作為專門服務NPO的公司,除了以我們自己的專業來協力非營利組織改變世界,我們也持續關注與實踐綠色供應鏈,盤點我們的採購與服務流程,而最近調查了公司使用的服務,很榮幸要跟大家分享的是,我們現有的網站與系統服務已經達到了94%的再生能源使用率,而新的網站與系統服務已全面採用再生能源服務,因此這個數字還在增加中。這讓我了解到,其實公司是有機會達成全面使用再生能源目標。
我們的公司雖小,但也需要像其他企業一樣,將一個目標訂出,我們預計在 2024 年底,讓所有的線上服務機房100%使用再生能源。立定這樣目標表示未來我們每使用一個雲端服務,都要妥善調查服務提供者的再生能源計劃,並確保他們具有足夠再生能源規劃、淨零排碳計畫以符合公司的目標,而現在我們正以穩定的步伐往這方向邁進。
我們使用的雲端服務現況
Google Cloud:已經連續五年達成100%的再生能源使用率,並正在積極推進淨零碳排放的目標。Google 是所有雲端服務最積極追求再生能源、淨零排碳的服務商,他們的計畫和概況也因此透明度最好,可以參考
如果你想要打造一個既有吸引力又功能完善的網站,並且將它與 CRM 系統整合,那麼 netiCRM 系統提供的整合建置網站服務,就能夠幫你實現這個目標!讓我們攜手打造一個客製化的官方網站。與 CRM 系統整合的網站,不論是對於後台管理者跟網站訪客,使用上都更加方便,絕對是讓你事半功倍的好選擇!
網站整合CRM的優點:
無縫使用者體驗:將捐款或報名流程直接嵌入網站,讓使用者可以在網站上完成交易,避免了使用者必須在不同的網站之間切換的麻煩。這提供了一致的使用者體驗,提高了使用者的滿意度。同時,網站主機可以保持品牌一致性,並提供額外的資訊或指導,幫助使用者更好地了解捐款或報名活動。
提高轉換率:當使用者需要跳轉到另一個站台時,可能會中斷交易或報名流程。將CRM嵌入製網站可以消除這個中斷,減少轉換率的流失。使用者能夠在熟悉的網站環境中完成交易,提高了完成捐款或報名的可能性。
OWASP 是一個開放社群、非營利性組織,全球目前有超過250個分會,其主要任務目標是不再有不安全的軟體。長期支持與協助提供改善應用程式的安全性解決方案,諸如網路軟體安全指南、工具與技術文件 OWASP Top Ten, OWASP Web Security Testing Guide, OWASP ZAP ...等等具有影響力的項目,並通過世界各地的活動和分會會議發展和培育社區。 美國聯邦貿易委員會(FTC)更強烈建議所有企業務必遵循OWASP所發佈的十大網路弱點防護守則 ( 參考 OWASP Response to FTC Staff Report Protecting Consumer Privacy in an Era of Rapid Change ),美國防資訊系統局(DISA-STIG)亦將此守則列為最佳實務,而國際信用支付卡資料安全技術標準 PCI DSS 更將其列為必要元件。
OWASP Zed Attack Proxy (簡稱 ZAP) 於2010年9月從 Open Web Application Security
apt-get install -y -qq apt-utils autoconf automake build-essential git libcurl4-openssl-dev libgeoip-dev liblmdb-dev libpcre++-dev libtool libxml2-dev libyajl-dev pkgconf wget zlib1g-dev libmodsecurity-dev libmodsecurity3
公司治理需要找到一個好的方式來綜覽是否各個事務都有做好資安配置,之前網路星期二聽到 Allen Own 演講的內容提到的 NIST Cybersecurity Framework 讓我非常感興趣,畢竟有個框架,才知道怎樣盤點公司狀態,來看我們面對資安事務的準備有哪些方面不足。
NIST Cybersecurity Framework 很有趣的是,把資安相關的事情,做了一個生命週期的分類。從識別、安全保護、偵測資安事件、應對資安事件、和從資安事件復原,可以看出其概念上是想要傳輸大家對資安事件有正確的理解,裡頭的內容也算簡單易讀,對於公司治理的管理人、負責研發的人員、負責業務的人員、客服等等,都有幫助。雖然國內盛行的認證是 ISO 27001,較無聽說根據 NIST Cybersecurity
網站安全性,其中一個是擁有安全的備份檔案,尤其是資料庫的費份,包含了帳號、密碼雜湊、使用者個資等,更應該注重安全性。該備份不應明碼儲存,更不應放在同一臺主機上的 web 權限可以取得之處,以免網站被攻破時,連帶將你的備份帶走保存;甚至刪除你的原始備份,這樣就完全沒有備份的效果了。
因此,實現備份時,種種顧慮下,第一步一定是將備份的檔案正確的加密,我們建議使用非對稱金鑰來實現這樣的工作,因為非對稱金鑰可以讓系統自動備份時,使用可以公開的公鑰進行檔案加密,就算被竊取走,也不用擔心備份的檔案被解密。需要解密時,使用僅存於少數人中的私鑰解密,讓加密備份安全無虞。
使用 Linux 環境,可以使用 OpenSSL 來達成此工作。先使用以下指令產生非對稱金鑰:
openssl req -x509 -nodes -newkey rsa:2048 -keyout private.key -out public.key
該金鑰如前述,public.key 要儲存於伺服器中, private.key 則是存在真正有權限的使用者安全處。
如果使用 MariaDB,我們推薦使用 Markabackup 來進行資料庫的備份,比起傳統的 mysqldump,mariabackup 支援熱備份,且對網站的造成影響較小,不會讓資料庫在備份過程中斷線,詳細可以參考
在進行程式碼開發時,有一些開發習慣常常會造成程式漏洞,有時候會進而導致資安問題,
以下列出幾項常見的開發習慣造成的資安問題與錯誤與大家分享
$_GET 或 $_POST 參數漏洞
資料型別檢查失效漏洞
不完整的存取權限
netiCRM.tw提供NGO/NPO線上捐款、報名活動、列印收據、整合管理組織聯絡人名單。
netiCRM 基於 CiviCRM 中文優化的開發成果,亦由相同授權 GNU AGPL 釋出。
