圖片來源: 

iThome

博客來網路書店在2007年開始,就已經開始在評估個資法對於企業的影響,讓高層知道個資外洩造成的損失大於營收,讓 公司從上而下支持資安。

博客來總經理室資訊安全經理蔡嘉達表示,因應個資法即將過關,正在逐步推動會員資料的簡化,未來新會員申請不需要提供身分證字號,只要提供能確認出貨的資料即可,但相對的,手機和電子郵件的確認就更重要。

蔡嘉達表示,為了確保博客來網站的安全性,除了在閘道端採購可以提供安全防護的設備和服務外,也已經在系統內設計一些資安的檢核點。另外,博客來總經理室公共事務經理楊雅雯說:「新服務或系統上線前,一定得先通過資安和法務部門的評估。」除了提供員工相關的資安教育訓練外,蔡嘉達指出,博客來也成立資安推動小組,每個部門至少有一名資安種子加入該任務編組,提高員工的資安意識。

相較其他業者,蔡嘉達認為,博客來的優勢在於9成都是超商取貨,且配合的供應鏈廠商,都是統一集團內的不同事業群,並有一個聯合防禦的資安預警機制,一旦有哪個環節造成資安疑慮,都會立即通報、進行檢查。

即便如此,所有和供應商系統介接與資料交換,不論是否為單純內部傳送,博客來全部都採用不同等級3DES或AES的加密,所有可辨識會員的核心資料都是一連串代碼,直到列印標籤時,才會知道該筆訂貨人的姓名。

博客來只有客服人員會第一線接觸到客戶核心資料,同時有嚴謹的稽核程序。楊雅雯說,為了降低第一線客服人員接觸到客戶資料,可能產生個資外洩的疑慮,從2008年迄今,陸續導入Thin-Client系統。除了內部資料傳遞以E-mail寄送外,便利外部資料交換,博客來也採購USB自動掃描和防禦產品,提供公用USB隨身碟供各部門使用。

因應新版個資法規範,企業對於資料刪除等,都必須有SOP(標準作業程序)並公告。蔡嘉達說,由於目前政府尚未有一套檢核標準,博客來將參考 金融業的憑證刪除作業,公開由律師和稽核作證,公開在系統上刪除使用者的憑證資料,以昭公信。

 

博客來總經理室資訊安全經理蔡嘉達說,新版個資法高額賠償,讓公司高層重視個資保護。

 

【相關報導請參考「個人資料保護法何時會三讀通過?」】


熱門新聞

Advertisement