安全与合规
安全与私隐是经纪行数字化的基础能力。Insuraim 采用多层防护、权限控制、标准化数据流程与合规框架,协助团队在可控、安全的环境中运营
清晰的角色与边界
Insuraim 是您的技术与数据基础设施合作伙伴,而非业务渠道的竞争方。
商业模式
以 SaaS 订阅与实施服务费用为主要收入来源,收费结构透明、与平台使用范围直接对应,不参与保费或佣金分成。
数据与业务边界
平台仅在履行合同约定的服务、保障系统安全及满足合规要求的前提下处理客户数据,不基于平台数据开展独立零售业务或第三方营销活动,亦不会将客户可识别数据用作名单交易。
我们的角色定位
作为独立的技术与数据基础设施提供方,专注为保险经纪行与专业顾问团队提供平台与工具,不参与机构与终端客户之间的业务撮合与渠道竞争。
数据治理与法律框架
Insuraim 在平台设计与运营中,以香港《个人资料(私隐)条例》(PDPO)及其六项资料保障原则为基础,包括:收集目的与方式、准确性与保存期限、用途限制、数据安全、政策公开及查阅与更正权利等。
对采用云服务场景,我们参考私隐专员公署最新的《云端运算指引》,在合约、技术与组织措施上,协助机构履行作为「资料使用者」的责任,如明确定义数据用途、存放地点、删除安排及日志记录等。
- 明确区分数据使用者(经纪行 / IFA)与数据处理者(Insuraim)的角色
- 在合同与 DPA 中列明数据用途、保留期限、删除与返还机制
- 提供协助以支持机构履行 DPP1–DPP6 下的义务(查阅、更正、通知等)
平台安全控制
我们参考 PCPD《数据安全措施指引》和香港保险业在网络安全方面的通用做法,逐步建立多层防护的云端安全架构
加密与传输安全
全站 HTTPS/TLS 1.2+ 加密传输,敏感数据(如 PII)存储层 AES-256 加密。
多租户隔离
严格的逻辑隔离架构,确保任意租户无法访问其他租户的数据。
细粒度权限控制
基于 RBAC 的角色权限模型,支持字段级的可见性控制与最小授权原则。
审计日志
关键操作(查询、导出、修改)全链路留痕,支持追溯与审计。
灾备与连续性
数据异地实时备份,设计支持较短 RPO/RTO,并通过备份与恢复演练持续优化。
网络防护
配备 WAF Web 应用防火墙与 DDoS 防护,抵御恶意攻击。
运维与第三方管理
在云架构下,数据保护是一种「共享责任」。我们在内部运维与第三方管理上采取以下做法:
默认不浏览
日常运维不需要员工直接浏览具体业务数据
受控访问
如需排障,在客户授权前提下启用有时效限制的临时访问,并完整记录操作
供应商尽调
对云服务商及安全工具供应商进行尽职调查,并通过合约要求其满足相应的安全与数据删除义务
定期审视
定期审视服务供应商的合规状态和安全报告
法规对齐思路
我们密切关注并遵循相关的监管指引。
- 《个人资料(私隐)条例》六项资料保障原则 (DPP)
- 私隐专员公署 (PCPD) 关于云端运算使用的相关指引
- 保险业监管局 (IA) 关于网络安全 (GL20) 相关要求
需要更详细的合规材料?
若你是经纪行的 RO、合规、IT 或风险管理负责人,我们可以提供《Insuraim 安全与合规白皮书》以及与 PDPO 六项资料保障原则、PCPD 云端运算指引和保险业 GL20 网络安全框架的对照说明,协助你向内部合规与管理层汇报评估结果。
联系我们