資訊安全與隱私保護政策

新呈工業股份有限公司（以下簡稱「本公司」或「EBC Everbiz」）深知資訊安全對於維護業務連續性、保護客戶信任及履行法律義務的重要性。本公司承諾：

• 依照 ISO 27001:2022 資訊安全管理系統標準建立、實施、維護並持續改善資訊安全管理系統（ISMS）。
• 確保資訊的機密性（Confidentiality）、完整性（Integrity）及可用性（Availability）（CIA三要素）。
• 遵守中華民國個人資料保護法及適用的國際隱私法規（包含 GDPR）。
• 對所有員工、承包商及供應商執行本政策，並定期審查更新。

本公司僅蒐集業務必要的最小化資料，包含以下類別：

蒐集之個人資料僅用於以下明確目的：

• 業務執行：訂單處理、報價、合約履行、售後服務。
• 客戶關係管理：聯絡溝通、技術支援、客訴處理。
• 供應鏈管理：採購、品質管理、交期追蹤。
• 法規遵循：稅務申報、海關申報、審計要求。
• 人資管理：招募、薪資給付、員工培訓。
• 網站優化：改善使用者體驗（匿名統計資料）。
• 資安監控：偵測未授權存取及網路威脅。

本公司不會將個人資料用於上述目的以外之用途，亦不進行自動化決策或個人剖析（Profiling）。

保存期限屆滿後，本公司將依安全方式銷毀資料（實體文件碎紙處理、電子資料安全覆寫或媒體銷毀）。

本公司採取以下技術及組織措施保護個人資料與商業機密：

技術控制措施

• 資料傳輸採用 TLS 1.2/1.3 加密協定。
• 靜態資料採用 AES-256 加密儲存。
• 實施多因素驗證（MFA）保護系統存取。
• 部署防火牆、入侵偵測系統（IDS）及端點保護。
• 定期執行弱點掃描與滲透測試。
• 重要系統每日備份，異地備援保存。

組織控制措施

• 依最小權限原則授予系統存取權限。
• 所有員工每年接受資安意識訓練。
• 與第三方供應商簽訂保密協議（NDA）。
• 資安政策每年至少審查一次。
• 設置資訊安全委員會監督執行。

本公司在以下情況下可能與第三方分享資料：

• 業務必要合作夥伴：物流商、認證機構、法律顧問（均受保密協議約束）。
• 法律要求：依法院命令、政府機關合法要求提供。
• 業務繼受：合併、收購或資產移轉時，受讓方須承繼本政策義務。

本公司不會出售、出租或交換個人資料予任何第三方用於行銷目的。

所有委外處理個人資料的第三方均須簽訂資料處理協議（DPA），確保其提供等同本政策之保護水準。

本網站使用以下類型的 Cookie：

使用者可透過瀏覽器設定停用非必要 Cookie，但部分網站功能可能因此受限。本網站不使用行銷追蹤或跨網站追蹤 Cookie。

依個人資料保護法及 GDPR，您享有以下權利：

• 查閱權：要求查閱本公司持有之您的個人資料。
• 更正權：要求更正不正確或不完整的個人資料。
• 刪除權（被遺忘權）：在特定條件下要求刪除個人資料。
• 限制處理權：要求限制對您個人資料的處理。
• 資料可攜權：以結構化、常用格式取得您的個人資料。
• 反對權：對特定處理目的提出異議。
• 撤回同意權：隨時撤回原已給予的同意（不影響撤回前已進行的處理）。

發生資訊安全事件時，本公司依以下程序處理：

• 偵測與識別：24 小時全天候監控系統，自動警報通知資安團隊。
• 遏制：立即隔離受影響系統，防止擴散。
• 評估：評估事件影響範圍與資料外洩風險。
• 通知：
  • 若涉及個人資料外洩，於確認後 72 小時內通報主管機關（依 GDPR）。
  • 若有高風險，同步通知受影響當事人。
• 復原：依業務連續性計劃（BCP）恢復服務。
• 事後分析：根本原因分析，更新控制措施防止再發。

所有員工、承包商及供應商均有義務：

• 遵守本資訊安全政策及相關作業程序。
• 妥善保管帳號密碼，不與他人分享存取憑證。
• 發現可疑活動或安全漏洞時立即通報。
• 不在未授權設備或位置存取機密資料。
• 離職時交還所有公司資産及存取權限。
• 每年完成資安意識訓練並通過測驗。

違反本政策之員工將依公司懲戒規定處理，情節嚴重者依法追究法律責任。

本公司依 ISO 27001:2022 第 6.1 條實施資訊安全風險管理：

• 風險識別：每年至少一次全面性風險評估，識別資訊資産、威脅及脆弱性。
• 風險分析：評估風險發生可能性與衝擊程度，計算風險值。
• 風險處理：依風險接受標準決定降低、轉移、接受或規避。
• 風險監控：定期追蹤風險處理計劃執行狀況。
• 持續改善：管理審查會議每年召開，持續優化 ISMS。

如對本政策有任何疑問，或欲行使個人資料相關權利，請透過以下管道聯絡：

本政策之解釋及執行以中華民國法律為準據法。如有爭議，以新北市法院為第一審管轄法院。