📋 使用說明:本文件須由診所 IT 負責人或院長核閱並簽署,連同《brioCAST 醫療場域排隊服務條款》(附約 E-S)及《資料處理協議》(附約 E-D)一同存檔,作為醫療院所向衛生福利部資通安全主管機關說明第三方 SaaS 工具安全邊界之依據。
1供應商身分與軟體性質聲明
1.1 供應商身分:酷石有限公司(TiKOUS, Inc.,以下稱「本公司」)為合法設立之 SaaS 軟體供應商,提供數位看板管理平台(brioCAST)及醫療場域排隊輔助工具。本公司非醫療器材廠商,亦非醫療服務提供者,本軟體不構成醫療行為之一部分。
1.2 軟體性質聲明:部署於診所 Windows 設備上之「brioCAST 邊緣代理程式(Edge Agent)」(以下稱「本軟體」)為合法商業 SaaS 工具,本公司鄭重聲明:
- 本軟體不含任何惡意程式碼、後門、rootkit 或未授權的資料收集機制。
- 本軟體不採隱形安裝模式。安裝時顯示圖形 UAC 授權對話框,需診所管理員明確點擊「確認」方可完成安裝。
- 安裝完成後,本軟體於 Windows 作業系統右下角系統匣(System Tray)顯示常駐圖示,診所 IT 人員可隨時確認程式運行狀態。
- 診所 IT 人員得隨時透過「控制台 → 程式集」執行標準解除安裝,解除安裝程序將自動觸發本地資料安全清除。
關於 -H=windowsgui 編譯旗標的說明:本軟體在 Windows 上使用 -H=windowsgui 參數編譯,其唯一目的是隱藏空白的命令提示字元(CMD)視窗,此為所有 Windows 視窗應用程式之標準做法,與「隱藏程式本身」無關。程式本體透過系統匣圖示持續可見,符合資安法對軟體可見性的要求。
2技術安全架構說明(供 IT 部門稽核)
本軟體採用「零知識邊緣映射架構(Zero-Knowledge Edge Mapping Architecture)」,具體技術實作如下:
加密演算法
AES-256-GCM(美國 NIST SP 800-38D 認證標準)
金鑰管理
金鑰由作業系統硬體安全機制保護:Windows DPAPI / macOS Keychain / Linux Kernel Keyring,金鑰不以明碼形式存在於磁碟或記憶體中
本地資料格式
AES-256-GCM 加密之 SQLite 資料庫,僅存於診所設備本機,不同步至任何外部儲存
資料生命週期
每日跨日(預設 00:00)自動執行安全抹除(Secure Erase):先以 PRAGMA secure_delete=ON 將所有 DELETE 操作覆寫磁碟區塊為零值,再執行 VACUUM 釋放並覆寫未使用空間
傳輸至雲端之內容
僅傳輸:當日匿名排隊序號(正整數)、場域 ID、動作類型、時間戳記。絕不傳輸:病患身分識別資料(原始值或雜湊值)
網路通訊
所有 API 通訊採 TLS 1.2+ 加密傳輸,目標端點:api.briolabs.io(Hostinger 亞太區機房,僅接收匿名序號,無個資跨境傳輸疑慮)
自動更新機制
OTA 更新透過 MinIO 物件儲存傳遞,更新包含數位簽章驗證,預設在非看診時段(03:00–05:00)靜默執行,不中斷排隊服務
反向工程防護
程式以 -ldflags="-s -w" 編譯(移除除錯符號),但本公司保有原始碼,得依合約提供稽核
💡 IT 稽核說明:本軟體不對診所 HIS(醫院資訊系統)資料庫、電子病歷或任何掛號系統進行任何形式的讀取、寫入或連接。本軟體僅透過 PC/SC 標準介面與讀卡機通訊,讀取健保卡片識別碼後即在本地記憶體完成映射,不落地為可識別之個人資料。
3責任分工矩陣(資通安全管理法合規依據)
依《資通安全管理法》第 16 條,醫療院所屬「關鍵資訊基礎設施(CII)」,主管機關為衛生福利部。以下矩陣明確劃分雙方責任邊界,供診所向主管機關說明第三方軟體供應鏈管理措施:
| 責任事項 |
責任方 |
說明 |
| brioCAST 雲端 API 伺服器之安全性維護 |
本公司(酷石) |
含伺服器安全更新、入侵偵測、DDoS 防護、每日備份 |
| Edge Agent 軟體之安全開發與更新 |
本公司(酷石) |
含程式碼安全審查、OTA 更新簽章、CVE 修補 |
| 雲端資料外洩事件通報(24hr 內通知場域主) |
本公司(酷石) |
依 DPA §4.1 義務履行 |
| 診所 Windows 設備之防毒軟體安裝與維護 |
診所方 |
建議安裝 Windows Defender 或同等級防毒軟體並保持更新 |
| 診所區域網路(LAN/Wi-Fi)之資安防護 |
診所方 |
含路由器韌體更新、Wi-Fi WPA3 加密、設備分區隔離 |
| 診所設備帳號密碼管理與存取控制 |
診所方 |
Windows 帳號須啟用密碼保護,安裝 Edge Agent 之電腦不得共用帳號 |
| 依資安法向衛福部辦理資安通報義務 |
診所方 |
酷石有限公司不代為履行診所之法定 CII 通報義務,但提供本聲明書作為供應鏈安全說明文件 |
| 診所端設備之定期資安稽核 |
診所方 |
酷石有限公司得應診所要求提供 Edge Agent 稽核日誌協助稽核 |
| 個資法第 8 條病患告知立牌張貼 |
診所方 |
酷石有限公司提供標準立牌設計稿,但告知義務之法律責任由診所承擔 |
| Edge Agent 安裝前確認本聲明書內容 |
雙方共同 |
診所 IT 負責人須於安裝前簽署本文件,本公司業務或工程師負責解說 |
| 軟體版本相容性確認 |
雙方共同 |
本公司公告最低 OS 版本需求(Windows 10 1903+);診所確認設備符合需求 |
4本公司資安承諾(Vendor Security Commitments)
酷石有限公司就 brioCAST Edge Agent 之安全性,對診所方做出以下明確承諾:
- 零個資上傳承諾:本軟體技術上不具備將病患身分識別資料(含原始值、雜湊值)上傳至任何外部伺服器的功能。如診所方希望透過技術手段驗證此承諾,得依 DPA §7.3 要求本公司提供「零知識架構技術驗證報告」。
- 透明安裝承諾:本軟體不採靜默安裝,亦無任何功能允許在未取得診所 IT 管理員明確授權下自行安裝。
- 系統匣可見性承諾:本軟體運行時在 Windows 系統匣持續顯示圖示,診所 IT 人員可隨時查看連線狀態,並可從系統匣選單手動觸發安全抹除或退出程式。
- 安全回應承諾:若本公司發現 Edge Agent 存在重大安全漏洞(CVE 評分 ≥ 7.0),將於 72 小時內推送安全修補更新,並主動通知所有已部署診所。
- 稽核合作承諾:若診所方因資安法稽核需要,要求本公司提供軟體安全說明文件、稽核日誌或配合現場技術說明,本公司承諾於 10 個工作日內回應,合理配合範圍內不另收費。
- 資料不出售承諾:本公司不以任何形式將透過本軟體收集之任何資料(含匿名排隊序號統計)出售或提供予第三方廣告商或資料仲介商。
5免責範圍說明
5.1 本公司之安全責任邊界止於本軟體本身及雲端伺服器。以下情形所導致之資安事件,本公司不承擔連帶責任:
- 診所 Windows 設備遭植入惡意程式或駭客攻擊(因診所未維護防毒軟體)。
- 診所人員不慎洩漏 Windows 登入密碼,導致未授權人員存取 Edge Agent 本地資料。
- 診所設備遭竊,導致加密本地資料庫被帶出診所。
- 診所自行修改 Edge Agent 程式或繞過安全機制導致資料外洩。
- 診所使用未受支援的作業系統版本(低於 Windows 10 1903)導致的相容性或安全問題。
5.2 若診所未完成以下前置作業即擅自部署本軟體,由此產生之任何資安或法律責任由診所自行承擔:
- 未簽署《資料處理協議 DPA v2.1.1》。
- 未張貼個資法第 8 條告知立牌。
- 未完成本聲明書簽署。
⚠️ 重要提示:本聲明書不免除診所依《資通安全管理法》對其轄管資訊系統所負之法定責任。本文件僅供診所向主管機關說明第三方供應商安全邊界,不構成本公司對診所全體資安合規狀態之背書或保證。
6緊急聯繫與事件回報
若診所方發現以下異常情況,請立即透過以下管道通報本公司:
| 情境 | 聯繫方式 | 回應時限 |
|---|
| 懷疑 Edge Agent 發生異常資料傳輸 |
security@briolabs.io(標題:[緊急] 資安異常) |
4 小時內初步回應 |
| Edge Agent 無法正常啟動或系統匣消失 |
support@briolabs.io |
1 個工作日內回應 |
| 需要配合資安稽核提供文件 |
legal@briolabs.io |
10 個工作日內提供 |
| OTA 更新後出現不相容問題 |
support@briolabs.io + 附上 Windows 版本及錯誤截圖 |
1 個工作日內回應 |
本公司安全事件通報信箱全年 365 日監控,回應時限以台灣時區(UTC+8)工作時間為基準(週一至週五 09:00–18:00)。重大資安事件(如資料外洩疑慮)於非工作時間亦應盡速處理。
📝 簽署確認 — 雙方代表人簽署後本文件方正式生效
存檔說明:本文件一式兩份,甲乙雙方各執一份。簽署後請掃描上傳至 portal.briolabs.io 的合約附件區,或以電子郵件寄至 legal@briolabs.io(主旨:VSS-MQ-001 簽署回執 — [診所名稱])。