iThome
從2008年開始,東森購物開始評估個資法產生的影響。東森購物資訊部協理丁平碩表示,東森購物從個人資料生命周期的觀點來評估影響。
第一步就是搞清楚所有資訊流的來龍去脈,丁平碩表示,從個人資料的產生、利用、儲存到刪除,許多企業擁有的個人資料只是長時間儲存著,為了確保相關的個資安全,相關的加密資安措施就不能少。
再者,確認東森購物的會員敏感性的資料除了姓名外,就是電話、消費記錄等,從業務流程調整分析,收斂到只有客服人員和IT部門人員有機會接觸到機密的客戶資料,而且,這些會接觸到客戶機密資料的人都必須簽保密協定。
丁平碩說,對第一線的客服人員做到「前端(電話號碼)遮罩、後端(會員資料庫)加密」,若有和會員聯絡需求時,客服人員看不到會員聯絡方式,只能透過電話外撥系統、自動撥號、聯絡客戶。客服人員必須將個人物品放置置物櫃中,上班前,則會領取已經編好號碼的活頁紙張,下班後必須繳回,讓客戶資料不會經由其他管道外洩。至於可以接觸到機密資料的IT人員,則適當限縮其權限,只有少數幾個人當管控點,有權看到客戶資料,所有流程都有記錄可查。
東森購物提供供應商Token(權杖)作為第二重登入系統的密碼,並簡化給貨運物流公司的資料。為了確保客戶資料的安全性,目前也陸續擴大實施,由東森購物配合的物流公司到出貨公司的倉庫取貨,降低個資外洩的風險。
東森購物提供分期付款服務,必須儲存信用卡資料。丁平碩表示,為了確保信用卡資料儲存的安全性,東森購物從5月19日啟動ISO 27001資安認證計畫,也將一併取得由Visa和Master推動的PCI DSS信用卡號碼安全使用的驗證標準,預計年底完成相關認證。配合個資法的規範,未來每筆訂單分期付款已經結束,將已經不需要進行分期付款的信用卡資料刪除。
丁平碩表示,以東森購物目前資安占整體IT預算的比例,包含異地備援(DR)的資安預算占整體IT預算的6成,若不包含異地備援的資安預算則整體預算的2成。
東森購物資訊部協理丁平碩藉由掌握資訊流來龍去脈,管控資安。
【相關報導請參考「個人資料保護法何時會三讀通過?」】
熱門新聞
2024-10-23
2024-10-30
2024-10-30
2024-10-27