業務常規

個人資料隱私權的保護由監管顧問委員會負責監督，該委員會成員包括行政總裁以及法務和企業保安部門的高級主管，並由資料保護委員會和當地執行團隊提供支援。員工必須以合法、公平且透明的方式收集個人資料，並遵守其 司法管轄區的資料保護法律。

個人資料的收集必須僅限於特定、明確且合法的目的，並應採取措施確保資料是準確且最新的。員工應合法、公平且透明地處理個人資料，確保遵守相關的資料保護法律。個人資料的存取權僅限於因工作職責而必須使用個人資料的員工。

所有個人資料將於不再需要時刪除，例如任何透過申請表、網際網絡或其他方式提供的客戶個人資料將於服務訂購終止兩年後刪除。個人有權存取或修改其個人資料。為防止非法處理、意外遺失、銷毀或損壞，我們採取了化名和加密處理等安全措施。集團亦對新產品、技術及業務營運進行私隱影響評估，以符合法規要求及管理隱私權風險。我們會對第三方合作機構的個人資料使用進行密切監控，並在「確有需要知悉」的基礎上授予存取權。

為確保客戶的網上交易安全，集團已於報告期間取得支付卡行業數據安全標準（PCI DSS v4.0 - 商戶）的合規證書。PCI DSS 是一項全球標準，為保護帳戶資料建立了技術和營運要求基準。此認證證明集團的服務為接受、處理、儲存 或傳輸信用卡資訊提供了安全的環境。

集團定期檢討和更新政策，以便與員工及早溝通。為了確認他們遵守所有適用的集團政策，員工須提交年度自我聲明。此舉可加強員工維護集團政策和法規要求的承諾。

集團已實施資訊安全框架，其中概述了具體的角色和責任，包括資訊科技安全與法規遵守部主管、資訊安全託管人和資訊擁有者的角色和責任。

為了維持資訊科技高品質並辨識網絡的潛在弱點，集團每年都會針對網絡和行動應用程式進行網絡評估和滲透測試。必要時這些評估的結果會提交予內部審核保證作審查。

集團已根據資訊的價值和敏感度限制企業資訊的使用，並採取適當的安全措施，只有具備明確業務理據的人員才可存取資訊。每個業務單位都必須制定資訊安全事故應變計劃，概述負責處理事故的人員、與內部和外部持份者的溝通程序，以及用於識別和恢復受損資料的技術工具和資源。一旦發生事故，必須將任何外洩或可能外洩的資料詳情，以及處理情況和解決程序所採取的步驟，向相關各方報告，包括法律及法規事務部、資訊擁有者、資訊安全託管人，以及集團內任何受影響的業務單位。

集團亦已建立業務連續性及應變計劃，要求業務單位制定業務連續性計劃，以確保在發生安全事故時資訊的機密性、完整性及可用性。資料和資訊備份及復原的政策、標準和指引已經實施，以確保資料定期備份。所有儲存媒體都必 須小心存放和整理，任何復原工作都必須事先申請，並在監督下進行。此外，每年都必須進行資料備份還原測試和驗證。

反欺詐及反賄賂政策及操守守則

操守守則特別針對利益衝突的管理，強調員工必須保持警覺並避免可能導致利益衝突的情況。員工必須立即向人力資源部報告任何可能涉及潛在利益衝突的情況或活動，並由相關部門主管以及來自人力資源部、法律與法規事務部和企 業保安部的團隊一起審查，以決定適當的行動。任何不遵守操守守則的行為可能會導致紀律處分，任何違規行為必 要時需向監管機構報告。

我們已建立指定的舉報渠道，讓員工和第三方可以舉報任何違反法律或操守守則的違法或不道德事件。所有舉報都會 在法律許可的情況下盡可能保密處理。

此外，集團操守守則強調對企業誠信的承諾，要求員工在所有業務往來中維持高標準的誠信和透明度。集團對所有形式的賄賂採取零容用政策。「反欺詐與反賄賂政策」涵蓋任何不當付款、回佣或其他形式的賄賂相關活動，明確禁止員工利用集團資金或資產進行政治或慈善獻金及贊助活動。

集團致力於以公平、誠實和專業的態度對待所有業務夥伴。集團已制定採購政策及供應商行為守則，以規範供應商 的選擇及續約。有賄賂或貪污歷史的承包商或供應商，將不獲考慮與集團合作。為確保徹底審查，集團委任合資格人士在承包商及供應商甄選及續約的過程中進行盡職審查。

舉報

為保持高水平的商業誠信、誠實、公允和透明度，集團已制定舉報政策，並為員工和第三方建立保密舉報渠道。此 政策針對所有形式的不當、失德和瀆職行為，包括但不限於刑事犯罪、歧視、騷擾、環境破壞和違反法律或法規要求，以及違反集團的規則、政策或內部監控。

集團極力鼓勵全體員工及相關持份者，包括客戶、供應商、債權人及債務人，通過保密舉報渠道報告任何可疑的不當行為、舞弊或欺詐個案。實際或疑似欺詐及貪污事件會及時以高度保密的方式展開調查。內部審核部門負責檢討每個舉報個案，並將重大事件迅速上報至審核委員會。有關舉報事件連同相關統計數字的摘要，包括獨立調查結果與所採取行動，須每季向財務總裁呈報。對於證明屬實的事件，管理層經適當考慮後會採取適當紀律處分，包括口頭或書面警告與終止聘用。在適當情況下，任何違反法律及法規的事件會向警方或其他執法機關舉報。舉報政策可於本公司網站及內聯網查閱，當中載列有關舉報流程及程序的詳細資料。

集團高度重視在整個調查過程中保持機密及保護舉報者。除非舉報人同意，否則其身份將予以保密。任何騷擾或傷害舉報人的行為將被視為不當行為，違者可遭解僱或其他紀律處分。

業務伙伴及供應商在集團追求可持續發展的道路上扮演著重要的角色。有鑑於此，集團已將可持續發展原則融入採購流程。集團已制定供應商行為守則、供應商行為守則確認書、可持續發展問卷、環境保護及職業健康與安全標準指 引，以及業務夥伴評估程序。集團深明供應商參與的重要性，因此不斷致力加強與業務夥伴及供應商的合作。於報告期內，集團向選定的業務夥伴及供應商派發 CDP 調查問卷，以了解其碳排放及可持續發展表現。此舉可加強集團對整個價值鏈的碳測量，並追蹤減碳工作的進展。

供應商行為守則

集團已制訂供應商行為守則，作為其業務夥伴及供應商的指引，旨在促進更廣泛的提升可持續發展實踐及表現，以造福相關持份者及集團所服務的社區。制定供應商行為準則時已考慮了多項國際憲章和公約，例如聯合國《世界人權 宣言》和《國際勞工組織公約》，當中制定專供集團業務夥伴及供應商遵守的準則，涵蓋環保效益、道德、健康及安全、質素以及監管合規方面的特定準則及標準。

供應商行為守則連同採購政策、業務夥伴評估政策、反欺詐和反賄賂政策以及其他相關監控及程序，為集團評估及聘任業務夥伴及供應商提供清晰指示及指引。集團會定期對所選定的業務夥伴及供應商進行仔細評核及評估。在業務夥伴評估政策範圍內的業務夥伴及供應商須遵守供應商行為守則。

集團鼓勵其供應商定期評估自身以及其業務合作夥伴及其供應商的合規情況，並應集團要求分享其合規情況。如果發現任何違反供應商行為守則的情況，集團將與其合作解決問題。集團期望受影響的業務夥伴及供應商制定糾正行動計劃，以達到遵守本供應商行為守則的合規要求。未能制定或執行該計劃，集團可能會終止業務關係。

供應商篩選與評估

集團已邀請選定的業務夥伴及供應商填寫「可持續發展問卷」，以提供有關其在可持續發展績效方面的資訊。問卷內容涉及可持續發展管治、環境保護、ISO標準認證、健康與安全、人權、供應鏈管理以及資訊安全等領域的相關實 踐和政策的採納情況，並構成供應商評估流程的一部分。

隨著集團在指定地點中引入 ISO 管理體系，集團積極與供應商接洽，以促進供應商實施或取得類似體系的相關認證。