数据安全与保护

1. 概述

六媒体科技有限公司致力于维护最高标准的数据安全。本政策概述了我们为保护客户数据、财务信息和个人数据免受未经授权的访问、丢失或滥用而实施的技术和组织措施。

2. 加密与数据保护

• 传输中：客户与我们系统之间传输的所有数据均使用TLS 1.2/1.3加密
• 静态存储：敏感数据使用AES-256加密进行加密
• 支付数据：信用卡信息通过符合PCI-DSS 1级标准的支付处理器处理，绝不存储在我们的服务器上
• API通信：所有API端点使用HTTPS并配合证书固定

3. PCI-DSS合规

我们遵守支付卡行业数据安全标准（PCI-DSS）：

• 支付卡数据完全由经认证的PCI-DSS 1级服务提供商处理
• 卡号进行令牌化处理，绝不存储在我们的系统中
• 定期进行PCI合规评估
• 对任何支付相关系统实施严格的访问控制

4. 访问控制

• 身份验证：所有管理访问均需多因素身份验证（MFA）
• 基于角色的访问：员工仅访问其角色所需的数据（最小权限原则）
• 会话管理：敏感操作的自动会话过期和重新验证
• 密码策略：强密码要求并定期更换
• 审计跟踪：全面记录所有系统访问和数据修改

5. 基础设施安全

• 云安全：托管在具有SOC 2 Type II认证的企业级云基础设施上
• 防火墙：多层防火墙保护，配备入侵检测/防御系统
• DDoS防护：企业级DDoS缓解服务
• 漏洞管理：定期漏洞扫描和渗透测试
• 补丁管理：及时应用安全补丁和更新

6. 监控与检测

• 24/7安全监控和告警
• 实时威胁检测和响应
• 自动化异常检测以发现异常访问模式
• 定期审查安全日志和审计跟踪

7. 数据泄露响应

在发生数据泄露时，我们遵循结构化的事件响应计划：

1. 检测与遏制：立即识别和隔离受影响的系统
2. 评估：评估泄露的范围、性质和影响
3. 通知：在72小时内通知受影响的个人和相关监管机构（包括香港个人资料私隐专员公署）
4. 补救：实施防止再次发生的措施
5. 事后审查：对事件进行全面分析和记录

8. 员工安全

• 对所有处理敏感数据的员工进行背景调查
• 入职时及每年进行强制性安全意识培训
• 保密协议和保密义务
• 清洁桌面政策和安全工作站实践
• 员工离职时立即撤销访问权限

9. 第三方安全

所有第三方服务提供商均需接受安全评估，包括：

• 合作前的尽职调查审查
• 具有安全要求的数据处理协议
• 定期合规验证
• 关键供应商需具备SOC 2或同等认证

10. 业务连续性

• 定期数据备份，具有地理分布的冗余
• 灾难恢复计划，具有明确的RPO和RTO目标
• 年度业务连续性测试和演练

11. 联系方式