客戶數據私隱

本集團致力保障客戶資料私隱及維持高水平網絡安全，透過完善政策、治理架構及技術措施落實相關管理。集團遵循《個人資料（私隱）條例》的六大原則，確保資料收集合法、公平及透明，並僅用於指定用途，同時維持資料最少化、準確性，以及在合適期限內安全保存。資料在整個生命週期中均受到嚴格保護，包括建立、儲存、處理、傳輸及銷毀階段，並配合多重身份驗證、加密及權限管理等控制措施。

員工僅可基於合規及業務需要處理個人資料，並須遵守行為守則及相關政策，資料只會按「需要知道」原則共享，並嚴格履行與第三方的保密責任。

網絡安全框架及緊急應變計劃

在網絡安全方面，集團採用多層防禦策略，結合人員、流程及科技，涵蓋實體、網絡、終端裝置、應用程式及數據安全，同時強化培訓與意識提升。資訊安全委員會負責整體監督，包括政策制定、風險管理、事故處理及合規工作，並定期檢視威脅趨勢及防護成效。

集團已建立完善的應急應變機制，明確界定管理層、應變團隊及員工的角色，並制定事故識別、處理、緩解及溝通程序。透過定期演練及培訓，提升整體應對能力及協調效率。

在技術層面，集團採用多項先進工具加強防護能力，包括人工智能監測、入侵偵測、防護系統、漏洞管理、集中化安全分析、威脅情報平台、數碼取證工具及數據備份與復原方案。

建立有效的溝通管道

同時，集團建立開放通報機制，鼓勵員工透過內部渠道回報安全事件，並持續進行風險評估及審核，以應對新興威脅。全年提供多元培訓，涵蓋網絡釣魚、社交工程及新型風險（如深偽技術），並透過模擬測試及定期資訊發布，加強員工警覺性。

安全認證

集團已取得ISO/IEC 27001:2022資訊安全管理認證，並符合PCI DSS v4標準，體現其在保護客戶資料方面的國際水平，同時亦獲得業界對其網絡安全及員工培訓工作的肯定。