全站文章 iT邦幫忙
訂閱電子報RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號
忘記密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
新  聞 專  題 對  策 專  欄 問 與 答 企業案例 解決方案
PayEasy舉行個資考試,強化員工個資保護意識
文/iThome (記者) 2009-08-24
對於超過300萬名的會員資料,PayEasy隨時監控資料安全性並提前警示,從客服人員到供應商與末端物流,只提供職務上所需的資料,不給不必要的資料

2009年4月,擁有300萬筆會員資料的電子商務業者Payeasy(康迅數位),對全公司200名員工舉行一個個資法考試,全公司平均75分,總經理林坤正只錯一題,拿到95分高分。

負責出題的Payeasy總經理室協理謝木村表示,因應新版個資法即將上路,讓同仁透過研讀教材,引導同仁知道哪些是重要的個人資料,如何做到保密,一旦個資外洩,對企業又會產生什麼影響?這是Payeasy因應個資法可能過關的第一個挑戰。

Payeasy擁有的個人資料包括身分證字號、姓名、電話、生日、E-mail、地址等,但沒有驗證真假,只判斷是否符合系統限制。謝木村認為,因應個資法即將過關,必須思考「這些會員資料是不是必要的,一定要收集嗎?」避免過於因循苟且或意外導致個資外洩,對Payeasy而言,都是很大的壓力。針對Payeasy目前超過300萬名會員做的資料分析,全都是純資料倉儲的資料分析,並無從指涉任何特定人身分。

對第一線會接觸到客戶資料的客服人員而言,他表示,客服人員只能看到訂單上的帳號、姓名,付款行為,但看不到其他聯絡方式,相關網段都是內網且切割,不可以用USB設備並全程錄音錄影,個人物品也必須放在置物櫃中,杜絕任何可能性。至於其他部門同仁,謝木村表示,若有需要知道客戶的姓名、電話或Email等,都必須上簽呈。

Payeasy提供供應商使用Token(權杖)作為第二重密碼驗證,當資料保存成為壓力,Payeasy只讓供應商可以看到1個月內的訂單記錄。為了杜絕詐騙集團可以從消費資訊進行詐騙,謝木村表示,目前所有從Payeasy倉庫出貨的商品,列印出來的標籤上就不會有品項名稱,若委由廠商出貨,除了基本的姓名、地址、聯絡電話外,會多出貨品名。

Payeasy公共事務部協理陳中興表示,Payeasy在經營心態與其他業者較大的差異點在於,不論是被攻擊或者是被惡意鎖定、暴力破解帳號密碼等,願意清楚的公開公司網站和會員資料的危險等級,讓會員能在第一時間提高警覺、避免受騙。他說:「唯有資訊清楚且完整的揭露,才能讓責任清楚釐清並取得客戶信任。」

詐騙集團已經是企業化經營,也講求詐騙的投資報酬率(ROI),陳中興表示,目前立院各版本的個資法規範,並不鼓勵任何「事前預警」的守望相助作為,以Payeasy這種主動示警的作法一旦發生溝通錯誤的情形,極可能變成「Payeasy已經發生資安事件」,反而造成反效果。但事前的預警才能有效避免會員被詐騙,他認為,未來的個資法應該有類似守望相助條款,鼓勵企業能事前預警、降低客戶受害的機會。

因應個資法的過關,企業要更清楚如何「安全使用」會員的個人資料,謝木村強調,按照法案精神,未來連會員資料的銷毀都必須有完整的SOP並公告周知。目前Payeasy對資料銷毀這一段,則要等法律最後怎麼訂,再做相關配合。

如欲觀看原始文章報導,請參考:個人資料保護法 何時會三讀通過/a>

研討會訊息
打造超穩定企業虛擬化平臺研討會
雲端時代的新資訊安全觀
「雲端智慧‧創新服務」研討會
各國創新e政府案例探討
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

最新問答




    熱門主題




      電週文化事業版權所有、轉載必究 ‧Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome