Ragic 资安措施说明

Ragic 采取了多种措施来保护数据安全，以下我们从资安认证、资安合规、主机实体安全性、数据保存安全性、网络与系统安全性、程序体系结构安全性、人员安全性、备份与防灾、私有主机等各面向说明。

ISO 27001 认证

ISO/IEC 27001《信息科技—安全技术—信息安全管理系统—要求》是国际上最广泛使用的资安标准，其列出有关信息安全管理系统体系结构、实现、维护以及持续改善上的要求，目的是帮助组织可以使其保管的信息资产更加安全。

Ragic 已获取 ISO/IEC 27001：2022 认证，并依循相关治理方法施行信息安全保护防治，可在此网页查看相关信息，点此链接下载证书。

Data Privacy Framework 美国欧盟隐私盾认证

《美国欧盟隐私盾框架》与《美国瑞士隐私盾框架》简称隐私盾（Data Privacy Framework），提供符合欧洲数据保护要求的信息传输处理方式。

Ragic 已获取上述隐私盾认证，从欧洲经济区、英国、瑞士移植到美国的个人数据的汇集、使用和保存均遵循相关框架。关于 Ragic 此份认证的详细说明，可至此页面查询 Ragic。

GDPR 合规

GDPR 全名为《一般数据保护规则》（General Data Protection Regulation），是在欧盟法律中针对欧盟个人数据保护和隐私的规范。

Ragic 符合 GDPR 规范，实现数据删除请求处理程序、软件个人身份信息保护审查程序、订户数据库数据传输程序，保障删除、拒绝跟踪、数据可携权。同时，Ragic 定期评估风险、具有完整资安措施，Ragic 的隐私政策页面亦详述个人数据处理原则。

另外，Ragic 欧洲订户数据库位于欧洲服务器，其他区域订户若有特殊需求亦可洽询将数据库移至欧洲服务器。

HIPAA 合规

Ragic 资安规范亦遵循美国《健康保险便利及责任法案》（Health Insurance Portability and Accountability Act，简称 HIPAA），保障处理、存放和传输受保护医疗信息 (PHI) 流程。

Ragic 的主机服务提供商 AWS、GCP 资安流程亦遵循相关规范，有需要时可签署业务合作协议（BAA）。

主机实体安全性

Ragic 的主机是由世界级的公有云服务商 Google、AWS 提供，在主机实体安全上的特色包括：

1. 通过 ISO 27001, SOC1, SOC 2, SOC 3, PCI DSS v3.0 等认证

2. 超过五百人的专业资安团队

3. 24/7 全年无休实体主机图像监控、电子化门禁、生化认证、实体栅栏、金属侦测器侦测

4. 定期云软件弱点扫描服务

数据保存安全性

此部分措施包括：

数据保存加密：所有写入硬盘的数据都经过加密，符合ISO 27001, SOC 1, SOC 2, and SOC 3 等规范。

RAID 硬盘：所有数据实时存到多颗RAID硬盘上，不会因为硬盘损毁造成任何数据的消失

服务器备份：每一台服务器每天都会固定自动做完整备份

数据库备份：每位客户的数据库，每天另外会自动单独异地备份到不同区域的保存空间，确保数据安全

网络与系统安全性

此部分措施包括：

传输SSL加密：所有传输都支持HTTPS/SSL加密、敏感数据传输时自动强迫使用加密传输

应用层入侵侦测：进入主机的封包，都会经过严格的防火墙设置，以及特殊的入侵侦测程序，实时阻塞恶意的联机

完整内控纪录：所有联机都有完整的内控纪录，随时供信息安全人员查阅；定期分析可能的恶意行为，调整防止入侵策略

程序体系结构安全性

此部分措施包括：

数据库安全：Ragic 数据库特殊的设计，完全不支持 SQL，因此绝对没有任何 SQL 相关的 injection 安全性问题。同时，Ragic不同客户的数据库，都存在于完全分离的数据库文件上，确保没有任何数据库应用面上的数据漏洞。

定期弱点扫描：Ragic 与配合厂商，会针对主机进行整体的定期安全性妨骇漏洞扫描扫描，确保系统守卫状态良好

定期安全更新：Ragic 系统管理员随时会根据最新的信息安全通报，进行系统安全更新，确保您的主机不受最新发现的漏洞影响安全性

人员安全性

此部分措施包括：

数据授权：若没有经过您的授权，任何人包括Ragic的技术人员都不能访问您数据库中的数据（在提供技术支持的时候，默认我们只能看到您数据库的设计，而没有里面的数据）。

无数据库接口：Ragic 使用的数据库型态特殊，完全没有任何一般数据库的查询维护接口。因此没有任何透过数据库后端，在您不知道的形况下访问数据库的可能性。

完整内控纪录：所有数据访问都有完整的内控纪录，随时供信息安全人员查阅

备份与防灾

此部分措施包括：

系统整体定期备份：Ragic 每台服务器都有完整的每天以及每周整体备份，确保任何灾难下数据都能够还原

帐号数据库定期备份：专业版以上的订户，另外还有自己帐号数据库的“每日”、“每周”、“每双周”的自动异地，异厂商备份，确保任何情况都能够找回自己的数据，帐号数据库的自动备份也提供您随时手动下载或是进行还原

手动备份：Ragic 也提供专业版以上订户手动数据库备份的功能，让您可以随时下载您的数据库完整备份；并也提供专业版以上订户手动异地备份功能，让您随时可以把整个数据库，备份到另一个不同站点的不同云厂商的备份系统上。

私有主机

若贵公司有一些数据的特殊考量，并且具备良好的主机维护能力，以及信息安全知识，可以选择采用私有主机版（地端版本），相关说明请见这里。