Foxpass 合規

Foxpass（Splashtop 旗下公司）遵循最高標準的資訊安全與隱私規範。

我們的解決方案是在 Splashtop 經認證的資訊安全管理系統（ISMS）及經稽核的控制框架下開發與營運，協助客戶符合各行各業自身的合規要求。

通過以下認證： ISO/IEC 27001:2022 | SOC 2 Type 2
符合以下法規： GDPR | CCPA
支援客戶遵循： ISO/IEC 27001 | SOC 2 | GDPR | AU Privacy Act (APPs) | CCPA | HIPAA | PCI DSS | FERPA

Foxpass 解決方案可協助客戶實施身分與存取控制、網路分段、SSH 金鑰與特權存取管理 (PAM)、詳細記錄，以及符合這些法規架構與零信任安全原則的加密防護措施。

Splashtop 已通過 ISO/IEC 27001:2022 認證，這是全球領先的資訊安全管理系統（ISMS）標準。這項認證確認 Splashtop 及其 ISMS 下營運的所有 Foxpass 服務，皆維持一套全面且經獨立稽核的安全計畫，涵蓋人員、流程與技術。

認證範圍：包含 Foxpass Cloud RADIUS、PKI、Cloud LDAP 和 SSH Key Management 在內的 SaaS 服務之開發、維護與營運。

ISO 27001 的 2022 年更新更加強調雲端服務安全、威脅情報、隱私保護設計、營運韌性，以及第三方風險管理。

Foxpass 如何支援貴組織符合 ISO 27001 合規要求：
Foxpass 可協助組織實施並維護符合 ISO/IEC 27001 附錄 A 要求的控制措施，特別是與身分與存取管理（A.9）、特權存取控制、網路安全及事件記錄相關的控制措施。透過自動化使用者驗證、落實最低權限原則，並維持集中式稽核軌跡，Foxpass 可簡化持續性的 ISMS 合規作業與稽核就緒準備。

Splashtop 已達到 SOC 2 Type 2 規範標準，並依據 AICPA《信任服務標準》，經過獨立稽核人員對安全性、可用性和機密性進行的驗證。就資料保護和服務可靠度方面而言，Foxpass 客戶亦可獲得同樣嚴格控管的環境所帶來的益處。

公開的 SOC 3 報告可供參考。
如需其他 SOC 2 文件，則須簽署 NDA 後提出申請方可取得。

Foxpass 如何支援您的 SOC 2 合規表現：
Foxpass 可協助客戶達到關鍵的《SOC 2 信任服務標準》，尤其是關係到存取控制 (CC6.x) 和系統運作 (CC7.x) 的那些準則。透過集中化驗證、詳細存取記錄和憑證式驗證，Foxpass 讓客戶能在其 SOC 2 稽核時展現有效的存取管理和監控。

Splashtop 已獲 CSA STAR 第 1 級合規認證，突顯出我們致力打造卓越的雲端安全表現。我們按照 CSA Cloud Controls Matrix (CCM) 和 CAIQ 完成了全面性的自我評估，堅持最高標準的透明度；您的資料始終受到保護，大可放心。您可以在此檢視我們在 CSA STAR Registry 發布的評估結果。

身兼資料控制者和資料處理者的 Foxpass 和 Splashtop，均遵守歐盟 GDPR 的原則和義務。

我們採取將資料保護納入設計的做法，只在客戶服務的必要環節收集個人資料，並使用強大的加密技術來保護所有資料在傳輸過程和靜態存放時的安全。

我們與子處理者簽訂資料處理協議 (DPA)，並協助處理客戶對於存取、修正及刪除個人資料的相關要求。

我們已正式與第三方專業公司共同檢視我們的 GDPR 準備情形，並訂定了額外的程序和適當的溝通管道，來處理企業內外所有關於 GDPR 的詢問和任務。

詳情請參閱 Splashtop 隱私政策和企業資料處理協議。

Foxpass 如何支援您的 GDPR 合規性
Foxpass 透過實現資料存取、驗證和安全性相關的關鍵技術和組織控制，協助組織加強對歐盟《一般資料保護規則》(GDPR) 的合規表現。

具體而言，Foxpass 透過以下方式協助達成 GDPR 要求：

• 強制執行身分識別型和角色型存取控制 (第 5 條、第 32 條)：
  確保只有授權使用者和託管裝置可以存取儲存或處理個人資料的系統。

• 透過設計支援資料保護 (第 25 條)：
  與雲端身分識別供應商 (Entra ID、Okta、Google Workspace) 無縫整合，強制執行最低權限存取和安全網路分割，進而降低資料暴露風險。

• 提供詳細記錄檔且可供稽核 (第 30 條)：
  維護全面的存取記錄，支持著問責機制並有利於證明合法、安全的資料處理。

• 保護傳輸中的資料 (第 32 條)：
  使用憑證式與加密驗證方法 (EAP-TLS、LDAPS、HTTPS)，防止個人資料遭攔截。

• 簡化證明合規的方法：
  讓 IT 和安全團隊能夠在內部稽核或監管機構審查時，證明存取控制和安全措施。

《1988 年澳洲隱私法》（Australian Privacy Act 1988 (Cth)）以及澳洲隱私原則（APPs）規範組織如何蒐集、使用及保護個人資訊。Foxpass 透過提供強大的技術與組織性防護措施，協助客戶強化對這些義務的合規性。

Foxpass 透過以下方式協助符合 APP 對齊的合規要求：

• 附錄 1－個人資訊管理

  • 透過詳細的驗證和存取記錄，實現透明的存取治理

  • 支援要求受控存取個人資訊的組織原則

• APP 6 – 個人資訊的使用或揭露

  • 對處理個人資訊的系統強制執行最小權限與身分導向存取

  • 確保只有通過驗證的使用者與裝置能夠連接，降低未經授權的資訊外洩風險

• APP 11－個人資訊安全
  Foxpass 可協助實現符合 APP 11 的安全措施，包括：

  • 憑證式驗證（EAP-TLS）

  • 加密目錄存取（LDAPS）

  • 特權存取與 SSH 金鑰管理

  • 動態 VLAN 型網路分段

  • 全面且不可竄改的稽核記錄

• 附錄 12－個人資訊存取

  • 確保存取個人資訊的人員通過安全的身分驗證

  • 支援安全的管理存取工作流程

根據 CCPA，加州居民可要求存取、刪除或取消授權其個人資訊的出售或分享。

如我們的隱私政策所述，Splashtop 及包含在內的 Foxpass 都維持透明的隱私實務做法，並提供行使這些權利的機制。

雖然 Splashtop 和 Foxpass 並非 HIPAA 規範下的 Business Associates，且不會處理病患紀錄，但 Foxpass 可透過以下方式協助客戶推動 HIPAA 安全規則合規計畫：

• 對網路與伺服器存取強制執行身分與憑證式驗證

• 支援 MFA 與傳輸中加密，以保護 ePHI

• 管理 SSH 金鑰與特權存取，確保只有經授權的管理員才能存取關鍵系統

• 集中管理存取控制，並維持詳細的稽核記錄

• 透過動態 VLAN 指派簡化網路分段，確保只有授權使用者與受信任裝置才能存取敏感系統

這些控制措施構成 HIPAA 所要求之技術性防護措施的一部分，有助於符合存取管理、驗證及稽核要求。

支付卡產業資料安全標準 (PCI DSS) 訂有嚴格的要求，規範如何保護持卡人資料，以及處理或傳輸付款資訊的網路。

Foxpass 不會儲存或處理持卡人資料，但是會提供保護持卡人資料環境 (CDE) 所需的身分識別和存取控制、稽核記錄和網路分割功能，藉此協助符合 PCI DSS 規範。

組織單位會使用 Foxpass 來：

• 強制對於處理付款資料的系統，依據身分識別提供最低權限存取

• 使用 SSH 金鑰和特殊權限存取管理，限制和監控管理員存取權

• 針對 PCI DSS 控制驗證，記錄和稽核驗證事件

• 使用 RADIUS 型 VLAN 原則分割網路，將 CDE 與一般使用者流量隔離

Splashtop 僅與符合 PCI DSS 的付款供應商合作，為的就是能安全處理交易，確保所有卡片資料均依 PCI 要求處理。

FERPA 保護學生教育記錄中的個人身分識別資訊 (PII)，避免遭未經授權洩露。

Foxpass 透過身分識別式和憑證式驗證，確保網路和系統存取的安全，進而協助教育機構遵循 FERPA 規範。Foxpass 會確保只有經過驗證的使用者和託管裝置才能存取校園 Wi-Fi、伺服器和系統，加強對敏感學生和機構資料的保護機制。

Foxpass 不會存取或儲存學生記錄，並遵循業界最佳的加密和隱私保護做法。

深入了解 Splashtop 和 FERPA：Splashtop FERPA 資訊表

Foxpass 由 Splashtop 安全的雲端基礎架構提供支援，集結了：

• 端對端加密技術和強制執行 TLS 1.2+ 的功能

• 持續監控與獨立弱點評估

• > 99.9% 時間正常運作，且提供全球備援

• 全面的稽核記錄功能，可供證明合規性

詳情請查看 Splashtop 安全總覽和技術與組織措施 (TOM)。

如需合規文件、問卷或安全性的相關諮詢，請透過電子郵件聯絡我們：sales@splashtop.com，或直接來電洽詢：+1.408.886.7177。