今天是畢業前的最後一天,我則去報名了「華文網路商機大交易安全e把罩」的大會,希望還能親自去了解更多電子商務所談的「資訊安全」,一開始先由Yahoo!奇摩的董事陳總經理,談到電子商務趨勢與特性,電子商務若前進大陸以及智慧型裝置的成長,其潛力將會帶來許多的商機,不同的市場對處於不同的成長階段,一般來說中國大陸的成長最高,屬於高成長期,而美國和日本則漸漸進入成熟期,而台灣則是成長期,至於進入成熟期的市場,透過智慧型裝置將會進入另一成長期。基本上電子商務與實體零售是有差異的,簡單來說實體店面打烊之後電、平日和颱風天電子商務訪客多,更重要的是熱銷產品會依年使用網路的年齡層有所不同,簡單來說當同類商品,價位差不多時,Online會比較偏年輕而Offline會比較偏成熟。至於台灣的電子商務市場特性,包括了面積小人口密度高,快速到貨以及超商付款取貨,了解後善加利用屬於台灣的特殊現象。此外只有電子商務平台是不夠的還必須有商品供應商,至於未來發展則要進行專業分工,達到規模經濟,簡單來說就是商品供應商專心在於商品管理、品牌管理和通路策略等,而電子商務平台則專心在於網站、流量和付款機制等,不管是知名品牌或零售通路漸漸的都會加入電子商務的平台,但有哪些種類的電子商務平台可以選擇呢?主要可以分成三種,若以Yahoo!奇摩為例,分別是購物中心的B2C、超級商城的B2B2C和拍賣C2C,且若以平台的附加價值來看B2C最高,而C2C最低,簡單來說C2C很難有最安全的付款機制及送貨等管理。可是要如何才能前進國際市場呢?首先要先向市場龍頭Amazon學習,持續投資於基本功,主要可以分為三大方面,一是客戶為導向,像是個人化,簡單來說就是"You Recent History"和"Customers Who Bought This item Also Bought"、使用者經驗,簡單來說就是1-Click ordering和Amazon Prime Vouchers以及信任感,簡單來說就是"You can always remove it later"[form the cart]和"Shopping with us is safe",二數字為依據,簡單來說就是Data Mining後,能推薦清者商品外,商家也可持續改善,三是強化供應鏈,簡單來說就是Supplier→Distribution→Amazon→Delivery,而我個人則認為這三方面,好像就是企業管理、資訊管理以及工業管理主要在學習研究的方向。當然未來數伅匯流的時代還需透過數位實體商品Marketing Social和新載體Device Mobile來拓展新趨勢,簡單來說就是如何將人潮從虛擬到實體再到虛擬,而在案例方面則舉出三個,分別是手機條碼運用RedLaser、手機在實體商店的整合Shopkick以及VIP專屬名牌限定清倉特賣GILT,其背後的商業獲利模式是非常的有趣的。
而為了維護電子商務交易安全,經濟部商業司委託資策會則推動「華文電子商務暨交易安全計畫」,基本上在整體的計畫有五大方面分別是電子商務科技化與國際化、個人資料管理制度、電子商務網路交易安全宣導、網路平台安全與通報機制建置以及電子商務資訊安全人才培訓與企業輔導,除了針對因應個資法之外,主要還針對了身分管理、威脅和風險管理以及信賴和弱點的管理強化資訊的安全。透過電子商務資安通報服務平台搭配網路平台安全基準,即可進一步達到安全網路,而PCHOME和GOHAPPY等業就已經導入資安預警機制,細節可參考EC-Cert通報服務平台的網站,簡單來說就是主動式的警訊發布,其類型包括了資安訊息、資安預警、網頁攻擊和入侵事件四大類,且透過DNS和Firewall的設定來進行保護,此外EC-Cert也加入國際反網路釣魚工作小組APWG可獲得國際間更多網路威脅形式、數位鑑識、網路釣魚資料庫等最新資訊。
若以PCHOME為例,在於電子商務交易安全規範,不只網路平台,還包括了供應商和物流商皆必須參與電子商務信賴安全聯盟以及透過PDCA的方式導入資安規範。且還需要更嚴格的保護消費者的個人資料,簡單來說有四個步驟分別是蒐集、處理、儲存和銷毀,蒐集步驟則要確認個人隱私資料是否合法適當,處理步驟則要確保利用範圍和目的是否合法適當,且不管是蒐集還是處理皆要維護當事人權利,分別包括了告知、公開、回應以及正確等權利。而在確認「安全」後,會進行適當之控制儲存,包括了幾項控制,一是受竊取、洩漏、竄改及入侵之告知,二是維護資料之正確性,三是外洩之保險措施,且之後在違反法律規定、特定目消失和期限屆滿適時的銷毀,至於PCHOME線上購物針對交易安全規範,則包括了存取控制、內部禦、流程管理及資料加密等四大方面。此外消費者在於購物時則不需先加入會員,而是直接輸入能辦認身份的相關資訊,在金流單位確認後即會進行出貨,且將消費者的個人不進行儲存直接轉提供給物流商,資訊包括了購買人、購買人付款、收件人和訂單等資訊,而在於畫面顯示或紙本方面則「不完整提供」消費者個人資訊,簡單來說就是資訊部份以星號來取代,來確保個人資料的安全。
而在電子商務網路交易安全宣導方面,簡單來說在虛擬交易中建立「信認」制度是非常重要且困難的,政府則推出網站身分識別標章,為了建立消費者與商家雙方的信賴,再來則是網路實名制,例如:透過手機來註冊會員等機制,相對的也就必須保護好個人的基本資料,避免發生如SONY和CITIBANK的事件,一般來說外洩的原因,主要有二種,一是內部員工,二是外部入侵,除了得知消費行為外,更可怕的則是身分被冒用的問題。透過飛翔駱駝的分享,了解到電子商務常見的詐欺案件原因分析,一般來說除了個資外洩是平台的根本原因外,其它像是交易資料外洩、帳號被盜用以及品質不符可能都是賣家的問題,其中品質不符則常被誇大為詐欺。而釣魚是駭客的老方法,但卻很有效,因此平常更應該進行電子郵件釣魚與演練,所以社交工程是一般業者主要對付的人,其它的就交給警察吧!此外建議挑一個好平台,而不要自己架設電子商務網站,因為面對資安的威脅,平時就必須做到許多道防線,一是弱點掃描,像Nessus,二是WEB端防護,像WAF,三是要有能力因應DDoS的攻擊,光這些因應的方法防止內神、外鬼和客服人員就必須要先投資大量的金錢,這不是一般中小企業可面對的,且明年個資法一通過,只要發生一次2億就差不多能使公司倒閉,因此資安交給專業,而商家專心於本業。接下來則是Yam蕃薯藤的分享,要先了解公司到底做什麼服務才能有效的進行防護,至於什麼是資安呢?每個人都知道CIA的重要,但什麼是機密性、完整性和可用性且要如何做才能達到法律的要求呢?以及資訊安全與公司發展電子商務的關係是什麼?更重要的是要如何說服上位管理者以上所說的是非常的重要呢?而演講者是從法務人員的角色為主,可分成六個步驟分別是觀念溝通、適法性檢視、計劃研擬、工作推動、技術與管理部門資源的整合以及資安工作的執行與稽核。其中觀念的溝通,主要是從資訊、資料庫、應用程式、作業系統、網路一層一層的溝通最後「人」才是最重要的,接著的適法性則會從四個方面來探討分別是管理、技術、委外以及使用者,至於其它方面我個人則認為依公司的不同會有不同的方式達到PDCA,但最後一定會達到最佳實務和雙贏的局面。最後的森森百貨則非常重視資安,特別在於有資安官一職外還通過網站身分識別標章認證以及透過McAfee進一步達到安全的認證等行動足以證明資訊安全對於電視購物和電子商務是非常重要的,至於要如何申請標章則可上EC-security計畫的網站,而我則試著在已認證標章上按右鍵會出現TWCA SSL LOGO的訊息,而按左鍵會出現網站憑證的詳細資訊,此外試著另存網頁,開啟後發現那憑證就只是一張圖片,且顯示的是錄色勾勾而非紅色叉叉,我就在想一開始進來這網站標章居然在最下面,真麻煩外,若我只貼一張網站身分識別標章認證的圖,有誰會很無聊的都會去點點看詳細資訊呢?以及是否會被惡意利用呢?至於會與EV-SSL憑證連動,憑證失效、標章同時失效,但可能後端還是有遠端掛馬監測,提供即時警告的機制進行資訊安全的保護吧!
若以PCHOME為例,在於電子商務交易安全規範,不只網路平台,還包括了供應商和物流商皆必須參與電子商務信賴安全聯盟以及透過PDCA的方式導入資安規範。且還需要更嚴格的保護消費者的個人資料,簡單來說有四個步驟分別是蒐集、處理、儲存和銷毀,蒐集步驟則要確認個人隱私資料是否合法適當,處理步驟則要確保利用範圍和目的是否合法適當,且不管是蒐集還是處理皆要維護當事人權利,分別包括了告知、公開、回應以及正確等權利。而在確認「安全」後,會進行適當之控制儲存,包括了幾項控制,一是受竊取、洩漏、竄改及入侵之告知,二是維護資料之正確性,三是外洩之保險措施,且之後在違反法律規定、特定目消失和期限屆滿適時的銷毀,至於PCHOME線上購物針對交易安全規範,則包括了存取控制、內部禦、流程管理及資料加密等四大方面。此外消費者在於購物時則不需先加入會員,而是直接輸入能辦認身份的相關資訊,在金流單位確認後即會進行出貨,且將消費者的個人不進行儲存直接轉提供給物流商,資訊包括了購買人、購買人付款、收件人和訂單等資訊,而在於畫面顯示或紙本方面則「不完整提供」消費者個人資訊,簡單來說就是資訊部份以星號來取代,來確保個人資料的安全。
而在電子商務網路交易安全宣導方面,簡單來說在虛擬交易中建立「信認」制度是非常重要且困難的,政府則推出網站身分識別標章,為了建立消費者與商家雙方的信賴,再來則是網路實名制,例如:透過手機來註冊會員等機制,相對的也就必須保護好個人的基本資料,避免發生如SONY和CITIBANK的事件,一般來說外洩的原因,主要有二種,一是內部員工,二是外部入侵,除了得知消費行為外,更可怕的則是身分被冒用的問題。透過飛翔駱駝的分享,了解到電子商務常見的詐欺案件原因分析,一般來說除了個資外洩是平台的根本原因外,其它像是交易資料外洩、帳號被盜用以及品質不符可能都是賣家的問題,其中品質不符則常被誇大為詐欺。而釣魚是駭客的老方法,但卻很有效,因此平常更應該進行電子郵件釣魚與演練,所以社交工程是一般業者主要對付的人,其它的就交給警察吧!此外建議挑一個好平台,而不要自己架設電子商務網站,因為面對資安的威脅,平時就必須做到許多道防線,一是弱點掃描,像Nessus,二是WEB端防護,像WAF,三是要有能力因應DDoS的攻擊,光這些因應的方法防止內神、外鬼和客服人員就必須要先投資大量的金錢,這不是一般中小企業可面對的,且明年個資法一通過,只要發生一次2億就差不多能使公司倒閉,因此資安交給專業,而商家專心於本業。接下來則是Yam蕃薯藤的分享,要先了解公司到底做什麼服務才能有效的進行防護,至於什麼是資安呢?每個人都知道CIA的重要,但什麼是機密性、完整性和可用性且要如何做才能達到法律的要求呢?以及資訊安全與公司發展電子商務的關係是什麼?更重要的是要如何說服上位管理者以上所說的是非常的重要呢?而演講者是從法務人員的角色為主,可分成六個步驟分別是觀念溝通、適法性檢視、計劃研擬、工作推動、技術與管理部門資源的整合以及資安工作的執行與稽核。其中觀念的溝通,主要是從資訊、資料庫、應用程式、作業系統、網路一層一層的溝通最後「人」才是最重要的,接著的適法性則會從四個方面來探討分別是管理、技術、委外以及使用者,至於其它方面我個人則認為依公司的不同會有不同的方式達到PDCA,但最後一定會達到最佳實務和雙贏的局面。最後的森森百貨則非常重視資安,特別在於有資安官一職外還通過網站身分識別標章認證以及透過McAfee進一步達到安全的認證等行動足以證明資訊安全對於電視購物和電子商務是非常重要的,至於要如何申請標章則可上EC-security計畫的網站,而我則試著在已認證標章上按右鍵會出現TWCA SSL LOGO的訊息,而按左鍵會出現網站憑證的詳細資訊,此外試著另存網頁,開啟後發現那憑證就只是一張圖片,且顯示的是錄色勾勾而非紅色叉叉,我就在想一開始進來這網站標章居然在最下面,真麻煩外,若我只貼一張網站身分識別標章認證的圖,有誰會很無聊的都會去點點看詳細資訊呢?以及是否會被惡意利用呢?至於會與EV-SSL憑證連動,憑證失效、標章同時失效,但可能後端還是有遠端掛馬監測,提供即時警告的機制進行資訊安全的保護吧!