PCI DSS
Level 1
支付卡數據環境(CDE)分區、嚴格存取與日誌審計,符合支付卡行業最高等級要求。
適用:卡品牌相關處理與托管流程
合規是我們業務的底線
在靈活的業務創新背後,是嚴格的合規體系與信息安全保障。
合規重點
遵循 FATF 建議與行業最佳實踐:客戶盡職調查(CDD/EDD/MDD)、交易監控、可疑交易報告(STR),以及多源制裁/聲譽名單篩查。以下為篩查與監控維度示例,實施範圍以合同與當期審計為準。
Screening dimensions
政治人物
制裁名單
前政治人物
信譽風險
公衆人物
執法名單
政治人物關聯企業
博彩風險情報
國有企業
政治人物關連人士
認證與控制措施
以下為平台層級的安全控制摘要,實施範圍以合同與當期審計報告為準。
ISO
27001
信息安全管理體系(ISMS)覆蓋政策、資產、供應商與事件響應,年度覆審。
適用:全公司信息資產
TLS
1.3
對外 API 與控制台預設 TLS 1.3,禁用弱密碼套件,密鑰與證書按週期輪換。
適用:公網傳輸鏈路
AES-256
靜態加密
敏感欄位與備份資料採用分層密鑰與信封加密,密鑰材料與應用分離。
適用:資料庫與對象存儲
HSM
密鑰保護
簽名與根密鑰操作在硬件安全模組內完成,降低軟件泄露風險。
適用:簽名、令牌化關鍵路徑
Pentest
第三方測試
委託獨立團隊進行滲透測試與缺陷閉環,重大變更後加測。
適用:核心支付與管理後台
隱私與資金運營
數據隱私
- 法域
- 遵守香港《個人資料(私隱)條例》;涉及歐盟主體時遵循 GDPR 最小化與目的限制原則。
- 共享
- 不出售個人資料;與第三方共享僅在履行合同或法律要求下,並以協議約束子處理者。
- 生命周期
- 依保留政策歸檔與刪除;商戶可請求導出或刪除(在法律允許範圍內)。
資金與對賬
- 隔離
- 商戶資金與公司運營資金分賬管理,流程與報表可按月提供。
- 托管
- 結餘存放於持牌金融機構,具體機構名稱以商務合同披露為準。
- 對賬
- 系統定時對賬與異常告警;大額或高風險交易進入複核隊列。
- 保險
- 董事及高級職員責任保險(D&O)等常規公司治理安排。