在 2024 年的尾聲，我們特別推出了一項專屬客戶的免費網站診療服務。
不僅是感謝大家對我們長期的支持，更希望藉由實際的行動，幫助 NPO 夥伴提升網站的使用體驗，使日常工作更加順暢。

網絡行動科技提供線上的軟體即服務（SaaS）將近十年，從系統伺服器建構，網站架設，到防火牆資訊安全管理等等，都是我們建立安全服務的核心。

因應日漸嚴重的資安議題，也發現坊間許多 NPO 的網站不甚安全，今年（2023）開始，網絡行動科技的 5 位技術同仁決定提供一個志願服務NPO的計畫：NPO網站資訊安全健康檢查。

一般來說，資安工作是專業且領域很廣闊的，坊間有各種專業的公司提供各式服務，這些工作非常重要，也值得想要採取進一步資安建設的單位採購、採用這些服務。

然而，以多年提供資訊服務的經驗，NPO 要挑選合適的資安產品通常面臨一些門檻如：組織對於自身資訊安全需求了解不足、組織對採購哪方面的資安服務才有效果沒有足夠基礎知識、組織對於做好資安的想像大多覺得遙不可及。

作為專門服務NPO的公司，除了以我們自己的專業來協力非營利組織改變世界，我們也持續關注與實踐綠色供應鏈，盤點我們的採購與服務流程，而最近調查了公司使用的服務，很榮幸要跟大家分享的是，我們現有的網站與系統服務已經達到了94%的再生能源使用率，而新的網站與系統服務已全面採用再生能源服務，因此這個數字還在增加中。這讓我了解到，其實公司是有機會達成全面使用再生能源目標。

我們的公司雖小，但也需要像其他企業一樣，將一個目標訂出，我們預計在 2024 年底，讓所有的線上服務機房100%使用再生能源。立定這樣目標表示未來我們每使用一個雲端服務，都要妥善調查服務提供者的再生能源計劃，並確保他們具有足夠再生能源規劃、淨零排碳計畫以符合公司的目標，而現在我們正以穩定的步伐往這方向邁進。

我們使用的雲端服務現況

如果你想要打造一個既有吸引力又功能完善的網站，並且將它與 CRM 系統整合，那麼 netiCRM 系統提供的整合建置網站服務，就能夠幫你實現這個目標！讓我們攜手打造一個客製化的官方網站。與 CRM 系統整合的網站，不論是對於後台管理者跟網站訪客，使用上都更加方便，絕對是讓你事半功倍的好選擇！

網站整合CRM的優點：

• 管理者只要登入一組帳號，就能夠同時管理網站與 CRM；此外，仍然保有 netiCRM 細緻的角色權限，可依據組織需求來設定。
• 捐款或報名活動時，不用跳出到 netiCRM 站台，而是停留在網站上完成捐款/報名流程；這帶來了以下好處：

  • 無縫使用者體驗：將捐款或報名流程直接嵌入網站，讓使用者可以在網站上完成交易，避免了使用者必須在不同的網站之間切換的麻煩。這提供了一致的使用者體驗，提高了使用者的滿意度。同時，網站主機可以保持品牌一致性，並提供額外的資訊或指導，幫助使用者更好地了解捐款或報名活動。

  • 提高轉換率：當使用者需要跳轉到另一個站台時，可能會中斷交易或報名流程。將CRM嵌入製網站可以消除這個中斷，減少轉換率的流失。使用者能夠在熟悉的網站環境中完成交易，提高了完成捐款或報名的可能性。

OWASP 簡介

OWASP 是一個開放社群、非營利性組織，全球目前有超過250個分會，其主要任務目標是不再有不安全的軟體。長期支持與協助提供改善應用程式的安全性解決方案，諸如網路軟體安全指南、工具與技術文件 OWASP Top Ten, OWASP Web Security Testing Guide, OWASP ZAP ...等等具有影響力的項目，並通過世界各地的活動和分會會議發展和培育社區。 美國聯邦貿易委員會（FTC）更強烈建議所有企業務必遵循OWASP所發佈的十大網路弱點防護守則 ( 參考 OWASP Response to FTC Staff Report Protecting Consumer Privacy in an Era of Rapid Change ），美國防資訊系統局（DISA-STIG）亦將此守則列為最佳實務，而國際信用支付卡資料安全技術標準 PCI DSS 更將其列為必要元件。

網站安全性，其中一個是擁有安全的備份檔案，尤其是資料庫的費份，包含了帳號、密碼雜湊、使用者個資等，更應該注重安全性。該備份不應明碼儲存，更不應放在同一臺主機上的 web 權限可以取得之處，以免網站被攻破時，連帶將你的備份帶走保存；甚至刪除你的原始備份，這樣就完全沒有備份的效果了。

因此，實現備份時，種種顧慮下，第一步一定是將備份的檔案正確的加密，我們建議使用非對稱金鑰來實現這樣的工作，因為非對稱金鑰可以讓系統自動備份時，使用可以公開的公鑰進行檔案加密，就算被竊取走，也不用擔心備份的檔案被解密。需要解密時，使用僅存於少數人中的私鑰解密，讓加密備份安全無虞。

1. 產生非對稱金鑰

使用 Linux 環境，可以使用 OpenSSL 來達成此工作。先使用以下指令產生非對稱金鑰：

openssl req -x509 -nodes -newkey rsa:2048 -keyout private.key -out public.key

該金鑰如前述，public.key 要儲存於伺服器中， private.key 則是存在真正有權限的使用者安全處。

什麼是 VS Code？

收集捐款行為、分析捐款行為，可以挖掘資料的最大價值、協助組織擬定募款策略、永續經營。