Ragic 資安措施說明

Ragic 採取了多種措施來保護資料安全，以下我們從資安認證、資安合規、主機實體安全性、資料儲存安全性、網路與系統安全性、程式架構安全性、人員安全性、備份與防災、私有主機等各面向說明。

ISO 27001 認證

ISO/IEC 27001《資訊科技—安全技術—資訊安全管理系統—要求》是國際上最廣泛使用的資安標準，其列出有關資訊安全管理系統架構、實施、維護以及持續改善上的要求，目的是幫助組織可以使其保管的資訊資產更加安全。

Ragic 已取得 ISO/IEC 27001：2022 認證，並依循相關治理方法施行資訊安全保護防治，可在此網頁查看相關資訊，點此連結下載證書。

Data Privacy Framework 美國歐盟隱私盾認證

《美國歐盟隱私盾框架》與《美國瑞士隱私盾框架》簡稱隱私盾（Data Privacy Framework），提供符合歐洲資料保護要求的資訊傳輸處理方式。

Ragic 已取得上述隱私盾認證，從歐洲經濟區、英國、瑞士轉移到美國的個人數據的收集、使用和保存均遵循相關框架。關於 Ragic 此份認證的詳細說明，可至此頁面查詢 Ragic。

GDPR 合規

GDPR 全名為《一般資料保護規則》（General Data Protection Regulation），是在歐盟法律中針對歐盟個人資料保護和隱私的規範。

Ragic 符合 GDPR 規範，實施資料刪除請求處理程序、軟體個人身份資訊保護審查程序、用戶資料庫資料傳輸程序，保障刪除、拒絕追蹤、資料可攜權。同時，Ragic 定期評估風險、具有完整資安措施，Ragic 的隱私政策頁面亦詳述個人資料處理原則。

另外，Ragic 歐洲用戶資料庫位於歐洲伺服器，其他區域用戶若有特殊需求亦可洽詢將資料庫移至歐洲伺服器。

HIPAA 合規

Ragic 資安規範亦遵循美國《健康保險便利及責任法案》（Health Insurance Portability and Accountability Act，簡稱 HIPAA），保障處理、存放和傳輸受保護醫療資訊 (PHI) 流程。

Ragic 的主機服務提供商 AWS、GCP 資安流程亦遵循相關規範，有需要時可簽署業務合作協議（BAA）。

主機實體安全性

Ragic 的主機是由世界級的公有雲服務商 Google、AWS 提供，在主機實體安全上的特色包括：

1. 通過 ISO 27001, SOC1, SOC 2, SOC 3, PCI DSS v3.0 等認證

2. 超過五百人的專業資安團隊

3. 24/7 全年無休實體主機影像監控、電子化門禁、生化認證、實體柵欄、金屬偵測器偵測

4. 定期雲端軟體弱點掃描服務

資料儲存安全性

此部分措施包括：

資料儲存加密：所有寫入硬碟的資料都經過加密，符合ISO 27001, SOC 1, SOC 2, and SOC 3 等規範。

RAID 硬碟：所有資料即時存到多顆RAID硬碟上，不會因為硬碟損毀造成任何資料的消失

伺服器備份：每一台伺服器每天都會固定自動做完整備份

資料庫備份：每位客戶的資料庫，每天另外會自動單獨異地備份到不同區域的儲存空間，確保資料安全

網路與系統安全性

此部分措施包括：

傳輸SSL加密：所有傳輸都支援HTTPS/SSL加密、敏感資料傳輸時自動強迫使用加密傳輸

應用層入侵偵測：進入主機的封包，都會經過嚴格的防火牆設定，以及特殊的入侵偵測程式，即時阻擋惡意的連線

完整內控紀錄：所有連線都有完整的內控紀錄，隨時供資訊安全人員查閱；定期分析可能的惡意行為，調整防止入侵策略

程式架構安全性

此部分措施包括：

資料庫安全：Ragic 資料庫特殊的設計，完全不支援 SQL，因此絕對沒有任何 SQL 相關的 injection 安全性問題。同時，Ragic不同客戶的資料庫，都存在於完全分離的資料庫檔案上，確保沒有任何資料庫應用面上的資料漏洞。

定期弱點掃描：Ragic 與配合廠商，會針對主機進行整體的定期安全性妨駭弱點偵測掃描，確保系統防護狀態良好

定期安全更新：Ragic 系統管理員隨時會根據最新的資訊安全通報，進行系統安全更新，確保您的主機不受最新發現的漏洞影響安全性

人員安全性

此部分措施包括：

資料授權：若沒有經過您的授權，任何人包括Ragic的技術人員都不能存取您資料庫中的資料（在提供技術支援的時候，預設我們只能看到您資料庫的設計，而沒有裡面的資料）。

無資料庫介面：Ragic 使用的資料庫型態特殊，完全沒有任何一般資料庫的查詢維護介面。因此沒有任何透過資料庫後端，在您不知道的形況下存取資料庫的可能性。

完整內控紀錄：所有資料存取都有完整的內控紀錄，隨時供資訊安全人員查閱

備份與防災

此部分措施包括：

系統整體定期備份：Ragic 每台伺服器都有完整的每天以及每週整體備份，確保任何災難下資料都能夠還原

帳號資料庫定期備份：專業版以上的用戶，另外還有自己帳號資料庫的「每日」、「每週」、「每雙週」的自動異地，異廠商備份，確保任何情況都能夠找回自己的資料，帳號資料庫的自動備份也提供您隨時手動下載或是進行還原

手動備份：Ragic 也提供專業版以上用戶手動資料庫備份的功能，讓您可以隨時下載您的資料庫完整備份；並也提供專業版以上用戶手動異地備份功能，讓您隨時可以把整個資料庫，備份到另一個不同地點的不同雲端廠商的備份系統上。

私有主機

若貴公司有一些資料的特殊考量，並且具備良好的主機維護能力，以及資訊安全知識，可以選擇採用私有主機版（地端版本），相關說明請見這裡。