自從疫情蔓延,網路消費的足跡也蔓延。原本只在電商網站購物的民眾,因為需求與生活型態的改變,新增了各種網路消費行為如:叫外送、遊戲課金等…;這些消費行為連帶的付出是:消費者必須在更多的管道留下機密個資,包含姓名、電話、email、地址、信用卡、銀行帳戶等…資料,電商主必須在更加注重資訊安全防護,盡量降低客戶個資外洩的風險。
電商網站被客訴「個資外洩」,電商主怎麼查證?
- 先看客戶訂單 外洩 最新日期是什麼時候
- 檢查後台記錄 及日誌檔
- 客戶資料會經過幾個關卡 (交換、物流等)
- 客戶資料查看的權限表
- 系統的連線記錄及日誌檔查詢
電商網站被客訴「個資外洩」,電商主怎麼防?
- 後臺紀錄及日誌檔一定要留存備份
- 每個資訊傳輸的節點都採用加密傳輸
- 資料庫盡量雜湊處理
- 資料備份的傳輸通道及備份空間與備份檔案都加密
- 必須控管電商公司內部同仁對客戶資料存取的權限
- 採用 M-WAF
- 定期做網站弱點掃描
- 裝設固定執行掃描的網站掛馬入侵偵測
以上,視情況不同,還有其他適合各個情況的資安防護的措施。
加碼再談談,電商主在主機商的選擇及網站上線前,還有哪些注意事項?
- 選擇有獲得 ISO27001 的廠商還不夠,必須確定證書日期都有更新,證明這家廠商定期都有把內部資安稽核與外部資安稽核做好做滿
- 必須多上網搜尋主機商的口碑、多方詢問業界朋友,找到一家資安漏洞或風險評價最高,資安疑慮事件最少的廠商,千萬不要以價格迷思來選擇廠商,最貴不一定最安全
- 網站上線前,該請第三方廠商來協助做資安的檢測,例如:壓力測試、紅隊演練、源碼掃描、弱點掃描,並請第三方廠商公正的提供資安諮詢的評估,看看有沒有哪一個資料傳輸的環節安全防護不足,然後從自身能接受的最低風險評估點開始加強
以上是我們曾經協助電商主的經驗。這邊再補充一點,當電商主被控訴個資外洩時,電商主本身必須 “負起舉證之責”,因此傳輸的加密、資料的加密備份、檔案、系統登入及作業的 LOG 日誌留存、權限控管清單及資安防護服務的採用,在舉證時,都是很必要的資料,“能讓電商主在法律罰則之下,能站穩立場,降低罰則“。
然而,我們認為,該負的責任必定要負,電商主保護好客人也是必要的,但在駭客防不勝防的情況之下,電商主做好防護措施之餘,也能藉由這些防護措施來保護自己,讓電商與客人都獲得最公正的結果。
歡迎轉載!請見:轉載原則。
Photo by Nataliya Vaitkevich from pexels