資安聲明

1.1　傳輸加密

• 所有通訊採 HTTPS / TLS 1.2 以上加密。
• HSTS（HTTP Strict Transport Security）強制 HTTPS。
• TLS 憑證由受信任機構簽發，定期更新。

1.2　資料儲存

• 資料庫採 Row Level Security（RLS）逐行權限控管。
• 敏感資料（身分證、銀行帳號、KYC 文件）另以 AES-256 加密。
• 登入採 Google OAuth 委派驗證，平台不儲存您的密碼。
• 定期備份並異地保存，加密後傳輸。

1.3　基礎設施

• Cloudflare WAF（Web Application Firewall）過濾惡意流量。
• DDoS 防護、Rate Limiting。
• CSP（Content Security Policy）避免 XSS。
• CSRF Token 防止跨站請求偽造。
• SQL 參數化查詢防止注入攻擊。

• 登入採 Google 帳號 OAuth 2.0 委派驗證，平台不儲存您的密碼，從源頭降低密碼外洩風險。
• 建議於 Google 帳號開啟兩步驟驗證（2FA），您的登入安全將由 Google 一併保護。
• 登入階段以加密權杖（JWT）管理，逾期自動失效，需重新登入。
• 平台管理後台帳號額外強制 TOTP 兩步驟驗證（Google Authenticator）。
• 所有登入與權限變更皆留存稽核日誌，供異常追蹤。

• 員工接觸個資以業務必要為限，簽署保密義務。
• 存取權限分級控管，定期審視。
• 所有系統操作留存稽核日誌（audit log）至少 12 個月。
• 離職員工即刻撤銷權限。
• 供應商盡職調查（Vendor Due Diligence）。

依《個人資料保護法》及 2025 年 11 月施行之修正，建立下列應變機制：

• 24 小時內完成初步評估
• 72 小時內通報主管機關（個人資料保護委員會）
• 通知受影響當事人（電子郵件 + 站內信 + 網站公告）
• 啟動應變小組、調查根本原因
• 採取補救措施（撤銷憑證、修補漏洞、隔離受害系統）
• 事後提交詳細報告予主管機關

本公司歡迎資安研究人員協助我們發現並修補漏洞。若您發現本平台之安全漏洞，請依下列原則回報：

• 通報信箱： security@mmacg.tw
• 請附上詳細重現步驟、影響範圍、概念驗證（PoC）。
• 若可能，請使用 PGP 加密（公鑰請來信索取）。
• 本公司承諾於 72 小時內回覆，並於修補後告知您。
• 本公司將公開致謝（若您同意）。

研究倫理要求：

• 不得實際存取、修改、刪除他人資料。
• 不得洩漏漏洞資訊予第三方。
• 不得進行 DDoS、社交工程、實體入侵。
• 給予本公司合理修補時間（通常 90 日）後再公開揭露。
• 遵守前述原則者，本公司不追究其法律責任。

本公司正評估是否於未來推出 Bug Bounty（漏洞獎勵）計畫。在計畫正式公告並載明適用範圍、獎勵條件及發放方式之前，本平台不對任何漏洞回報承諾金錢獎勵；現階段歡迎依第五節「弱點揭露政策」回報，我們將以公開致謝（經您同意）方式表達感謝。如未來推出，將另行公告完整辦法。

本公司選擇具資安認證之供應商：

• Supabase: SOC 2 Type II
• Cloudflare: SOC 2、ISO 27001、PCI DSS
• Railway: SOC 2 Type II
• 統一金流 PAYUNi: 金管會許可之第三方支付服務

• 本平台採 Google 帳號登入、不設站內密碼，請妥善保護您的 Google 帳號並啟用兩步驟驗證（2FA）。
• 警戒釣魚郵件：本公司不會透過電子郵件要求您提供 Google 密碼或登入驗證碼。
• 勿點擊站外可疑連結，亦勿在非 Google 官方頁面輸入您的 Google 帳密。
• 發現異常登入請立即至 Google 帳號安全設定撤銷可疑裝置授權，並通報客服。
• 保持瀏覽器與作業系統更新。

• 資安事件通報： security@mmacg.tw
• 個資保護窗口： privacy@mmacg.tw
• 一般客服： support@mmacg.tw