資訊安全政策

ISO 27001:2022 標準應用範圍

1tron 創辦人持有 ISO 27001:2022 主導稽核員證書（Lead Auditor）。團隊依該標準執行下列資訊安全管理：

• 資料分類與存取控制（機密／敏感／內部／公開）
• 實體與環境安全（辦公室出入管理、設備清查）
• 人員安全（NDA、定期資安教育訓練、離職資料銷毀）
• 通訊與運作安全（傳輸加密、備份輪替、變更管理）
• 資安事件應變（24 小時偵測、72 小時通報）
• 合規與稽核（內部稽核、第三方滲透測試）

客戶資料分類

所有客戶資料依下列四級分類：

• 機密：合約、原始碼、未公開的客戶名單與案例細節 —— 僅授權人員可存取，加密儲存
• 敏感：個人資料、財務資訊 —— 依個資法與 ISO 27001 處理
• 內部：專案規格、技術文件 —— 限員工存取
• 公開：行銷素材、已授權公開的案例 —— 可對外發布

NDA 流程

對於有採購評估、深度技術討論、或需查閱 reference 客戶名單的企業客戶，1tron 採下列流程：

1. 初次諮詢提出需求
2. 1tron 於 1 個工作日內提供 NDA 範本（亦可使用您的標準範本）
3. 雙方簽署後 1tron 可揭露：完整客戶名單、案例執行細節、reference 客戶聯絡窗口、技術架構深度文件

弱點掃描與資安檢核配合

1tron 具備下列檢核流程的完整配合經驗：

• 政府機關委辦案資安弱掃
• 金融機構資料中心檢核（含 OWASP Top 10、CVE 高危）
• 研究機構與大型企業的第三方滲透測試
• 主管機關專案資安要求對應

1tron 開發流程內建 SAST／DAST 靜態與動態檢測，所有交付前已通過內部弱掃檢查。

軟體開發安全（Secure SDLC）

1tron 的軟體開發週期內建下列資安實踐：

• 需求階段：威脅模型分析（STRIDE）
• 設計階段：最小權限、深度防禦、預設安全
• 實作階段：Code review、依賴套件 CVE 掃描、SAST 工具檢測
• 測試階段：DAST 動態檢測、權限邊界測試、輸入驗證
• 上線階段：HTTPS／TLS 1.2+ 強制、Security Headers、CSP
• 維運階段：日誌監控、異常告警、定期套件更新

事件應變

1tron 建立 24 小時資安事件偵測機制。如發生影響客戶資料的事件：

• 1 小時內啟動內部應變小組
• 4 小時內初步評估影響範圍並通知受影響客戶窗口
• 72 小時內依法令通報主管機關
• 事件後 14 個工作日內提供完整事件報告與改善計畫

人員管理

所有 1tron 員工（含正職、外包、實習）：

• 到職時簽署 NDA 與資安守則
• 每年完成資安教育訓練
• 離職時完成所有客戶資料銷毀與權限撤除程序
• 專案結束後 30 個工作日內銷毀非必要備份資料

聯絡資安窗口

如需深入了解 1tron 資訊安全政策、申請 NDA、或回報資安事件：

• 資安窗口 Email：pct@1tron.ai
• 緊急事件：(02) 6609-5111

※ 本頁為政策摘要，完整 ISMS 文件、稽核紀錄、員工資安訓練紀錄等可於簽署 NDA 後提供。