守护您的数据

为了防止数据泄露，孚创云端制定了文件化的信息安全策略，并从不同方面采取了多种不同的措施来防止数据泄漏。此外，我们还制定了文件化的事件管理程序（IMP），在解决安全事件时，我们将始终遵循事件管理程序的规定执行。

• ISO 27001认证

  InQuartik 已通过 ISO 27001 认证，我们致力于遵守严格的资讯安全框架和措施。该认证范围遍及 InQuartik 的所有服务与产品──Patentcloud 的 Quality Insights、Due Diligence、SEP OmniLytics、Patent Search、Design Search 和 Patent Vault， 以及从开發，维护和物理安全的内部系统，到应用系统，数据保护系统和网路通信的管理。 InQuartik以网路安全为首要任务。我们致力于遵循国际标准，防止任何资讯遭到洩露。你可以查看并下载我们的 ISO 27001 证书 。

  

• 物理安全

  孚创云端通过一套混合云（Hybird Cloud）基础设施来托管专利数据，该基础设施主要由以下各项组成：分别位于俄勒冈州和东京，已通过 ISO 27001 认证、PCI DSS 1 级服务提供商认证、和/或 SOC 2 认证的 AWS 数据中心；以及位于台北，在设计、设施和运营方面均已通过三级认证的台湾行动数据中心。孚创云端专门设立了一个团队，负责定期监视物理安全流程和控制项，确保对关键入口点的访问权限仅限于许可人员。我们部署了电子访问控制系统，可对具备 180 天及以上访问权限的人员进行查核跟踪，并对其进行监测。

• 网络安全

  Patentcloud 的所有流量网络均通过防火墙进行传输，而防火墙的配置可保障其阻断除业务功能明确规定之外的所有其他流量。我们的网络支援最新且准确的拓墣网路、成文的控管要求和程序。针对孚创云端的网路和应用程式的所有外部连线，我们的安全团队都会根据公司的信息安全政策和行业最佳实践惯例，分别进行识别、验证、记录和核准。

• 人员安全

  在雇用相关人员之前，孚创云端会对其进行背景调查。孚创云端开发出了一整套安全策略，其范围涵盖了一系列主题，並与其所有员工分享。安全团队也会通过电子邮件、内部博客帖子和内部活动时的演示文稿等方式提供额外的与安全意识有关的最新消息。在员工的雇佣关系终止后，孚创云端将撤消该员工对产品和系统的访问权限。

我们致力于为客户提供最准确的专利数据，以及保护数据不被擅自篡改。无论数据是处于传输状态还是静止状态，都会被加密，以保证其保密性和完整性。

• 数据传输

  在我们的服务器与客户端之间进行的所有数据传输均不会发生任何数据泄漏，因此可保障通过网络进行数据通信的安全性。我们采用行业标准的 HTTPS / TLS 1.2，对通过网络传输的所有数据（如密码或信用卡信息）进行非对称加密，从而防止数据被第三方窃听和篡改，同时确保数据的保密性和完整性。

  

• 站到站通信

  我们限制通过公共网络（外网）对孚创云端内部网络的直接访问，并且不允许一切未经许可的与孚创云端系统、流量或数据库的入站和出站连接，从而确保我们的数据安全。任何一个新网络如需与孚创的任何站点或数据中心的现有网络连接，必须首先通过我们安全团队的审批程序，同时应遵循VPN隧道连接的标准。对孚创网络的远程连接、数据访问和系统访问，均通过受托管的闸道器，经由 VPN 和 MPLS 连接进行访问。

• 数据存储

  存储在孚创云端服务或系统中的敏感数据，都在 AWS 伺服器中以行业标准的 AES-256 加密功能进行全盘加密。

重要的专利工作一秒都不能中断，这也是为什么我们致力于提供在巨量使用和流量下，仍能保持稳定且可靠运行的产品、应用程式和网络。

• 系统监控

  孚创云端已在系统中部署了入侵检测工具，可识别疑似或实际攻击，并且可按照行业最佳实践惯例做出响应。此外，我们还根据行业最佳实践惯例部署了防数据泄漏工具，能够检测涉及保密信息的一切未经许可的内部和外部传输。

• 数据备份与还原

  孚创云端利用 AWS 提供一个完全备援的分散式自动化环境，可通过 AWS 的备援机制对客户数据进行备份。此外，我们也会定期检测还原程序以验证备份的数据是否可用。

• 系统开发

  系统开发活动按照文件化的安全系统开发守则执行，且所有系统开发活动均在与实际运行环境/生产环境隔离的专用开发环境中执行，可防止出现信息中断和泄露。在安全开发生命周期（SDLC）的所有阶段，我们都会对孚创云端系统的所有元件进行测试，只有经测试无误后才会迁移至实际运行环境/生产环境。我们保证测试环境中不会使用真实数据（包括个人数据/客户数据）。为保证源代码的质量，我们同时使用静态和动态分析工具来检查代码的程序库相依性和安全漏洞，并对发现的安全漏洞进行修复，确认无误后再将其部署到生产环境中。

  对于孚创云端系统任何部分的任何变更，我们都会按照文件化的变更管理程序进行测试、审查和应用。紧急修补程序、安全补丁和其他相关的安全漏洞更新于证实可用且获得批准的情况下执行，以免产生更大的业务风险。

我们采取广泛认可的措施如一般帐号密码或社群媒体帐号，来认证和许可用户登入我们的服务、应用程式和平台。此外，也根据我们自订的相关准则授予用户身份以及履行用户工作职能所需的访问权限。

• 社交网络单点登录

  客户可使用孚创云端内建注册系统或社交媒体单点登录（SSO），以进行终端用户身份验证。

• 活动记录

  我们保留完整的用户数据纪录，用于追溯所有数据访问活动和用户信息，从而在对许可用户和系统提供安全访问的同时，防止并检测未经许可和非法的访问。记录下来的数据将使用行业标准机制或社交媒体的特定数据采集机制予以集中存储。

• 角色权限层级控管

  我们对 Patentcloud 的 Patent Vault 访问采用角色权限层级控管（RBAC）进行管理，并且可通过系统配置使其能够定义访问权限。孚创云端对不同用户（管理员、编辑者和查看者）授予不同的权限级别，同时允许公司或组织中的管理员自行定义可访问的文件夹、文件夹历史、标签、备忘录以及功能级别的编辑权限。

我们致力于满足个人数据隐私保护的最高标准，并将支持您的组织在全球范围内履行数据隐私保护义务。获取更多信息，请访问我们的 隐私政策。

• 个人信息

  孚创云端中存储的所有个人信息，以及与孚创云端使用者介面和应用程序介面（API）之间的所有通信均通过行业标准 HTTPS / TLS 1.2 在公共网络上进行了加密处理。这样可确保您与孚创云端之间的所有流量在传输过程中都是安全的。此外，对于电子邮件，我们的产品默认使用机会性安全传输层协议进行加密处理。孚创云端服务器中存储的大多数个人信息都采用 SHA-256 机制进行哈希算法处理，以防被未经许可的人员或员工泄漏、篡改或窃听。

• 付款信息

  我们采用 Stripe 和 Tap Pay 作为美元和新台币的在线支付系统，该支付系统符合 2048 位 SLL 交易加密和 PCI DSS 1 级服务提供商的要求。这两个在线支付系统都不会记录您的信用卡信息，因此可确保您的重要信息安全。

• 法遵指南

  我们以孚创云端的价值观为基础，反映于执法机构要求孚创提交客户数据时所采取的方法。为保护客户的数据隐私和权利，我们仅在我们合理认为有提供相关数据的法律要求时，在进行全面的法律审查后，才会向执法部门提供客户信息。

我们遵守世界公认的标准，可确保客户数据皆被正确处理和存储。如需获取更多信息，可访问我们的 GDPR 政策。