我的資料和密碼由誰擁有？

你的企業應擁有：以公司名義購買的企業資料、雲端帳戶、軟體授權，以及用來控制這些資源所需的密碼或密碼管理器（password manager）紀錄。若你聘請託管式 IT 服務供應商（MSP，Managed IT Services Provider，託管式 IT 服務供應商），他們可能會協助把事情設好並管理日常工作，但這不代表他們是「擁有者」。

良好的供應商可能會有有限的技術存取權限，以便支援你的系統，但存取並不等同於擁有權。你應該能在更換供應商後，仍保有你的電子郵件、檔案、裝置、網際網路服務、備份，以及你們企業所付費使用工具的管理者（admin）存取權。

確實可能有例外。有些工具可能屬於供應商自家平台的一部分，或被打包成其服務的一環。這不一定不好，但必須說明得非常清楚。你應該知道哪些屬於你們企業、哪些屬於供應商，以及若合作關係結束會發生什麼事。

如果擁有權不清楚，原本簡單的調整可能會變成昂貴的問題。企業可能試著更換供應商，卻發現電子郵件的管理員帳戶在舊供應商名下，或是備份紀錄、軟體授權、網際網路帳戶不容易移轉。這可能造成延誤、混亂與額外成本。

密碼也是同樣道理。若只有供應商知道金鑰等級的管理員密碼，你的企業在需要進行緊急變更時就可能卡住，必須等待對方協助。好的支援應該讓事情更容易，而不是讓你的企業依賴某一家外部公司。

這也關乎控制與責任。企業的所有者與辦公室主管不一定要自己親自做技術工作，但至少應該有人了解：誰掌握重要系統的最高層級存取權（master access）。這包含電子郵件、檔案儲存、會計工具、網域名稱、網站代管、薪資系統、電話系統、防火牆（firewall）帳戶，以及備份系統。

誠實的供應商不會承諾零停機或完全不可被駭的網路。但清楚的擁有權與存取規則，能在員工更換、供應商更換或遇到緊急狀況時，降低混亂。

良好的設定應該很好描述。你的企業是核心服務的「具名擁有者」或主要帳戶持有人。這些服務的帳單要麼以你們企業的名義開立，要麼已清楚地文件化。重要的管理者帳戶要由企業知悉、妥善保存，且不應只由單一外部人士控制。

許多企業會使用密碼管理器（password manager），把公司用的密碼安全地集中存放在一處。你不需要把所有東西都記住，但你應該有流程，明確知道誰能存取該「保管庫（vault）」，以及當員工或供應商更換時，擁有權如何移轉。NodeBridge IT 從不會要求你提供密碼、網路憑證（network credentials）或系統存取權。我們只會在協助你尋找獨立供應商時，收集基本的企業與聯絡資訊。

在安全方面，許多企業也使用多因素驗證（multi-factor authentication），也就是 MFA（Multi-Factor Authentication，多因素驗證）。它代表登入時除了密碼之外，還需要第二步，例如使用程式碼（app code）或系統提示（prompt）。企業應該由企業端控制 MFA 用於「所有者等級（owner-level）」或「管理者等級（admin-level）」的帳戶；至少也要確切知道它如何被管理。

如果有涉及 MSP，請他們把帳戶所在地、法定擁有者（legal owner）是誰，以及哪些憑證（credentials）與企業共享，整理成文件。這是正常、合理的要求。

你不需要懂技術用語。用直白的問題通常最好。詢問：帳戶由誰擁有？誰是主要管理員？密碼由誰保管？如果你停止服務，接下來會發生什麼事？

也要問是否有任何工具是綁定在供應商自己的系統上。有些供應商會使用遠端監控與管理工具（RMM，Remote Monitoring and Management，遠端監控與管理工具），用來查看裝置狀態並處理例行工作。他們也可能使用端點偵測與回應（EDR，Endpoint Detection and Response，端點偵測與回應），這是一種安全軟體，用來監看電腦與伺服器是否出現可疑活動。這些工具可能由供應商安裝並管理，但你仍應該理解：他們能存取哪些資料，以及報表或設定是否可以移轉給你。

請要求提供「退出流程」的書面說明。內容應包含：交還管理者存取、移轉文件、移除供應商擁有的工具，以及交付目前的紀錄（current records）。一份簡單的清單就能避免許多未來的問題。

如果你正在比較選項，我們的 answers 頁面可以先幫你理解常見用語；而我們的 services 頁面則說明企業通常會要求 MSP 負責哪些事項。