AICS Information Security and Service

前言 

華碩 AICS (ASUS Intelligent Cloud Services)以人工智慧 (AI)雲端軟體服務 (SaaS) 為核心,運用自然語言處理、電腦視覺、深度學習、大數據分析,加速醫療資料有效運用並提升醫院營運效能,進而促進精準醫療與精準健康,打造台灣下一個世界級領導產業。 

不論是何種應用,在AICS,我們的雲端服務重視資訊安全與信任,且以此做為雲端服務的礎石。我們相信,惟有重視資訊安全,才能獲得客戶的信任,而惟有根源自信任,也才能作為架構AI 雲端軟體服務的發展,同時我們也會持續在資安防護的各個面向持續前進與改善,以提供一個可信賴的AI 雲端軟體服務。 

目標 

在本文件中,將說明有關於AICS在以下幾個面向的相關目標與做法,目的是提供本服務所使用之資訊安全功能或控制之明確說明,但不包括華碩電腦其他部門雲端服務之作法: 

  • 資訊安全管控。 
  • 服務維運。 
  • 資料安全。 
  • 資安與個資事件處理。

資訊安全管控

  • 我們使用加密技術以保護其處理中之資訊,其技術包括但不限於:資料保存-256-bit AES encryption;資料傳輸-Transport Layer Security (TLS) 。
  • 對於使用者身分識別,我們將依照設計或與客戶之協定,選擇適當強度之的身分認證技術(例如:密碼登入、多因子驗證等)、密碼複雜度、使用者鑑別機制、權限區隔等,以協助使用者確認資料存取者身分。
  • 我們所提供之服務,其存放於雲端之資料將提供安全且隔離的存取。使用者僅能在服務設計的存取控制架構限制下,存取雲服務功能與資料查詢等,尚未有提供客戶執行個體 (instance)之功能。
  • 我們所提供之服務若包含管理其存取權限之功能,則其使用說明則請依照使用介面之設計、說明與引導為之,不在此說明或提供使用說明程序文件。
  • 我們的雲端服務中做為認證之用的安全資訊 (例如secret, token),皆以安全方式處理、存放與配置,包括
    o 安全資訊的存放會放置於加密的環境內,例如金鑰數據庫(Key Vault)等。
    o 存放的環境皆強制只有獲得授權的AICS系統管理人員、程式與管理工具方能存取。
    o 存取會留下紀錄,並依照本公司作業安全管理辦法之規定保留足夠天數。
    o 安全資訊的配置與使用者認證,皆以與客戶協議之安全方式與不同服務的特性為之。
  •  我們的技術弱點管理方式為依照實際需求,採取以下方式進行:
    o 透過軟體工具檢測與處理。
    o 定期性系統安全性更新,應以不影響系統運作為原則。
  • 我們的雲端營運環境內之各項用戶資料,具備適當資安防護措施,例如隔離、加密、備份、存取控管、虛擬機管理、休眠、離線、快照等資安管理,並依照與用戶的合約進行生命週期管理,當合約終止後,不於未具適當目的、法律要求或適當依據下持續保存、備份或運用。
  • 我們所採取之安全開發程序和實作的資訊如下:
    o 服務應針對來自使用者或外部之輸入內容做檢查過濾,僅接受預期的輸入格式。
    o 系統架構、認證與授權、使用者介面、個人資料保存與處理、資料傳輸流向設計等,應考量可能的資訊安全與個人資料風險。
    o 開發、測試與正式環境區隔,避免互相影響。
    o 正式環境僅供受核可之AICS系統管理人員登入。
    o 開發、測試與正式環境不安裝未經授權的軟體。
  • 用戶各項使用紀錄及軌跡資料之保存方式、期限、範圍等,應符合與用戶之協議。
    • 我們將識別並記錄雲端服務客戶管理員之關鍵操作程序,並記錄安全日誌,並依照本公司作業安全管理辦法之規定保留足夠天數。
    • 我們遵守安全系統發展生命週期(SSDLC)的原則進行各項管控,包括程式碼掃描、弱點掃描、避免使用不安全套件或函式等措施,並整合到我們雲端服務環境的更新與佈建流程,將各項檢查以自動或半自動化方式建立於其中,以確保程式開發的安全管理。

服務維運

  • 對於雲端服務某些關鍵作業,例如虛擬主機資料庫等虛擬化設備之安裝、更改與刪除,或是底層雲端服務停止使用,或是系統功能的佈建與更新等作業,在正式之服務環境都限制由AICS系統管理人員方能存取,並納入雲端服務環境更新與佈建之流程,由主管核准後方能進行之。
  • 我們所提供之服務,其存放於雲端之資料以安全的方式隔離其資料存取。
  • 鐘訊同步以NTP(Network Time Protocol)協定執行,校正時間源頭以底層IaaS雲端服務供應商時間或其他有公信力來源為準。
  • 目前AICS所提供之雲端服務所在及可能儲存雲端服務客戶資料的地理位置包括但不限於台灣、新加坡。但會依照實際運作狀況調整
  •  我們會對客戶提供可能會對雲端服務產生負面影響之重大服務變更資訊,包括變更類型、預計變更的日期與時間、雲服務與底層系統變更之技術性描述與變更開始與完成之通知。
  • 目前我們的雲端服務為SaaS 類型,提供登入後資訊查詢服務為主,而非IaaS服務形式。相關監控與檢測雲服務安全之功能由AICS系統管理人員存取之

資料安全

  • 本公司不進行未載明於契約約定範圍內的資料處理,除接獲客戶書面指示,並由部門高階主管審核後方可進行,相關限制應包含所有委外廠商。
  • 當與客戶服務終止時,將依照契約規定之內容返還或移除客戶資料,其程序不在此說明。
  • 針對公有雲服務而產生之暫存檔案及相關文件,均應依規定期間刪除或銷毀,包括與資料庫更新及其他應用系統軟體運作有關之檔案系統還原日誌及暫時檔案。
  • 目前雲端相關服務所儲存之客戶資料,皆已分級為需要保護之客戶資料等級,而不另行標示。如有需要,用戶將可需求並告知本公司客戶服務窗口,以協助本公司辨識需特別保護之用戶資料。
  • 有關使用者註冊和註銷功能,以各服務現行業務合作時提供之聯絡管道與窗口進行之,或與委託AICS提供服務之單位聯繫,無另行提供註冊和註銷使用者介面。新服務則將依照其介面設計而為之,以提供良好的使用者經驗,不另通知。
  • 我們將依照本公司之資料備份與媒體管理辦法規定,並參考契約內容的要求以及各項雲端服務之基礎技術架構,設計出備份的方法、範圍與排程、保留期限、備份頻率、加密與存取控制等。另外依照本公司之營運持續管理辦法規定,針對備份進行測試。
  • 若服務所儲存個資之當事人若欲進行對其個資權利之行使,例如刪除其個人資料。因本公司基於個資處理者的角色不直接面對個資當事人之請求,請客戶依循契約約定之管道通知客戶服務窗口,以便進行。並請客戶以書面形式告知個資當事人可行使之個資權利與行使方式,並取得同意。

資安與個資事件處理

  • 用戶若發現資訊安全或個資事故,請將發生之安全事故內容、時間通報本公司,可透過AICS官網,或是聯繫客戶服務窗口等。有關客戶通報之安全事故處理進度與狀況,可向客戶服務窗口詢問,我們也會依照處理進度不定期發佈回饋給通報之客戶。
  • 關於安全事件處理流程,將依照本公司之資訊安全事件管理辦法規定,進行事件分級、事件評鑑與事件通報,在事件發生後進行根因調查與改善計畫等。事件對外通報皆由企業總部專人負責。

其他

  • 本文件所說明之相關措施,僅作為一般的維運目標與最佳典範(Best Practice)規劃方向,仍會因應系統運作、技術環境與發展而調整作法或是增減涵蓋範圍與深度。因此文件內容並不可視為不可變更之技術項目或是契約內之約定項目。實際執行規範仍需以與客戶簽訂之契約為正式依據。
  •  我們所提供之雲端服務,定期執行資安與隱私保護之內部稽核及外部稽核,並以通過ISO 27001/27017/ 27018/ 27701 等國際標準驗證為目標。
  • 有關於雲端服務之司法管轄或其他法律要求,請依照契約訂定之條文為準,不在此說明。
  • 如果客戶有關於智慧財產權之相關的諮詢或意見,請透過AICS官網,或是聯繫客戶服務窗口等。
  • 本文件未來若有更新與修正,將於AICS對外網站或其他方式公布之,不另行逐一通知,客戶隨時可以透過客戶服務窗口取得最新版本。

結論

資訊安全是一條不斷自我調整與強化的過程,我們的目標是建立一個值得信賴與安全的平台,期盼替資訊安全盡一份心力。
如有資訊安全相關建議,歡迎與我們的客戶服務窗口聯絡。