安全與合規
安全與私隱是經紀行數碼化的基礎能力。Insuraim 採用多層防護、權限控制、標準化數據流程與合規框架,協助團隊在可控、安全的環境中營運
清晰的角色與邊界
Insuraim 是您的技術與數據基礎設施合作夥伴,而非業務渠道的競爭方。
商業模式
以 SaaS 訂閱與實施服務費用為主要收入來源,收費結構透明、與平台使用範圍直接對應,不參與保費或佣金分成。
數據與業務邊界
平台僅在履行合同約定的服務、保障系統安全及滿足合規要求的前提下處理客戶數據,不基於平台數據開展獨立零售業務或第三方營銷活動,亦不會將客戶可識別數據用作名單交易。
我們的角色定位
作為獨立的技術與數據基礎設施提供方,專注為保險經紀行與專業顧問團隊提供平台與工具,不參與機構與終端客戶之間的業務撮合與渠道競爭。
數據管治與法律框架
Insuraim 在平台設計與營運中,以香港《個人資料(私隱)條例》(PDPO)及其六項資料保障原則為基礎,包括:收集目的與方式、準確性與保存期限、用途限制、數據安全、政策公開及查閱與改正權利等。
對採用雲端服務場景,我們參考私隱專員公署最新的《雲端運算指引》,在合約、技術與組織措施上,協助機構履行作為「資料使用者」的責任,如明確定義數據用途、存放地點、刪除安排及日誌記錄等。
- 明確區分資料使用者(經紀行 / IFA)與資料處理者(Insuraim)的角色
- 在合同與 DPA 中列明數據用途、保留期限、刪除與返還機制
- 提供協助以支援機構履行 DPP1–DPP6 下的義務(查閱、改正、通知等)
平台安全控制
我們參考 PCPD《數據安全措施指引》和香港保險業在網絡安全方面的通用做法,逐步建立多層防護的雲端安全架構
加密與傳輸安全
全站 HTTPS/TLS 1.2+ 加密傳輸,敏感數據(如 PII)存儲層 AES-256 加密。
多租戶隔離
嚴格的邏輯隔離架構,確保任意租戶無法訪問其他租戶的數據。
精細權限控制
基於 RBAC 的角色權限模型,支援欄位級的可見性控制與最小授權原則。
審計日誌
關鍵操作(查詢、匯出、修改)全鏈路留痕,支援追溯與審計。
災備與連續性
數據異地實時備份,設計支援較短 RPO/RTO,並通過備份與恢復演練持續優化。
網絡防護
配備 WAF Web 應用防火牆與 DDoS 防護,抵禦惡意攻擊。
營運與第三方管理
在雲端架構下,數據保護是一種「共享責任」。我們在內部營運與第三方管理上採取以下做法:
預設不瀏覽
日常營運不需要員工直接瀏覽具體業務數據
受控訪問
如需故障排除,在客戶授權前提下啟用有時效限制的臨時訪問,並完整記錄操作
供應商盡職調查
對雲端服務商及安全工具供應商進行盡職調查,並通過合約要求其滿足相應的安全與數據刪除義務
定期審視
定期審視服務供應商的合規狀態和安全報告
法規對齊思路
我們密切關注並遵循相關的監管指引。
- 《個人資料(私隱)條例》六項資料保障原則 (DPP)
- 私隱專員公署 (PCPD) 關於雲端運算使用的相關指引
- 保險業監管局 (IA) 關於網絡安全 (GL20) 相關要求
需要更詳細的合規材料?
若你是經紀行的 RO、合規、IT 或風險管理負責人,我們可以提供《Insuraim 安全與合規白皮書》以及與 PDPO 六項資料保障原則、PCPD 雲端運算指引和保險業 GL20 網絡安全框架的對照說明,協助你向內部合規與管理層匯報評估結果。
聯絡我們