資料安全評估（DSA）

資料安全評估（Data Security Assessment, DSA）是對企業在資料全生命週期（採集/傳輸/儲存/使用/共享/刪除）中所面臨的風險、控制措施與執行有效性進行系統性驗證的工作。對港信通而言，評估目標不僅是“滿足條款”，更是形成可對監管、銀行、合作方與審計方復用的一套證據化材料與整改路線圖，降低合規與業務中斷風險。

我們採用「業務場景—資料資產—威脅模型—控制映射—取證驗證—整改閉環」的方法，重點解決以下三類高頻問題：
1）數據到底在哪裡、誰在用、給了誰（資料視覺化與可追溯）；
2）控制有沒有做、做得是否有效（制度+技術+營運三位一體驗證）；
3）跨境/外包/雲端上場景如何滿足盡調與問詢（合同、紀錄、權限與持續監控證據）。

評估可對齊多種常用框架與監理關注點（依客戶業務與所在地選擇口徑）：
資訊安全與隱私管理：國際標準化組織/國際電工委員會 27001、27701、NIST CSF/800-53；
資料與隱私合規：本地個人資料/隱私法規要求、跨境傳輸與第三方共享合規要求；
金融合規聯動：AML/KYC資料治理、交易監測資料留存與可解釋性、審計追溯要求。

如需同步推進隱私合規，可銜接：個人信息保護 與 數據隱私政策制定。

我們建議將評估範圍拆解為可執行的八個維度，便於形成明確的差距清單（GAP List）與整改優先級：

1. 資料資產盤點與分級分類：客戶識別資訊、交易與資金流數據、設備與行為數據、風控與監測模型數據、員工與供應商數據等。
2. 資料流映射（含跨境）：系統間、應用程式介面、文件交換、BI/資料倉儲、客服/工單、第三方SaaS/外包之間的流轉路徑與共享邊界。
3. 權限與身分治理：最小權限、職責分離、特權帳號、離職與變更、訪問復核、MFA與密鑰輪換。
4. 加密與金鑰管理：傳輸/儲存加密、HSM/金鑰託管、證書生命週期、金鑰權限分離與審計。
5. 日誌留痕與可審計性：關鍵操作日誌、查詢與匯出審計、集中儲存、防篡改、保留期限與檢索演練。
6. 安全開發與變更管理：SDLC、程式碼審查、漏洞管理、依賴組件與供應鏈、配置基線與變更審批。
7. 第三方與外包管理：盡調、合約安全條款、資料處理指令、分包控制、退出機制、持續監控證據。
8. 事件回應與業務連續性：告警閉環、分級回應、演練記錄、取證與複盤、RTO/RPO與備份復原驗證。

如需與業務系統建置連動，我們可對接：KYC身份驗證系統、eDon TM 交易監控系統、港信通AML/CRM合規系統，形成「數據—風控—合規」一致的證據鏈。

以下為我們在金融與跨境業務中經常發現的“高頻不通過點”，也是銀行與大型合作方盡調最重視的部分：

• 權限過大與缺少複核：共享帳號、特權帳號未隔離、離職權限未及時回收、缺少週期性訪問複核記錄。
• 日誌不可用：有日誌但分散、無集中檢索、無法關聯到個人、保留期限不滿足業務與合規需求，或缺少防篡改措施。
• 第三方管理薄弱：合約缺少資料處理條款/審計權/分包限制；供應商缺乏年度複審與退出方案。
• 資料共享邊界不清：集團內部共享、外包客服/營運共享、BI報表匯出缺少審核與留痕，難以回答「給了誰、為何給、給了什麼”。
• 雲端配置風險：儲存桶/資料庫公網暴露、密鑰管理弱、缺少基線與持續配置審計。
• 緊急應變“紙面化”：缺少演練證據、告警閉環、取證流程與對外溝通機制，事件發生後無法快速自證與停損。

若涉及跨境合規要求，建議同步評估業務連結與對外材料一致性，必要時可延伸至：營銷資料審查 與 跨境業務合規。

資料安全評估的專案費用通常取決於系統數量、第三方數量、是否涉及跨境資料流與是否需要出具可對外的審計證據包。若您的評估與牌照/銀行盡調同步推進，建議將資料安全工作納入整體合規預算進行統籌。

以下為香港MSO（Money Service Operator）申請常見成本矩陣（HKD）供預算規劃參考：

如您同時推動開戶與合規建設，可參考：香港（匯豐/渣打/恆生）開戶 與 金融科技合規諮詢，將材料口徑與證據鏈一次性統一，降低重複溝通成本。

如您的目標是同時滿足監管合規、銀行盡調與客戶審計，建議將資料安全評估與以下模組連結推進：

• 金融科技合規諮詢：將資料治理納入整體合規架構與稽核證據鏈。
• 個人信息保護 / 數據隱私政策制定：統一對外揭露與對內制度，降低口徑不一致風險。
• 風險評估系統：把識別—處置—複評流程產品化，支撐持續合規。
• 跨境業務合規：涵蓋跨境資料流與外包鏈路的法律與營運閉環。

如需我們協助範圍界定與初步診斷，請透過 關於我們 提交您的系統清單與業務概況，我們將提供可執行的評估計畫與交付清單。