息數目
  • 預設偵測和封閉詐騙來電
  • 封閉有宿舍IP位置的請求 (Request)
  • 偵測跨地區的垃圾訊息

 

此外,你可以啟用數據保存功能將你的數據存檔。

  • 當你使用數據保存功能時,有責任管理和維護你在辦公室內運作的SFTP伺服器 (例如:在地托管的伺服器,或後備網站。)

 

安全性資訊與事件管理與資訊安全監控中心(SOC)

安全性資訊與事件管理工具是數據安全生態系統的基本和必須部份:它儲存來自不同系統的日誌,並且分析這些日誌以捕捉不正常行動,或潛在的網絡攻擊。它集中於監察和協助管理使用者以及服務優先權、目錄, 以及其他系統配置上的更改和提供日誌審計和意外回應。

安全性資訊與事件管理工具的好處是,識別嘗試進入我們平台的攻擊者或黑客。從黑客開始嘗試進入平台,直到在不同平台封鎖他們為止,我們均可以偵測它們。

479

 

在CINNOX的應用實例

  • 從所有裝置和應用程式蒐集日誌
  • 相互關聯 (Correlate)日誌並找出不正常行為
  • 利用人工智能 (AI)尋找網絡攻擊
  • 鑑識 (Forensics)功能 - 為事故回應 (Incident Response)作決定和報告
  • 利用人工智能演算法偵測並防止詐騙訊息

為何我們在CINNOX使用安全性資訊與事件管理?

有了安全性資訊與事件管理,我們可以偵測網絡攻擊, 利用人工智能自動阻擋有害流量。此外,我們發出警報予保安團隊,以及客戶,通知他們留意事件。

CINNOX的安全性資訊與事件管理,減少資源使用,即時回應事件,以及控制損失,大大改善事件回應的效率。

 

資訊安全監控中心

我們的SOC團隊擁有高水平網絡保安技術,能進入不同系統,包括:安全性資訊與事件管理,防止身份盜用,以及阻止事故發生。

在CINNOX,我們的24/7 SOC團隊擁有保安證書如CEH、CISSP、OSCP和SANS。

我們的保安團隊分成不同級別。第一級別是監察圖表和警號。當發出保安警號時,他們會分析和發出報告予下一級別,從而調查和作出行動。行動可能是封鎖黑客,或鑑識過程以及事故處理。

579

 

私隱與符合規定

保護客戶的私隱是CINNOX的首要任務,我們承諾提供強大的保護,保障個人私隱,以符合《個人資料(私隱)條例》(香港法例第486章),以及歐盟第2016/679號條例《通用數據保障條例》的規定。

確保你的數據私隱安全是重要的責任,我們感謝你對我們的信任。

CINNOX集團的私隱條例完全透明。我們承諾保障個人私隱,以及保證個人資料只用於客戶同意的項目上。

CINNOX保證使用最佳科技和方法保護客戶數據。

CINNOX符合的規定

150

ISO 27001

ISO 27001

ISO 27001 是有名的標準,提供資訊安全管理系統 (Information Security Management System)的規定。

資訊安全管理系統,系統地管理客戶敏感資料,以保障他們資料的安全。這個系統應用危機管理的流程,管理人士、程序, 以及IT系統。

CINNOX在以下各方面達到規定:

  • 清晰的安全政策
  • 安全的文件管理和溝通
  • 資訊安全事故管理
  • 業務連續性管理 (Business continuity management) (這是建立防止組織受威脅,以及組織從潛在威脅中回復過來的過程。)
  • 存取控制
  • 安全的資產管理
  • 安全的開發和保養過程

 

150

ISO 9001

ISO 9001

CINNOX已取得ISO 9001品質管理系統認證。這個國際認可的標準建基於幾項品質管理原則,包括:高度客戶主導、組織髙層的驅動力和影響、流程取向,以及持續改進。

 

150

ISO 20000

ISO 20000

CINNOX已取得ISO 20000資訊服務管理系統認證。它定了综合框架,銜蓋多個管理流程,包括:服務持續性和可用性 (Continuity and availability of service)、資訊安全、服務配置、事故處理 (Incident Handling),以及商業關係 (Business Relationship),以提供穩定、可靠和高質素IT服務。

 

ISO 27017

ISO 27017

ISO 27017
CINNOX已取得ISO 27017認證,證明我們承諾提供安全的雲端服務,以及穩健的數據控制。這項成績代表CINNOX,一直在業界追求最新和最嚴謹的安全標準。

 

150

GDPR

 

GDPR

《通用數據保護條例》(GDPR) 是全世界最嚴謹的私隱和安全法例。

《通用數據保護條例》首要目標是給個人數據控制權予個體,以及在歐盟國家內擁有統一的法例,這樣對國際商務來說,簡化了監管環境。

CINNOX保證:

  • 根據《通用數據保護條例》,個人數據儲存在安全和合適地方
  • 蒐集最少數據改善產品
  • 清楚和簡化的政策
  • 當刪除或編輯個人數據時通知客戶
  • 一旦資料外洩通知客戶

 

其他安全措施

培訓

每年我們均為員工舉行資訊安全意識培訓,亦會每月出版相關通訊。開發者需通過多個資訊安全培訓,確保他們的工作規範符合資訊安全。

安全滲透測試

保安公司和黑客多次測試CINNOX,確保我們的系統安全,此外,我們亦保護網站,免於被入侵,而造成如「OWASP TOP 10」的風險。

公司例子:
瑞豐科技: https://www.infocean.com/?lang=zh-hant
永盛科訊: https://ringus-solution.com

我們每天均在入網點 (Point-of-Presence)測試漏洞,確保新部署和資料庫為最安全版本,從而免於攻擊。

我們有漏洞回報獎勵計畫 (Bug Bounty Program)。當你找到漏洞,請電郵至[email protected]聯絡我們。讓我們分析漏洞,你亦會收到奬金。

政策

我們定下了多項員工政策。

敏感資料庫的登入資料,只可以由獨立一方提供予可信的員工,而且可以透過審核紀錄審查。

我們內在的政策和密碼管理員經經理批准後,可以發出一個具時間性的登入資料,供員工使用。這個帳號只供使用一小時,之後便失效。

員工僱傭合約包括保密條款。

重要的資產如敏感數據包括客戶數據,只能夠從安全的環境內存取。這個環境阻絕互聯網,而且受多重保安控制保護。

當重要的管理人員放假時,要確保後備管理人員完成資訊安全訓練,以免網絡詐騙出現時無人處理。

Updated over 1 year ago