簡介
SHOPLINE的資訊安全方針是「保護用戶資產,提供安全、穩定的用戶服務」,SHOPLINE致力於為用戶提供更安全的服務,並在合規上不斷進步。此處將分別介紹 SHOPLINE、客戶、供應商和合作夥伴之間的責任和義務。為了讓客戶和市場更佳瞭解 SHOPLINE 如何實踐合規的內容,我們將以優於產業水準的方式實踐。
合規內容,逐步通過第三方審核報告以披露 SHOPLINE 在合規的實踐和服務能力。我們客戶的成功是 SHOPLINE 最大的成就,因此,請即時向我們反饋您的合規要求,我們將繼續改進。
SHOPLINE 於台灣之經營、運作乃獨立於全球其他地區的 SHOPLINE 法律主體,僅與其他地區之 SHOPLINE 法律主體使用相同之系統、商標而已。
SHOPLINE - 共同責任模型
當您(以下稱「您」或「商家」)使用SHOPLINE(以下稱「我們」或「SHOPLINE」)的軟體即服務平台(以下稱「平台」)時,瞭解共同責任模型以及哪些安全任務是由 SHOPLINE 和您各自處理,則是非常重要的。
安全和合規是 SHOPLINE 和商家之間的共同責任。如下面的共同責任圖表所示,SHOPLINE 負責保護平台本身及其相關基礎設施(包括軟體、網路、服務和物理設施),以提供平台予商家使用。同時,商家負責配置平台的方式、保護儲存在平台上的資料以及保護用於訪問平台的使用者帳戶、設備和第三方軟體或應用程式的安全性。
以下我們將更詳細地闡述 SHOPLINE 和商家各自的安全責任。
SHOPLINE 的安全責任
如上所述,SHOPLINE 負責保護平台本身及其相關基礎設施(包括軟體、網路、服務和物理設施),以提供平台予商家使用。
商家的安全責任
商家負責配置平台的方式、保護儲存在平台上的資料以及保護用於訪問平台的使用者帳戶、設備和第三方軟體或應用程式的安全性。我們將在下面進一步闡明此事項。
儲存在平台上的資料安全性
商家應僅根據所有適用之法律、法規,以及 SHOPLINE 的服務條款,以管理其帳戶中儲存的訊息和資料。這包括採取相關的措施,以確保其使用於訪問平台的密碼,不被意外或因未經授權而披露,並定期備份資料。商家對其帳戶中儲存的資料安全性負起完全責任。
安全配置和管理任務
由於商家負責在平台上配置其網路商店(以下簡稱「網路商店」),因此商家也負責與此相關之安全配置和管理任務。商家負責管理網路商店(包括存取控制和log審核),商家在平台上安裝的任何第三方應用軟體或應用程序(以下簡稱「第三方插件」)以及該等第三方插件的安全配置。
個別服務
商家負責管理像是 Mailchimp 和 SmartPush 這樣的個別服務。SHOPLINE 不承擔商家使用這些個別服務所產生的任何責任,而重要的是,商家因此瞭解,責任是由商家和個別服務提供商之間所共同承擔,並且商家亦瞭解個別服務提供商與第三方分享哪些商家資料。商家自行負責管理此等可被個別服務提供商所存取的數據資料(包括最終客戶的資料),並應就可被個別服務提供商所存取的數據、資料進行權限上的分類。IT 安全控制。正如營運 IT 環境的責任,也由 SHOPLINE 和商家共同承擔一樣,執行適當的 IT 安全控制,也由 SHOPLINE 和商家共同承擔。SHOPLINE 負責提供平台基礎設施的控制(包括軟體、網路、服務和物理設施),但商家負責其在平台上使用的相關控制,包括在平台上儲存數據資料。以下是由 SHOPLINE、商家和/或兩者管理的控制範例。
繼承控制 - 這些控制自 SHOPLINE 完全繼承給商家。例如:
共同控制 - 這些控制由 SHOPLINE 和商家共同管理。在共同控制中,SHOPLINE 負責提供平台服務基礎設施的控制(包括軟體、網路、服務和物理設施),但商家負責與其使用平台相關的控制,包括在平台上儲存數據、資料。例如:
- 配置管理 - SHOPLINE 維護平台基礎設施設備、操作系統、資料庫和應用程式的配置。商家負責配置店家網店、第三方插件和個別服務。
- 認知和訓練 - SHOPLINE 和商家各自負責培訓自己的員工關於使用平台的相關事宜。
商家控制 - 這些控制完全由商家負責。
資料處理補充條款
SHOPLINE 資料處理補充條款
SHOPLINE 作為合約當事人(以下簡稱「SHOPLINE」、「我們」或「我們的」)旨在為客戶(以下簡稱「您」)提供「軟體即服務」平台(以下簡稱「SHOPLINE 平台」),提供網站建立、金流、物流和其他電子商務相關服務的一站式解決方案。
本補充條款(以下簡稱「補充條款」)將成為您與 SHOPLINE 之間具有法律約束力之文件,並作為我們的會員條款、隱私政策以及與您簽訂的所有協議(統稱「協議」)之補充。
-
定義
本補充條款未明確定義之用詞應參照協議中所約定之含義。以下用詞在本補充條款中具有以下含義:
(1)「控制者」指獨自或與他人共同決定個人資料處理之目的和方式之主體。
(2)「資料保護法律」指協議下個人資料處理所適用之所有資料保護或隱私法律、規則、法規和指導方針,包括但不限於(i)加州消費者隱私法(CCPA)、(ii)2016/679年歐盟一般資料保護規則(GDPR)、(iii)新加坡個人資料保護法2012(PDPA)、(iv)英國GDPR或2018年資料保護法、(v)台灣個人資料保護法,以及根據這些法律所制定、實施、修改或更新之法規和其他適用之法律。
(3) 本補充條款中所使用的「資料主體請求」是指依據所適用之資料保護法律,由資料主體對於個人資料的存取、刪除、更正或可攜性提出的請求。
(4)「雙方」指協議的各方。
(5)「個人資料」指與已識別或可識別之自然人相關的任何信息,以及依據所適用的資料保護法律而歸類為個人資料之任何資訊,這些資訊在履行協議時於 SHOPLINE 平台上進行處理。
(6)「個人資料違規」指違規行為而導致在本補充條款下處理之個人資料意外、未經授權或非法的破壞、丟失、更改、揭露、使用、複製、修改、處置或存取。
(7)「處理」指對個人資料進行之任何操作,無論是否自動化均然,例如蒐集、記錄、組織、結構化、儲存、更改、檢索、諮詢、使用、傳輸揭露或以其他方式提供、分離或結合、限制、刪除或銷毀。「處理」或「處理過」則是具有相同的含義。
(8)「處理者」指代表控制者而處理個人資料的主體。
(9)「子處理者」指處理者委托代表控制者處理個人資料的任何處理者。
-
個人資料的處理
(1) 雙方同意您將成為您的個人資料的控制者,而 SHOPLINE 將成為您的個人資料的處理者。在某些情況下,SHOPLINE 可能會根據下文第 6 條的內容而聘請子處理者來處理您的個人資料。為了避免疑義,SHOPLINE 在任何時間都不被視為您個人資料的控制者。
(2) SHOPLINE 將依據您的書面指示(得經使用 SHOPLINE 平台向我們提供指示)以及本補充條款、適用之資料保護法律來處理您的個人資料。您同意,本補充條款、協議以及任何後續的工作規格書或服務訂單,以及您和授權使用者之任何設定,均構成您對 SHOPLINE 有關個人資料處理之完整指示。任何額外、替代之指示必須經雙方書面同意,包括與遵守此類指示相關的費用(若有)。
(3) 您聲明並保證:
i. 您將遵守所適用之法律,包括資料保護法律;
ii. 您將在處理個人資料之前,向您的個人資料相關的資料主體獲得所有必要的權利、許可或同意,以便您和 SHOPLINE 在處理該等個人資料、向 SHOPLINE 經由 SHOPLINE 平台揭露或轉移個人資料,以及提供 SHOPLINE 處理您的個人資料之指示時,能夠合法使用該等個人資料;
iii. 在協議範圍內處理個人資料或依據協議接受服務時,您的個人資料處理將不會違反任何所適用法律(包括資料保護法律)或任何一方之權利;
iv. SHOPLINE 依據您的指示處理您的個人資料時,不會使 SHOPLINE 違反任何所適用之法律(包括資料保護法律)或任何一方之權利;
v. 在向SHOPLINE提供個人資料之前,您將盡合理努力確保該個人資料之準確和完整性,並採取適當之措施確保 SHOPLINE 平台中的個人資料或其他由我們持有的個人資料保持準確和完整;
vi. 您是您的個人資料的控制者;
vii. 您應對 SHOPLINE 及其主管、員工和代理人進行賠償,以彌補因您違反本補充條款中之任何陳述或保證,或因您的任何行為、遺漏或過失而導致 SHOPLINE 違反所適用之法律(包括資料保護法律)而遭受或承擔之所有損失、責任、損害、費用(包括所有法律費用)、索賠、費用、主張、請求和訴訟之損失。
(4) SHOPLINE 不負責確認您的指示是否符合所適用之法律,包括任何適用之資料保護法律。然而,當 SHOPLINE 認為您的指示可能不符合適用之資料保護法律時,SHOPLINE 應盡快通知您,並有權不遵守或拒絕此類不符合法律之指示以減輕其風險;在此條款下,SHOPLINE 行使其減輕風險之權利,不會使其承擔責任或被視為違反協議或違約。
(5) 您瞭解並同意,在向 SHOPLINE 揭露、轉移或以其他方式提供任何個人資料前,您有責任自行遵守資料保護法律,確保蒐集、處理您的個人資料的合法性,並且您對 SHOPLINE 在處理該等個人資料上的指示均符合適用法律,包括任何所適用之資料保護法律。在符合法律要求的範圍內,一旦接到監管機構有關 SHOPLINE 處理您的個人資料的詢問或投訴,SHOPLINE 將及時通知您。
-
保密與安全
(1) SHOPLINE 將經由施行合理的安全措施(包括適當之物理、管理、程序和資訊通信技術措施),以保護 SHOPLINE 所持有之您的個人資料,以:
i. 預防未經授權的存取、蒐集、使用、揭露、複製、修改或處置您的個人資料,或類似的風險;
ii. 預防儲存個人資料之儲存介面或設備之損失。
(2) 依據本補充條款之目的,雙方瞭解並同意,協議中設定之安排屬於「合理、安全之措施」,足以滿足所適用的資料保護法律之要求,只要 SHOPLINE 滿足協議中的要求,您不得聲稱 SHOPLINE 未建立合理之安全措施。
(3) 您承諾並接受經由網際網路傳輸資料乃存在風險,並且無法保證網際網路上之資料傳輸能夠 100% 安全。資料傳輸可能容易受到駭客攻擊或針對 SHOPLINE 之任何形式的網路犯罪威脅。因此,SHOPLINE 無法保證或擔保您傳輸給我們的任何資訊的安全性,並且 SHOPLINE 免除對此類於 SHOPLINE 合理控制範圍之外的事件所導致或相關之任何責任;在任何情況下,SHOPLINE 對您因此類事件而遭受的任何損害(無論是契約還是侵權責任)均不承擔責任。
-
個人資料洩漏
若 SHOPLINE 有理由相信與您的個人資料有關之資料洩露事件發生,而 SHOPLINE 正代表您進行處理時,我們將立即通知您該資料洩露事件的發生。
-
合作
(1) 在符合法律要求或允許之範圍內,若 SHOPLINE 直接接收到要求行使其權利的資料主體,其依據所適用之資料保護法律而提出之請求,SHOPLINE 將立即通知您。依據所適用之法律,SHOPLINE 將實施合理之技術和組織措施,使您能夠執行您有責任履行之資料主體請求。
(2) 依據所適用之資料保護法律要求,SHOPLINE 將向您提供合理的協助,以便您進行與 SHOPLINE 進行之個人資料處理相關的任何資料保護影響評估,以及與監管機構進行之任何必要事前諮詢。SHOPLINE 保留向您收取合理費用之權利,以提供此類協助。
-
子處理
您同意 SHOPLINE 可以使用子處理者,來履行協議和本補充條款下之合約義務,或代表其提供某些服務,如提供支援服務。SHOPLINE 使用任何特定的子處理者來處理個人資料,應符合資料保護法律的要求,並受到 SHOPLINE 與子處理者之間包含資料保護義務之合約規範。該合約應提供與本補充條款中義務相同或更高程度之個人資料保護。
-
國際傳輸
在符合本條款之情況下,您瞭解並同意 SHOPLINE 可能將個人資料轉移到 SHOPLINE、其關係企業或其子處理者維護資料、處理業務或設施之所在。
-
個人資料之刪除
(1) 在服務終止後(無論基於任何原因。且在此期間內,我們可能會繼續處理資料,以讓您下載您的資料備份),SHOPLINE 將停止處理您的個人資料,並依據所適用之法律和法規(包括任何要求 SHOPLINE 保留您的個人資料作為記錄、合規和法律目的所適用之法律和法規),刪除或匿名化您的個人資料。雙方同意遵守協議中所規定之資料刪除機制。
(2) 基於蒐集該個人資料之目的或出於法律或業務目的,SHOPLINE 不會保留個人資料或包含個人資料的文件超出必要的期間。您承認並同意 SHOPLINE 依據您關於個人資料保存的合法指示,且您承認並同意本補充條款的第 2 條第 3 項、第 2 條第 4 項同樣適用於任何個人資料的保存。
-
可分性
若本補充條款之任何條款在任何所適用之法律下而被禁止、宣告無效或不可執行,則該條款僅在該禁止、無效或不可執行之範圍內失其效力,而不影響本補充條款之其他部分(其餘部分仍完全有效)。雙方將善意努力更換無效或不可執行之條款,並盡可能符合雙方最初之意思。
-
一般條款
(1) 除非本補充條款明確修改或修訂,否則協議中包含之所有條款、規定和要求仍然完全有效,並適用於本補充條款。若協議之條款與本補充條款之內容存有任何衝突或不一致之處,本補充條款則優先適用。為避免疑義,並在所適用法律允許之範圍內,本補充條款之所有責任,包括其限制,將由協議之相關條款所規範。
(2) SHOPLINE 可能會隨時更新本補充條款之內容,並將該更新納入本補充條款。若您不同意更新之部分,您得停止使用我們的服務或終止您的 SHOPLINE 帳戶。但請注意,在您有效終止 SHOPLINE 帳戶或停止使用我們的服務前,本補充條款對您仍適用之。
PCI
什麼是 PCI-DSS 合規?
PCI DSS(Payment Card Industry Data Security Standard)是一個針對接受或處理信用卡付款的組織或公司之資訊安全標準。
這個標準有助於建立一個安全的環境,並發展一個強大的支付卡資訊安全流程,以更好地控制持卡人資料,包括預防、檢測和對安全事件之適當反應,從而減少信用卡詐騙。
SHOPLINE PAYMENT 是否就 PCI 之部分合規?
是的,SHOPLINE PAYMENT 符合 Payment Card Industry Data Security Standards(PCI DSS)並且獲得了 Level 1 服務提供者的認證。
無論是 SHOPLINE PAYMENT 之支付處理者還是 SHOPLINE PAYMENT 本身,都符合PCI合規要求。
SHOPLINE PAYMENT 儲存什麼資料?
SHOPLINE PAYMENT 儲存商家結帳頁面輸入的資料,例如姓名、地址、國家等等。這些資料與付款資料(例如信用卡號碼、持卡人姓名和有效期限)的資料是分開儲存的。
我還有其他關於PCI-DSS的問題
有關 SHOPLINE PAYMENT 的服務供應商 PCI DSS 合規性證明(AoC*),請聯繫您的商戶成功經理。
*AoC 是供 SHOPLINE PAYMENT 證明其年度 PCI DSS 合規性評估結果的文件,屬於高度保密和特許文件。
CBPR
跨境隱私規則(Cross-Border Privacy Rules,CBPR)系統由亞太經濟合作組織(APEC)發起,旨在促進成員經濟體之間安全高效的跨境數據流動,同時確保強大的數據保護。該系統基於 APEC 隱私框架,要求參與的企業遵守與該框架一致的一套綜合性數據保護標準。
這些標準涵蓋了數據隱私的重要方面,包括個人資料的保護、責任、透明度和選擇權。CBPR 系統不僅增強了消費者隱私權,還通過使數據傳輸符合既定的隱私規範,促進了區域經濟一體化。獲得認證的公司將接受 APEC 批准的問責代理機構的評估,以驗證其遵守 CBPR 的隱私實踐。
截至目前,包括美國、日本、加拿大、韓國、新加坡、澳大利亞、中華台北、菲律賓和墨西哥在內的多個 APEC 成員經濟體已加入 CBPR 系統。這些成員的加入反映了 CBPR 作為亞太地區隱私實踐標準日益重要和受到認可。對於在這些經濟體開展業務的企業來說,CBPR 認證代表了在全球數字經濟中保護個人資料的承諾。
為了嚴格遵守跨境數據法規並更好地為新加坡以及各個國家的市場提供服務,SHOPLINE 已申請並成功獲得 CBPR 認證,遵守不同國家的跨境數據要求。
ISO/IEC 27001:2022
ISO/IEC 27001:2022 是國際認證的資訊安全管理系統標準,提供系統性的方法檢驗並保護公司以及消費資料的安全風險。2022 的版本由國際化標準組織 (ISO) 與國際電工委員會 (IEC) 在 2022 年 10 月 24 聯合發布,此標準已被廣泛的使用,來確保機密資訊的保密性、機密性以及存取。