日前在奇摩新聞上看到 鼎新ERP 已成為陸資(大陸投資)的公司
而我們公司最近正打算與鼎新合作,想購買他們的產品
所以想請教大家
假設今天要跟鼎新合作
那我要如何跟鼎新簽約或協商才能保障資料不會有安全上的疑慮?
或者
在後續我該注意什麼事呢?
麻煩大家為我解答了,謝謝!
已邀請的邦友 {{ invite_list.length }}/5
基本上, 那個反共抗俄、保密防諜的時代已經過去了...^____^
(我不是吐槽.....)
現在大陸對於竊取商業機密案件是相當重視的, 除非是國家基於國安需要下達指示.
但我想, 貴公司的業務性質應該不會和大陸的國家安全有關係....
所以, 只要要求鼎新簽一張保密切結書, 在合約中加註保密條款就行了.
因為, 雖然鼎新有中資介入, 但台灣的客戶還由台灣的顧問來支援.
到時, 真的有公司機密外流的問題, 還是在台灣打官司的.
對於鼎新是否會搞植入木馬的小把戲, 這個, 只要你們的資安做好, 一定可以偵測到木馬程式, 然後把相關資料、證據保存下來, 一狀告到法院, 大陸方面也委請大陸的律師告, 只要提告就行了. 因為所有鼎新的客戶都有相同問題, 一旦有證據能夠提告就等於宣告鼎新一定敗訴.
這樣說, 夠明白嗎? 放心吧....
嗯
大陸對於竊取商業機密案件是相當重視
但那是他們對於自己國內企業重視
外資廠商則不在此限
不然谷歌的事件何來?
且
如果竊取的人是國家單位
誰能約束??
在台灣連提行政訴訟都不一定會贏(可以說九成以上是輸的)
更何況大陸Orz
我們擔心的不是鼎新對商業機密有興趣
而是中國對財務監控問題(如我今早補充的)
不過
你的建議我會寫在報告中的
謝謝你!!
ps.至少你不是來笑我或諷刺我的
實在太感謝你了!!(淚奔)
小小螺絲釘的悲哀在此完全呈現Orz
財務監控在大陸是公開的行為, 因為大陸的稅務法規規定稅務警察有權審查任何在大陸設立公司的相關財務資料.
但因此而說ERP系統廠商的軟體有回報資料的問題, 是有點過於渲染了, 因為大陸的會計師水平差很多, 好的會計師會注意相關稅務法令旳變動而提早做避險, 在做帳時就會先行避開地雷區.
除了ERP系統, 會計師也是能取得財務相關資料的重要人物, 要知道用系統的是人, ERP系統只是忠實呈現資料內容, 如果因此而認為ERP系統有問題, 可能, 絕大多數ERP系統都一樣.
所以, 除了系統要慎選, 幫忙處理帳務的會計師也要慎選.
另外, 您提到一個很重要的問題, ERP系統的持續營運, 鼎新會不會不管在台灣的客戶? 這個, 很難回答, 只能說導入時就要做好自行持續營運系統的萬全準備. ERP系統重要的不是Source Code, 而是如何用這套系統的Know-how, 掌握用ERP系統的Know-how, 是每個導入ERP系統的使用單位的IT主管心中永遠的痛.
最後, 萬一....真的鼎新倒掉了, 而您們又有新的客製需求, 我想, 應該會有一批掌握鼎新原新程式碼的SOHO顧問願意支援.....
訂正:
simon581923提到:
鼎新原新程式碼
鼎新原始程式碼...
謝謝你的回覆
我已經把你的看法寫在報告中了
昨天我跟朋友討論
他也是說程式開後門的機會不大
反倒是人的因素比較有可能
例如說,是公司的財務去向相關單位檢舉
你的看法很中肯
只陳述事實而沒有任何偏見
先向你說謝謝!^^
啥安全疑慮?!
如果中資公司就會有安全疑慮
我覺得真是很好笑
又不是鼎新幫你維護資料
只是提供程式,是吧?!
程式中也有很多東西可以寫,是吧?!
如果你有簽維護合約鼎新也可進入貴公司ERP,是吧?!
這跟外洩資料不同,是吧?!
鼎新 只是幫你裝好環境 給你設計資料
最多在幫你上上課
你只要架在內網
不開帳號給鼎新 鼎新沒辦法獲得你的資料
但是用鼎新的重點
第一 要使用UTF8的版本
第二 所有的設計都要靠自己 鼎新幫不上忙
To:mybeldandy
謝謝你的回答^^
只不過
現在我司的擔心問題點在於
怕程式中植入木馬
由於在中國發生許多案例
故有所顧慮
因此才想請教如何與鼎新協商或需注意什麼
別笑我們想太多
如果沒有這樣的顧慮
國貿局也就不會跟鼎新解約了,您說是吧?!^^
照這樣的邏輯,我們可能應該把微軟的東西也全部移除,因為中文化的部份幾乎都是大陸微軟做的,那不是更危險了嗎?
個人覺得,真有疑慮。就不要考慮使用了,不然合約規範再怎麼簽,也不過就是一張紙,你要在台灣打官司,還是在大陸打官司?
這點我還真有點小尷尬@@"
其實這次選ERP軟體我們公司花了很多時間在評估
最後才決定用鼎新
結果在跟鼎新簽約之前就冒出這個問題
但主管堅持要簽
只是他也要我想辦法在合約上約束
所以我只好來問大家了>"<
拜託大家幫幫忙吧>"<
ps.別再來吐我槽了啦~
我不是主管~沒辦法左右決定啊>"<
買SAP的產品啦~~
版大以為台灣廠商就沒問題嗎?
我說啊!! 連公司自家員工開發的系統都會有問題!!大大以為如何??
監守自盜才是主角!!
這樣的新聞你主管也在信 , 你可以查查看 鼎新 跟 神州數碼 跟 鼎捷的關係!
google 到的結果 鼎捷集團林隆潤策略長 , 這個人根本是鼎新出身的 ; 而且鼎新跟神州數碼合作也很多年了 ; 根據這項併購案 , 我甚至懷疑鼎新是為了規避法令被併購下市 , 走大陸市場的一種手段 !
另外 鼎新被併購不久,也沒辦法馬上生出一套大陸人寫的ERP給你用 !
如 mybeldandy 大說的:
你只要架在內網 ,不開帳號給鼎新 鼎新沒辦法獲得你的資料 ; 就算有木碼也根本沒用!
根據查到的資料
鼎新與神州數碼"合資"成立鼎捷系統集團控股公司(雖說是合資,但其方式是用股權置換的方式納入鼎捷)
而神州數碼是由聯想集團分拆出來的
而聯想集團是中國政府的
至於鼎新下市原因
撇開我們公司向鼎新人員詢問出來的答案不談
就網路上所查到的資料
是因為鼎華投資收購鼎新
所以身為消滅公司的鼎新於97年1月31日下市
只是被收購後的鼎新其股東結構外界無從知曉
甚至原本要在香港上市的計畫也延遲
現在我們擔心的不是鼎新連線維修時會竊取商業機密
如果他們這麼沒道德
那台灣多家百大企業早就告他們告到死了
我們擔心的是像我稍早補充資料的內容
畢竟在中國有很多案例(只不過他們用的是中國境內的ERP)
我們擔心的是source code的問題
雖然你說的沒錯
他們應該是沒辦法馬上生出一套大陸人寫的ERP
只是
沒有一家公司買了ERP之後,只使用一、二年就換掉的吧?
假設我們公司使用這套軟體五年
五年後誰能保證source code的問題?
我們現在唯一想到的方式就是用合約約束
所以才洐生我所提問的問題
原則上我贊同上面大大的說法。
想請教一下原PO。
你目前所評估的是新版GP多少版本的呢?
要簽訂的合同是不是也要買原程式的呢?
我是在台灣混不下去跑到大陸對岸的『台勞』。我司也是用鼎新的ERP(大陸是跟神州數碼簽約,現在好像變成鼎捷了)。不過是3~5年前GP1.3的版本。
根據我瞭解的架構,理論上不會有類似木馬的程式(我連他們的LIB也看過)。
兩種方式會對於資料外洩(財務的)有關。
一:內部的IT人員或財務人員。
二:開放給鼎新顧問帳號給他們協助處理問題。
除此之外,他們應該沒有像微軟一樣這麼賊。
但是,沒有Open Source code的話。那就不敢講了。因為誰知道他有沒有搞鬼呢??
在簽訂合同時。也需在例外條款上加註保密條款的補充條列。
基本上用他們提供的合同,幾乎對他們有利。
以上提供參考!
PS:就我瞭解台灣那邊的顧問,絕大部分都是導入的實施顧問。程式端的CODE和服務,他們會PASS給大陸的團隊。這個也可以思量一下喔!
版本是Workflow ERP II?
基本上Workflow沒有賣原始程式吧..
我記得是Tip-Top系列才有賣?
所以,貴公司用的是Tip-Top?
基本上,LIB不是compile後產生的機碼嗎?
除非對機碼非常有研究,不然,看LIB應該不能確定軟體是否有後門吧?
不過,你的意見很中肯
所以我把你提的列入報告中了,感謝你喲!^^
如果可以改的話
建議您們請改買GP
因為 GP 才是真正的多國語言!
ERP II 不是多國語言!
鼎新Workflow ERP有賣原始程式..
但是價格不算低..
To:dscwferp
那套就叫GP嗎?
還是這只是簡稱?
若是簡稱,可以給我全名嗎?
To:reterjang
基本上,我們公司應該不會想要自己寫啦@@"
主管也覺得沒到要自己寫的地步
所以才沒有考慮的^^
鼎新Workflow ERP GP 版
跟
鼎新Workflow ERP II 版
是不一樣的喔!
是喔
是模組有不同嗎?
cat提到:
cat 說:
是喔
是模組有不同嗎?
不同erp系統在 it 上來說 是完全不一樣
但在 erp原則來講 是一樣的!
問題是 系統問題的話 就需要我會的系統 才能查出!
如果是 erp原則(企業流程)的話我就可以查出!
請見諒喔!
看不懂你的回答..?
我的意思是
Workflow ERP II 與 Workflow ERP GP 差別在哪
是模組有所不同還是有什麼新功能?
不同erp系統在 it 上來說 是完全不一樣
比如 SAP & ORACEL 在IT上 用不同資料不同語言寫的所以是完全不一樣
Workflow ERP II 與 Workflow ERP GP 雖然用同語言寫的
也可以用同資料庫 但 版本不一樣 且 連結資料庫方式也不一樣
所以在 it 上來說 是完全不一樣
但在 erp原則來講 是一樣的!
Workflow ERP II 與 Workflow ERP GP & SAP & ORACEL
都是 ERP系統
都有 進銷存 生物管 成本 會計財務
其 基本原則都一樣
所以 erp原則來講 是一樣的!
我要選的是這一篇啦~~~~有誰可以教我怎麼重選啦Orz
我覺得您主管堅持要簽 是對!
就像"裝了防毒軟體不保證不中毒"
就像 吃豬肉怕口蹄疫 吃牛肉怕狂牛症 改吃素 怕有農藥
那是不是 要自己種田種稻
那 肥料等其他呢?
現在已是"地球國"了
貴婦買的百萬鑽戒可能是 非洲月薪不到台幣1元的土著挖出來的!
買source code 回來有用嗎?
難道您要全部自己檢查然後自己編譯嗎?
呃
我並沒有說我主管是錯的啊Orz
我的問題是..
『那我要如何跟鼎新簽約或協商才能保障資料不會有安全上的疑慮?
或者
在後續我該注意什麼事呢?』
麻煩針對這點回答吧^^|||
"改合約"?
還要對方同意,能改才行!
即使可以改!
那的合約時間要簽多久?
合約時間過了怎辦?
時間過了合約就無效
那改的條文還有用嗎?
所以才問,要如何協商呀Orz
我回答了啊!
依
1次簽結婚合約
10次跟客戶簽約
10次跟房東房客簽約
50次跟廠商簽約
100次跟ISP簽約100次跟銀行簽約1000次網站註冊
改合約機會是 <10%
"要如何協商"?
沒法啦!
對了
記得簽好後 要回來告知您的成果喔!
因為世界再變
以前我不行 不一定您也不行喔!
世界有太多未知了!
謝謝您!
哈哈
你真是經驗老道耶~
不過
我跟房東簽約的次數不亞於你喲>_^
還真的把約給改了
房東還叫我提供一份我寫的合約給他耶
被你一講才想到我還沒給他們Orz
不過
那是個人對個人
而不是對企業
對企業的話
一定又不同了
謝謝你的經驗談啦
只不過
我不可能這樣寫進報告中
還是感謝你啦^^
但是我覺得鼎新真的甚麼都要錢而且貴的要死
花同樣的錢,不如找人寫一套專門使用的ERP系統。
然後簽保密條款。這樣比較有保障吧!
如果真的出事至少還有條約可以保護自己。一樣找不到人~~
雖然說如果真的狠一點
但是保護自己的事真的一定要做好。
"寫一套專門使用的ERP系統"!!!!!!!
x新花了20幾年寫出來的erp
都還不完整
請問要找多少人花多久時間才能"寫一套專門使用的ERP系統"????
To:gods8754
雖然它真的什麼都要錢
不過
主管已經決定是它了
會不會有變動我不清楚
不過
現階段的決定是它
所以
還是回歸我的問題
『那我要如何跟鼎新簽約或協商才能保障資料不會有安全上的疑慮?
或者
在後續我該注意什麼事呢?』
麻煩針對這點回答吧^^|||
To:dscwferp
不要那麼激動@@"
gods8754的意思應該是說「為該企業量身打造的ERP」吧?
dsc是鼎新的縮寫
所以我先把你歸類到使用過ERP的那派,不對的話請包涵^^"
如果你用過ERP,你應該知道,ERP是套裝軟體
既然是套裝軟體,它就有既定格式,除非你是「客製化」,不然其實只要是掛名賣出的ERP(ex:鼎新ERP,鉅盛ERP),其實都長一樣,當然架構跟流程就一樣
所以gods8754才會那樣說吧?^^
我用erp快15年了!
站在巨人肩膀上(買套裝)然後給巨人化妝(客製化)改變成您要的
比 從爬開始(企業量身打造的ERP) 還要快吧
且更安全穩定
不是嗎?
我沒激動啦!
如果寫過程式的話
應該了解有時改程式不如直接重寫
您說是不是?^^
不過
我們公司不可能考慮"為企業量身打造"的ERP啦
畢竟"量身打造"是要投入時間跟人力
且現階段的需求也不致於要用量身打造
cat提到:
改程式不如直接重寫
對小程式 答案是 YES!
對於分工合作的ERP程式
答案是 NO!
To dscwferp:
不好意思~~您的暱稱看起來應該是用鼎新WF 的EPR程式吧。
或者您也是鼎新裡面的公程師或業務!(猜的啦,不對請見諒)
當初我會說鼎新的東西貴是因為我也在鼎新待一陣子,做過鼎新的業務。
鼎新很好,分工也很細。但是就是因為分工細,作業上就會有很多問題。
這是我看到的啦,並且也是我的親身體驗。所以我才不喜歡鼎新的東西。
並不是對鼎新有意見。
To Cat:
沒錯,我所謂的就是量身訂做的EPR系統。
不過既然貴公司已經打算用鼎新的系統,也是一個很好的選擇。
只是關於防範這件事~~真的很難搞,要不然貴公司就將程式建立在信用上吧。
因為老實說,就算簽了甚麼拉哩拉雜的條款,都還是有漏洞。
對吧!所以也只能建立在信心上面摟。
還有一件事,就是偷偷跟你說鼎新推卸責任的功力一流,要注意。
(親身體驗,因為這個我差點被搞死。)
To:dscwferp
什麼程式只需修改,什麼程式則不如重寫
應該是看修改的內容而定吧
如果改很多
用套裝有時反而會有一堆漏洞呢^^
不知您覺得如何?^Q^
To:gods8754
哈哈
其實我的猜測跟你一樣呢
只是不好意思講明
想不到你竟然講出來了(汗)
其實我也知道要完全防範很難
我甚至聯絡了法律界的朋友
但因為是一項一項分開問(主管想到什麼就問什麼@@||)
所以友人也是霧煞煞的,不知前因後果
而且很久以前我就聽他說過"沒有任何法律是沒有漏洞的(不可能寫死),合約也一樣,再怎麼防都還是會有不察或漏洞可鑽"
不過
我不懂"貴公司就將程式建立在信用上吧"這句話??
你有什麼聯絡方式可供我聯繫的嗎?^^"
gods8754提到:
或者您也是鼎新裡面的公程師或業務!(猜的啦,不對請見諒)
no!
我個人認為, 這個問題有點庸人自擾. 鼎新即使有中資介入, 應該也是小股吧.
就我所知, 這幾年, 台灣的軟體業經營的很辛苦, 巿場不够大, 國外軟體大廠降價的壓力, 規模經濟, 對岸軟體業的競爭等. 鼎新之所以下巿或邀中資介入等, 我想財務(公司價值) 壓力的因素應該佔較大的成份.
我服務的公司是鼎新的客戶, 由於種種因素, 他們的維護品質是有點下降, 較高的人員流動率是原因之一. 還有, microsoft os 升級太頻繁也是造成問題的原因. 鼎新要存活下去, 引進有興趣的資金, 是重要的解決方案. 請問一下, 國內投資人對鼎新的興趣有多高, 經營團隊能夠選擇的方案應該不多.
以上的問題, 約略說明鼎新的困境, 也是國內軟體業普遍的困境, 應該和其產品比較没有關係. 我不認為鼎新會吃飽没事做, 而置入木馬或其他程式等. 要知道, 監控程式的事後分析及維護, 是一項非常花成本的工作, 至少目前的鼎新應該没有如此的財力.
youshiao提到:
我個人認為, 這個問題有點庸人自擾. 鼎新即使有中資介入, 應該也是小股吧
leo20069913提到:
林隆潤策略長 , 這個人根本是鼎新出身的
是大股!不小喔!
鼎新即使有中資介入, 應該也是小股吧.
不是這樣喔!!正好相反!!
To:youshiao
或許中資只是股份較多
不過我並不知道他們的組織結構
所以我得把所有可能性考慮進去
包含中資股東有能力影響鼎新的運作等等
所以才想辦法保障公司的權益呀^^
To:dscwferp & pankt
那就你們所知
有多大股??
就我所知
是胡定吾找來資金整個吃下來
啥子大股小股
徹底中資
To:ataru
所以胡定吾擁有100%的股權!?!
好多人對此問題的見解大多只看到"有無木馬"?"有無龐大中資"?....
我想如果等到"政府"單位,對於某一企業進行"調查"動作時,有哪家企業會說"no"?
今天開版大您care的在於"公司"的帳是否會被"追查"而不是"木馬"、"中資"吧?!
如果鼎 x 在系統上做了手腳,能真的"完全"被你視破嗎?
建議您貴公司的財會系統不要連上 internet 或者架上 VPN 這樣"或許"可以防範並且做好內部的"權限控管"、"保密條款",至於在合約上要如何保護貴公司的權力,建議加上"非經本公司之同意而任意將資料外洩於其他機構使用、調查者,本公司將保留法律追訴權予以提告",but 前面我也說了,"政府"單位來調查時貴公司可否勇於說"no"?
以上個人淺見。
逢微軟必反,但是你的個案,提一個建議:
要求頂新的系統,必須在 Win7 上運行。XP 電腦很好搞。Win7 上只要帳號沒有管理者權限,可以限制電腦只能連內網,不能連外網。也相對不容易中毒。木馬對外連線時,Win7 就會給你警告。
但是,如果貴公司有員工是高手,會搞 SSH tunnel 或是自由門,那還是防不了內賊。
說來有點生氣,凡微軟必反,居然替微軟廣告
資料外洩應該由稽核來查,而不由製作系統的廠商來負責,這是為了避免球員兼裁判的問題
因此,如果貴公司擔心資料外洩,應該要由資訊部另外建置 DLP (防止資料外洩) 的資安系統,委由董事會直屬的內部稽核人員查詢,搭配外部稽核人員做好安控
同時,在亞洲如果政府單位在法律賦予的權力上執行公務查核,即使貴公司合約要求廠商不得提供資訊給貴公司以外的單位,合約違背法律,也無法因為廠商提供財務資料給政府單位而向廠商求償
簡言之:ERP 資料外洩是由稽核單位主導,你應該問稽核如何做,要提供哪些資料,需要哪些系統,而不是由資訊部主導,資訊部是執行單位,不是主導單位,跨過界所引發的政治問題會比你外洩資料還難處理
國外有出ㄧ種檢查 Source Code 的工具,可以確認 Source Code 是安全的,也可以找出 Source Code 漏洞。不妨要求鼎新把這個檢查事項加進合約,並出具檢測結果的 Report ,這樣如何?
iThome鐵人賽
看影片追技術