鑫世紀理財 | 台灣最佳個人財務管理平台

網站安全政策

最後更新日期：2025年12月25日

一、安全承諾

鑫世紀理財（以下簡稱「本平台」）由 Xynergy.ai 提供，我們深知財務資料的敏感性，因此將資料安全視為最高優先事項。本安全政策說明我們如何保護您的資料和系統安全。

我們持續投資於安全技術和最佳實踐，以確保您的資料受到最高等級的保護。

二、資料加密

2.1 傳輸加密

所有資料在傳輸過程中均使用 TLS 1.2 或更高版本的加密協定進行保護。這確保您的資料在從您的裝置傳送到我們伺服器的過程中不會被截取或竊聽。

2.2 儲存加密

敏感資料（如密碼、財務資訊）在儲存時均經過加密處理。我們使用業界標準的加密演算法，確保即使資料被未授權存取，也無法被讀取。

2.3 密碼保護

您的密碼使用安全的雜湊演算法（bcrypt）進行加密儲存。我們無法看到您的原始密碼，也無法將其還原。即使我們的資料庫被存取，您的密碼仍然是安全的。

三、基礎設施安全

3.1 雲端平台

本平台建構於 Google Cloud Platform (Firebase) 之上，這是一個符合國際安全標準的雲端平台。Google Cloud 提供多層次的安全防護，包括實體安全、網路安全和應用程式安全。

3.2 資料中心

我們的資料儲存在 Google Cloud 的資料中心，這些資料中心符合 ISO 27001、SOC 2 等國際安全認證標準，並實施嚴格的實體和邏輯存取控制。

3.3 備份與災難恢復

我們定期備份所有資料，並在異地保存備份副本。這確保即使發生災難性事件，我們也能快速恢復服務和資料。

四、存取控制

4.1 身份驗證

我們實施嚴格的身份驗證機制，確保只有授權用戶才能存取帳戶。我們支援多種登入方式，並建議您啟用雙因素驗證（2FA）以增強帳戶安全。

4.2 權限管理

我們遵循最小權限原則，僅授予員工完成工作所需的最小存取權限。所有員工存取敏感資料的記錄都會被記錄和監控。

4.3 會話管理

我們實施安全的會話管理機制，包括會話逾時、安全登出等功能。長時間未活動的會話會自動登出，以保護您的帳戶安全。

五、威脅防護

5.1 防火牆與入侵偵測

我們使用多層防火牆和入侵偵測系統（IDS）來監控和阻擋未授權的存取嘗試。這些系統會即時偵測可疑活動並自動採取防護措施。

5.2 DDoS 防護

我們實施分散式阻斷服務（DDoS）防護機制，確保服務在遭受攻擊時仍能正常運作。Google Cloud 提供強大的 DDoS 防護能力。

5.3 惡意程式防護

我們定期掃描系統以偵測和移除惡意程式。所有上傳的檔案都會經過安全檢查，以防止惡意程式碼的傳播。

5.4 安全監控

我們 24/7 監控系統安全狀態，並使用自動化工具偵測異常活動。一旦發現安全威脅，我們會立即採取應對措施。

六、應用程式安全

6.1 安全開發

我們遵循安全開發最佳實踐，包括程式碼審查、安全測試、漏洞掃描等。所有程式碼變更都必須經過安全審查才能部署。

6.2 輸入驗證

我們對所有用戶輸入進行嚴格驗證和清理，以防止 SQL 注入、跨站腳本（XSS）等常見的網路攻擊。

6.3 API 安全

所有 API 端點都實施身份驗證和授權機制。我們使用安全的 API 金鑰管理和速率限制，以防止未授權存取和濫用。

七、合規與認證

7.1 法規遵循

我們遵循適用的資料保護法規，包括個人資料保護法、GDPR（如適用）等。我們定期審查和更新我們的實務做法，以確保持續合規。

7.2 安全認證

我們的基礎設施提供商（Google Cloud Platform）持有多項國際安全認證，包括 ISO 27001、SOC 2、PCI DSS 等。

7.3 安全審計

我們定期進行安全審計和漏洞評估，並委託第三方安全公司進行滲透測試，以確保系統安全。

八、事件應對

8.1 事件偵測

我們建立了完善的安全事件偵測和應對機制。一旦發現安全事件，我們會立即啟動應對程序。

8.2 事件處理

我們有專門的安全團隊負責處理安全事件。事件處理程序包括：隔離威脅、評估影響、修復漏洞、通知受影響用戶等步驟。

8.3 事件通報

若發生可能影響您資料安全的事件，我們會根據法規要求，在合理期間內通知您和相關主管機關。

九、用戶安全建議

為了進一步保護您的帳戶安全，我們建議您：

使用強密碼，並定期更換密碼
啟用雙因素驗證（2FA）
不要在公共電腦或未加密的網路上登入帳戶
定期檢查帳戶活動記錄，發現異常立即通知我們
不要與他人分享您的帳號密碼
保持您的裝置和瀏覽器更新到最新版本
使用防毒軟體和防火牆保護您的裝置
謹慎點擊來路不明的連結或下載附件

十、第三方服務

本平台可能使用第三方服務（如付款處理、分析服務等）。我們僅與符合安全標準的第三方服務提供者合作，並要求他們實施適當的安全措施。

然而，我們不對第三方服務的安全措施負責。建議您查看這些服務提供者的安全政策。

十一、政策更新

我們保留隨時修改本安全政策的權利。重大變更將透過電子郵件或平台公告通知您。修改後的政策將公布於本平台，並自公布之日起生效。

建議您定期查看本安全政策，以了解我們最新的安全措施。

十二、聯絡我們

若您發現任何安全問題或漏洞，或對本安全政策有任何疑問，歡迎透過以下方式聯絡我們：

Xynergy.ai 安全團隊

Email: security@xynergy.ai

LINE: @231txwtw

我們非常重視安全問題，會盡快回覆您的詢問。