個人資料傳輸的安全性

評估資料跨境傳輸的一個重要元素,是分析保障個人資料安全的技術和組織措施。根據《一般資料保護規範》(GDPR) 和其他適用的資料保護法,Shopify 採用了全面性的技術和組織措施,確保商家顧客的個人資料安全無虞。

此頁面提供了我們安全計畫的摘要,如需更多資訊,請參閱「安全」。

實體安全

Shopify 利用存放於資料中心的虛擬代管環境,具有行業標準的安全認證。場地受到周邊安全和多層安全區域的保護,配備有警報系統、閉路電視監控,以及全年無休的現場安全人員、多重驗證、專屬區塊和實體鎖。硬碟不會離開資料中心,而是在現場安全銷毀。我們的伺服器由下列具有認證的資料中心代管:

架構

Shopify 的平台是以多租用戶架構為基礎,並最佳化效能和彈性。商家個人資料由應用程式層級控制進行隔離。在部署發生變動時,我們會替換每部伺服器上的應用程式環境 (應用程式及其相依性和設定檔),從而消除惡意軟體持久存在的媒介。

申請

維護應用程式安全是我們開發過程中的關鍵。我們的開發人員定期接受有關應用程式安全最佳做法的培訓,並監控其是否存在漏洞。商店擁有人還可以設定其他安全功能。例如,帳號擁有人可以執行下列操作:

  • 啟用帳號的多重驗證功能。
  • 檢視活動記錄,包含使用者最近登入活動。
  • 設定角色型存取層級。
  • 強制執行 API 範圍的細項權限。

雙重驗證

兩步驟驗證這類功能可提供額外的安全防護,讓未經授權的人員更難以存取商家的帳號。這層額外防護可減少帳號遭人接管的可能性。

嘗試登入時需完成兩個獨立的步驟:

  1. 輸入電子郵件地址和密碼
  2. 使用行動裝置或安全金鑰進行登入身分驗證。

如此一來,即使他人知道密碼,也無法在未能完成第二個步驟的情況下登入。

Shopify 提供多種兩步驟驗證的方法,包含簡訊、驗證器應用程式及安全金鑰。

如需更多資訊,請參閱使用兩步驟驗證保護帳號安全性

加密

傳輸中的資訊會使用下列行業標準的加密通訊協定進行加密:

  • SSH
  • HTTPS-TLSv1.2

Shopify 在結帳、店面和管理頁面使用 HTTPS 通訊協定。操作資料存放中,待用的信用卡詳細資訊和其他敏感資訊均進行加密。使用 Bcrypt 雜湊演算法對所有儲存的使用者密碼進行 Salt 和雜湊處理。

Shopify 採用的傳輸層安全標準 (TLS) 是一套用於保護網際網路通訊安全的加密通訊協定,以確保護商家管理介面和商店之間所有連線的安全。如果瀏覽器網址列旁邊的網址以 https:// 開頭,且顯示鎖頭圖示時,則表示該連線使用 TLS。TLS 可保護所有與 Shopify 的連線,包括商家自身的連線,以及商家與顧客之間的連線。Shopify 支援 TLS 通訊協定 1.2 版及以上版本。

傳輸層安全標準 (TLS) 憑證為商家商店提供以下好處:

  • 將顧客的個人資料加密可新增一層安全保障。
  • 網路商店網址旁顯示鎖頭圖示,有助於建立顧客的信任感。

如需更多資訊,請參閱傳輸層安全標準啟用與 Shopify 商店的安全連線

PCI 合規性

Shopify 已獲得支付卡產業資料安全標準 (PCI DSS) 第 1 級合規認證。PCI 安全標準協會是一個全球認可的組織,致力於維護安全處理信用卡交易的標準。該協會協助像 Shopify 這樣的商家安全地處理信用卡付款並保護持卡人資訊。

Shopify 非常重視商店代管的安全性,並投入了大量時間和資金,確保所提供的解決方案符合 PCI DSS 標準;我們每年均通過合規性驗證,並持續進行風險管理,盡力確保購物車和電子商務代管服務安全無虞。

所有由 Shopify 提供技術支援的商店都預設符合 PCI DSS 標準,因此我們的商家可以確保付款資訊和業務資料的安全。

我們的合規性涵蓋了 PCI 標準的六個目標:

  • 維護安全網路。
  • 保護持卡人資料。
  • 維護弱點管理計畫。
  • 實施嚴格的存取控制。
  • 定期監控和測試網路。
  • 維護資訊安全政策。

如需更多資訊,請參閱 Shopify 的 PCI 合規性

服務組織控制 (SOC)

服務組織控制 (SOC) 報告是由第三方稽核人員對公司資訊系統進行的評估,他們證明公司符合一套獨立標準,包括其服務的安全性和可用性相關的標準。

Shopify 就我們向顧客提供的服務發布了下列報告:

  • SOC 2 第二類
  • SOC 3

如需更多資訊,請參閱我們的合規報告。以商家身分登錄的使用者均可查閱 SOC 2 Type II 報告。

其他安全要素

Shopify 的安全控制包含許多基本安全功能,例如:

  • 定期進行第三方漏洞掃描和滲透測試,以識別和修復潛在的安全弱點。
  • 我們的生產工程團隊會持續監控伺服器和應用程式效能。
  • 我們的設定管理工具可確保伺服器已套用最新設定值。
  • Shopify 監控適用的漏洞揭露和安全更新來源,並根據需要進行必要操作。
  • 商家與安全承包商可以在自己的店面中進行測試。
  • 鼓勵商家將所發現的平台相關問題向 MerchantOne 計畫報告。
  • 我們的系統經過工程設計,可針對萬一發生大難時快速恢復資料。 每日測試備份復原功能。
  • Shopify 具有多重層級備援機制,確保商家資料可供商家使用,並確保顧客可以使用商家商店。
  • 我們擁有正式的事件應對和解決流程。
  • 集中管理員工裝置,以實施和限制符合 Shopify 安全政策的安全措施。
  • Web 應用程式防火牆 (WAF) 設定存在於平台範圍內。
  • Shopify 透過平台與安全監控功能 (例如在敏感環境中使用入侵防禦/偵測系統 (IDS/IPS) 提供資料外洩防護服務。
  • Shopify 遵循最小權限原則,依角色實施存取控制。
  • 藉由提供獨立審計報告 (如 SOC 2 Type II),協助進行年度安全性審查。
  • 員工接受資安意識培訓,並履行合約保密義務。

如需更多資訊,請參閱安全

準備好開始透過 Shopify 銷售商品了嗎?

免費試用