【SmartM解讀】個資外洩層出不窮,企業處理個資問題,除了明確了解客戶資安範圍、界定適當防竊工具,還要避免儲存非必要訊息,安排適切人員銷毀與實體控制舊資訊。
層出不窮的網站個資外洩案,恰好證明了一項事情:PCI(信用卡消費者交易資訊)等客戶資訊,維護與管理安全的重要性。確保PCI等客戶資訊安全,是採用線上電子支付的企業當務之急,美國Enterpreneur的專欄作家Brett Relander 就提出了三個觀念,幫助電商企業維護品牌資訊安全。
1.了解個資須要維護的範疇
傳統上看待顧客的資訊時,最為重視其密碼、交易手續等範疇的維護。然而,電商領域中客戶資料的範圍遠遠超過於此,針對個資保密,主管機關訂有相關的詳細規範。根據台灣《個別資料維護法》維護與要求保密的資料面向,包括:姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他。在這個架構底下的個資,都是個資法明訂企業要維護與禁止任意交易、轉換的範圍。
而在區塊鏈興起、跨企業整合與協調的電商趨勢之下,許多公司會面臨個資交換、交易等轉換的環節,這方面主管機關則定義合理範圍為:電商企業於網路上蒐集與儲存的一切資料,小至點擊內容、停留時間,大至帳戶密碼、交易紀錄,都屬於個資法明定必須維護鞏固的範圍。企業若因業務需要和同行之間轉換、交易與利用,也必須合於法令規定,且要徵詢當事人的同意。
2.確保雲端帳戶安全
而在了解客戶資料的範圍與法規之後,電商企業該如何依循架構來維護資安與利用數據呢?
在網際網路世代底下,許多數據的儲存空間已經由硬體轉換為雲端帳戶,不管是Google帳戶、Microsoft FTP系統、Local Server區網等,資料存放於網路能夠避免毀損、盜竊實體風險,卻會曝露於來自網路四面八方的危險之中。
針對雲端資料的資安維護,衍生出維護雲端資料的新技術:實體金鑰。實體金鑰是透過實體鑰匙的藍芽功能來感應、解鎖雲端資料;並結合密碼、指紋辨識功能再次確認資料的取用安全性。透過這樣的方式提升資料被駭入的難度,也讓實體的鑰匙、指紋等物品兩道防護維護雲端資料的安全。
3.避免儲存過多客戶資訊
然而,即便雲端資料給予企業方便和安全的數據儲存方式,電商企業仍應當避免儲存過量資訊。重要的客戶資訊、交易紀錄與憑證等儲存是必要的,而衍生出的網站足跡、消費者留言、銷售圖表等延伸資料,擇要避免儲存非必要且無急迫性的資訊,在分析、處理資料後立即刪除,並用實體紙本或硬碟等方式留存一份底稿即可。以此避免在網路上儲存過多過詳盡的資訊,由此成為駭客眼中的目標。
Yahoo的10億個資遭竊案正好提供前車之鑑:當網路上儲存了過多個資時,資料被駭也是遲早的事。
企業在拓展時,更應該小心處理個資問題,明確了解客戶資安範圍、界定適當防竊工具,如新的防火牆與實體金鑰技術均是不錯的選擇;並避免儲存非必要訊息,安排適切人員銷毀與實體控制舊資訊;最後針對現有資源進行資料分析,以了解使用者體驗與相關購買程度,並進行更進一步的銷售推廣與行銷投放。
延伸閱讀
還在疑惑「電子錢包」是什麼?這一篇整理好了台灣電子錢包發展的前世
參考資料
Entrepreneur
↧