隨著網路交易的日漸風行,資訊安全的問題也更加受到重視,對電子商務業者來說,如何實施良好有效的管理,並且贏得消費者的信賴,也成為提升商業競爭力的一項利器。因此,透過取得國際資訊安全標準或第三方公信單位的認證,並且將之顯示在網站上,可以展現業者本身對於安全問題的重視,以及擁有良好的管理水準,目前與電子商務和資訊安全有關的標準認證,ISO 27001和PCI DSS是最受到國際上廣泛認可的,簡要說明如下。
- ISO 27001:
ISO 27001是目前受到國際認可的一項資訊安全管理標準,主要提供了建立和實施資訊安全管理制度的規範與要求,透過文件化與PDCA持續改善的方式,可確保資訊安全能夠在組織中有效地運作,同時它也可以作為資訊安全管理系統(ISMS)的驗證標準。在ISO 27001中提到「確保資訊安全是一個管理過程,而不是一項技術導入過程,它是為了確保資訊安全所實行的各項措施,能夠有效保護資訊不會受到各種威脅,以使企業能夠持續營運,並且將可能受到的損失降至最低。」因此,無論組織的規模大小,或是屬於哪一種產業,這項標準都是可以廣泛選擇應用的,所以對業者來說,如果能夠將與電子商務有關的營運活動,劃入ISO 27001標準的管理範圍之中,並且選擇適用的安全控制措施,就可大幅降低電子商務的資安風險,更讓消費者可以辨別和信賴。
- ISO 29100:
ISO 29100是國際標準組織於2011年12月15日正式公布,為組織在資通訊系統(ICT systems)中所處理與儲存的可識別個人資料,提供了一個隱私保護的管理架構。它主要是從組織面、技術面和作業流程等三個層面來考量,對於個人資料的持有者、處理者與第三方之間,包括了個人資料的蒐集、 處理、儲存、傳輸、銷毀等過程,希望能夠協助組織去定義所需的安全保護要求。透過這項國際標準中所提出的個人隱私保護原則(Privacy principles),可以幫助組織設計、實施、運作和維護資通訊系統,使其更有效地處理和保護其中的個人資料,同時也能夠作為技術面的部署參考,協助組織進行隱私相關的風險評估,最後得以強化整體的個人資料保護與隱私管理。
- PCI DSS:
除了ISO 27001之外,支付卡產業資料安全標準(Payment Card Industry Data Security Standard, PCI DSS)也是電子商務業者可以參考的最佳指引,PCI DSS是由American Express、Discover Financial Services、JCB、MasterCard Worldwide、Visa International等五家知名的電子付款與信用卡業者所共同組成的PCI Security Standards Council組織所制定,目前最新發佈的版本是2010年的PCI DSS 2.0,一共分為6大目標和12項基本要求,內容涵蓋了技術、政策和程序,這些要求可以用來檢視業者的安全機制,以保障持卡人的帳戶及交易資料安全,同時也要求了所有提供信用卡服務的商店和支付款有關的業者,在儲存、處理與傳遞持卡人資料時,必須要有符合標準的安全控制措施。PCI DSS是提供給全球產業共同遵守的資料安全標準,除了能夠用來保護信用卡持卡人的資料之外,其目的也是為了要保護個人的敏感資訊,以確保電子商務的交易安全。因此,對於提供線上交易的電子商務業者而言,主動落實PCI DSS中所明訂的各項要求,將可有效保護網站交易的各項資料。
 |
圖2 目前台灣已有461家公民營機構取得ISO 27001認證
資料來源:http://www.iso27001certificates.com/,2013年
|
至於在台灣方面,由經濟部商業司委託資策會科技法律研究所執行的「電子商務個人資料管理制度建置計畫」,主要是依據個人資料保護法的要求,規劃建立了「台灣個人資料保護與管理制度(Taiwan Personal Information Protection and Administration System, TPIPAS)」,目前主要提供給擁有大量個人資料的電子商務產業,希望能夠協助業者來妥善管理個人資料,以降低可能違反個資法規的風險和減輕因個資外洩而導致的法律衝擊。
在台灣個人資料保護與管理制度中,其主要的內容重點,涵蓋了以下六大層面:
1、 要求事項:說明組織中個人資料保護的要求、管理方面的政策和教育訓練等。
2、 管理責任:說明管理階層的責任,建立管理組織並指派管理代表人員。
3、 有效性量測:說明應建立有效的量測機制,以確保個資管理制度的有效性。
4、 文件控管:說明各項文件化的內容和記錄的管理方式。
5、 內部控管:說明組織在監督實施的要求,並且要建立個人資料保護管理手冊。
6、 改善:管理階層應定期地檢視,要求持續改進,並且實施矯正和預防措施。
 |
圖3 TPIPAS是針對電子商務的個資保護制度
資料來源:http://www.tpipas.org.tw/,2013年
|
沒有留言:
張貼留言