momo長期致力於落實資訊安全與個人資料保護控管,於2009年11月通過SGS國際驗證,取得 ISO 27001資訊安全系統驗證,每年定期驗證、三年重新驗證,2021年重新驗證同步因應物流業務成長擴大驗證範圍取得驗證,以確保消費者的資料在多層的資訊安全控管下,做到最高規格的防護,並維持證書有效性。
momo於2009年成立資訊安全委員會,負責推動資訊安全作業。2020年為加強控管及監督資安風險並強化董事會職能,於董事會轄下設置「資安管理委員會」,一年召開二次會議,並向董事會報告,原因應ISO 27001及BS 10012設置之「資訊安全暨個人資料保護管理審查委員會」更名為「資訊安全暨個資保護小組」,並持續遵循ISO及BS管理系統之條文規範,將年度執行結果向「資安管理委員會」報告。為讓資安管理及個資管理制度標準規範一致,於2021年換證年度,將原驗證BS 10012改為ISO 27701,2022年於5月25日通過持續性驗證,爾後每年持續維持證書有效性。
資安風險鑑別與評估演練
資訊安全暨個資保護小組每年針對資訊安全及系統資產進行風險評估,分別就機密性、完整性、可能性、法規遵循性等面向評估,高風險會建立適當的控管機制與因應措施,並針對核心資訊系統及新設備制定業務持續演練計畫,每年排定運作演練,管控各項業務風險。momo數據中心內電腦儲存系統設備及數據通信連結均由momo自行管理,每年度對高流量活動進行評估,提供更快的處理速度,縮短頁面加載時間,並強化整體基礎架構。
資安教育訓練
momo員工與主管每年4小時接受資安線上課程與測驗,資訊同仁每年至少6小時,資安同仁每年至少16小時,不定期舉行資訊訓練課程。
資安事件通報
針對資安事件的通報與處理,momo明確訂定「資訊安全事件通報作業規範」含權責、事件分級、通報程序及處理評估與決策,資訊單位需於目標處理時間內排除及解決資訊安全事件,並在事件處理完畢後進行根因分析及採取矯正措施,以預防事件重複發生,2022年未發生資訊安全之相關事件。
momo致力落實資訊安全與個人資料保護控管,為保障公司資訊安全與消費者在線上購物安心,於2022年5月25日通過ISO 27001和ISO 27701持續性驗證,爾後每年持續維持證書有效性。momo針對客戶個資與機敏資料保護建置完整系統規劃;為對內防止洩露,資訊安全暨個資保護小組每年至少執行二次內部稽核作業,確認人員落實作業規範要求。此外,透過精進系統架構管理之安全設計與持續監控,包含網路區域劃分、存取控制、內外部弱點管理、對外防止駭客入侵偵測等安全防護,持續強化系統可靠性。
momo隱私權政策
為維護消費者的隱私權,momo官網設有「隱私權政策」專區,詳細載述對於消費者資料的蒐集、處理、利用及管理。消費者如接獲公司行銷行為時,活動頁面同時會詳載不願再收取momo行銷服務之取消的管道及聯繫方式,均遵守中華民國政府之「個人資料保護法」及相關法令規範,並制訂「資訊安全事件通報作業規範」及「個資及機敏資料安全維護作業規範」,任何人均須在明定的授權規範下,才能處理及利用必要之資料。
截至2022年12月31日止,momo尚無針對”如果有不需個人同意或是個人必須同意之資料收集,個人可選擇退出”等進行規範;亦無共享、出售、出租或以其他方式進行分配數據或資訊給第三方。目前所有個資皆會進行隱碼,保留時間依法規和作業規範而訂保留5年,亦無使用客戶資料進行二次行銷之行為。
顧客個資管理
2022年未發生影響消費者權益之個資安全事件。惟因應國內個資案件趨勢,陸續進行多項強化個資保護措施,包括停止發送OTP郵件、以及設定多重身份及設備驗證機制,同時於網站持續更新相關反詐騙宣導,讓消費者了解最新詐騙招數,以保護消費者的個資安全。
PCI DSS 保護消費者電子支付交易安全
momo為台灣電商產業龍頭,經統計每年需處理達百萬筆以上的刷卡交易,應依照發卡機構與收單行的要求,遵守支付卡行業資料安全標準,確保電子支付交易安全性。自2019年Q1完成Level 2自我評鑑問卷後,因業績持續成長刷卡量超過六百萬筆,故2020年之後以PCI SSC(支付卡行業安全標準委員會)規定應取得Level1實地稽核的合規報告。最近一次取得合規報告日期為2022年3月17日,爾後每年由合格評核機構進行年度實地稽核以確認符合支付卡行業資料安全標準,並遞交合規報告。
信用卡3D驗證 降低盜刷風險
為降低消費者遭盜刷風險,momo已逐步導入信用卡3D驗證服務。此服務是由Visa、MasterCard等國際發卡組織推出的資訊安全驗證機制,讓消費者進行網路購物時,可確保為本人使用自己的信用卡進行刷卡,進而有效降低被盜刷機率。
當消費者在momo購物網上,透過提供3D驗證服務的發卡銀行所發出的信用卡,進行特定商品的交易時,網路刷卡的步驟將會轉至發卡銀行,並且要求輸入驗證密碼;密碼因發卡銀行不同,其形式可能為動態密碼(OTP)或是固定密碼。收單銀行同時會向國際信用卡組織認證系統及發卡銀行確認資料與密碼無誤後,即可完成本次的刷卡交易。此外,2022年展開「紅利金付款生物辨識專案」,於消費者選用紅利金/mo幣付款時,新增生物辨識功能,以提升交易安全。 (註)「特定商品」係指符合momo財務部門所規範符合風險控管條件的商品
物流士安心call及宅配單隱碼
momo自2021年起,導入「物流士安心call」服務,將原消費者電話號碼轉換為代碼,同步把宅配單上消費者姓名、電話、地址進行個資隱碼;2022年持續拓展導入範圍,從供應商出貨的廠配訂單,拓展到委外之自有倉儲所出貨的訂單;2023年預計導入退貨消費者電話號碼代碼化機制。
momo目標為阻斷物流配送管道個資資訊外洩之可能性,讓消費者於momo平台更安心享受購物樂趣。
智慧財產管理計畫
為有效管理及維護智慧財產,使momo對智慧財產權取得、維護與運用,符合智慧財產相關法規要求,momo自109年起逐步推動智慧財產管理措施,連結營運目標與內部資源,依循TIPS制度規範內容,建立整體智慧財產管理計劃制度,強化本公司智慧財產權之管理運用、提升企業品牌價值及市場競爭力,進而使消費者能安心購物,提升品牌供應商合作之意願,降低營運侵權風險及創造穩定營運成長目標。