事實上,今天的消費者只要打開家裡的電腦,輕輕移動滑鼠連上網路,就可以連結販賣各種商品的網路商店,而且還可藉由商品比價的服務,輕鬆地找到想要購買的物品,然後把它們統統放到虛擬的購物車之中。一旦完成選購之後,接著只要按下「結帳」按鈕,再輸入商品送貨的地址和收件人資訊,透過信用卡來直接進行線上交易,短短幾十秒的時間內就可完成購物,有些物品甚至保證在24小時內就可送達顧客手中,若超過遞送時間的話,還會送上補償的現金折價卷,真是方便到令人難以想像。
不過,伴隨著「方便」而來的另一面,往往就會產生所謂的「安全」問題,因為消費者只要憑著信用卡號就能購買商品,那麼,商家要如何確保信用卡號不會在交易過程中被盜用,而造成個人的財務損失?如何去確保這些牽涉到金融交易的資訊,不會輕易落入惡意的第三者手中(例如駭客和公司內非經授權的員工),而被用來從事非法的行為,這些都是提供電子商務和線上交易的業者,必須要認真去面對的問題。
電子商務面臨的安全威脅
根據媒體的報導,從2007年下半年起,因為網路購物資料外洩導致的詐欺案件,已經成為詐騙手法的主流,每月發生件數佔各類詐騙案件的三分之一,警方指出,這些詐騙集團看準了時下年輕人大量使用網路購物,所以經常假借拍賣網站或網購平台業者名義,假冒網購服務人員來行騙。
回顧過去,有關信用交易和線上交易所發生的個人資料外洩事件,在國內外都時有所聞,例如:
- 2005年6月,美國CardSystems電子付款資料處理公司,因為遭到駭客入侵被植入了惡意程式,導致4000萬筆交易帳戶資料外洩,成為當時規模最大的個人資料外洩事件。
- 2005年7月開始,美國零售業者TJX公司,至少有一年半的時間,由於無線網路遭到駭客入侵,惡意人士可自由地進入TJX的資料庫,偷偷地盜取客戶的交易資料,造成了4,500萬筆以上的客戶信用卡資料外洩,損失所及包括後續遭到盜刷的各家發卡銀行。
- 2007年1月,雅虎日本(Yahoo Japan)拍賣網站,出現了大量使用台灣信用卡卡號的異常消費,這些卡號都是事先被人側錄下來,然後集體在雅虎日本拍賣網站上盜刷,發卡單位包括了台灣數家知名銀行業者,約有數千名卡友被波及。
- 2007年6月,歐洲更發生了大規模的網站遭受駭客入侵、竄改網頁程式碼的事件,受到影響的網站超過了一萬個,其中絕大多數是屬於旅遊、飯店、汽車製造與影音娛樂類等網站;同時間,全台灣也有984個網站被植入了惡意程式碼,包括了汽車、體育、商業和學術機構等網站,民眾只要瀏覽了這些被入侵的網站,就有可能不知不覺被安裝了木馬程式或病毒等惡意程式,竊取個人隱私資料。
- 2007年12月,國內有八家購物和網路線上遊戲業者,疑似被竊取會員交易資料之後,再轉向購物網站會員進行詐騙,歹徒會以電話清楚告知被害人過去購物的內容明細,再謊稱因為作業疏忽誤將付款方式勾選為分期付款,進而要求消費者至ATM操作以便更正,誘使消費者不小心轉帳上當,預估被害人達五千多人;同時間,某知名線上購物平台業者,受到來自大陸的惡意入侵攻擊,在很短的時間內,被人大量地進行會員資料比對,不斷嚐試破解會員帳號密碼,藉此來取得進入會員登錄資料,有5400筆帳號和密碼因此被比對成功而外洩。
- 2008年4月,某知名化妝品網站,也傳出會員帳號、密碼疑似遭到歹徒入侵破解,共有70多位會員資料外洩而被詐騙集團利用,要求會員需至ATM提款機前操作,以便更改已付款的訂單,暗中再趁機轉出存款。
認識資訊安全相關法規
對於電子商務業者而言,參考國際法規的規範要求,對於資訊安全防護工作將有莫大的幫助,事實上,有許多法規也已成為各個產業必須確實遵守的法律要求,如果沒有符合法規的規範,企業的負責人很可能會面臨法律刑責與罰款的處罰。
針對目前國際上與資安有關的法規,簡要說明如下:
至於ISO 27002(前身為ISO 17799)則是資訊安全管理作業要點,內容涵蓋了11個章節以及133個安全控制措施,可作為建立一個標準的資訊安全管理系統的參考,管理人員在建立資訊安全管理系統時,建議可參照這個標準來進行。
在ISO 27001標準中提到,「確保資訊安全是一個管理過程,而不是一項技術導入過程,它是為了確保資訊安全所實行的各項措施,能夠有效保護資訊不會受到各種威脅,以使企業能夠持續營運,並且將可能受到的損失降至最低。」所以,維護資訊安全並不單只是資訊人員的責任,而是必須提高層級由企業組織的管理階層做出承諾,要求成為所有人員必須遵守的規範,也唯有人員都具備了資訊安全的警覺與防護知識,才能降低發生資訊安全事件的可能。
PCI DSS資料安全標準介紹
以上所介紹的資訊安全法規中,個人認為PCI DSS是電子商務業者可以參考的最佳指引,PCI DSS是由American Express、Discover Financial Services、JCB、MasterCard Worldwide、Visa International等五家知名的電子付款與信用卡業者所共同組成的PCI Security Standards Council組織所制定,要求所有提供信用卡服務的商店,和支付款有關的業者,在儲存、處理與傳遞持卡人資料時,必須要有符合標準要求的安全控制措施。
此一提供給全球產業共同遵守的資料安全標準,雖然主要是用來保護信用卡持卡人的資料,但其目的就是為了要保護個人敏感資訊,以確保電子商務的交易安全。因此,對於提供線上交易的業者而言,主動落實PCI DSS中所明訂的各項要求,將可有效保護網站交易的各項資料。
本文所參考的的版本是在2006年9月發佈的PCI DSS 1.1(2009/3/31已更新為1.2),一共分為6大目標和12項基本要求,內容涵蓋了技術、政策和程序,這些要求可用來審視業者的安全機制,用以保障持卡人的帳戶及交易資料安全。條文的要求內容說明如下:
(一) 建立並維護一個安全的網路
要求1:安裝並維護良好的防火牆配置,以保護持卡人的資料。
要求2:不使用設備出廠的預設值,例如管理密碼和其他安全參數。
(二) 保護持卡人資料
要求3:必須妥善保護儲存的持卡人資料。
要求4:透過公共網路所傳送的持卡人敏感資料,必須加密。
(三) 維護一個弱點管理系統
要求5:安裝防毒軟體,並經常更新程式和病毒碼。
要求6:發展及維護安全的系統和應用程式。
(四) 實施強有力的安全存取控制措施
要求7:依據業務需求,限制對於持卡人資料的存取。
要求8:對於進行資訊存取的個人,只賦予一個唯一識別碼。
要求9:限制持卡人資料的實體存取。
(五) 定期監控並測試網路
要求10:追蹤並監控存取各項網路資源和持卡人資料的過程。
要求11:定期測試系統安全與流程。
(六) 維持一個資訊安全政策
要求12:實施並維護一個資訊安全政策。
PCI DSS對電子商務安全的要求
PCI DSS標準所要求的對象是支付卡相關產業,目的是為了要保護電子商務交易的資料安全,企業若想要達到PCI DSS標準的要求,必須依照營運規模或每年的交易筆數,透過自我評核問卷 (Self-Assessment Questionnaire)、弱點掃描(Vulnerability scan)和實地稽核(Onsite review)等三種方式來進行認證,以下說明各項要求中應該注意的重點事項:
電子商務業者除了參考PCI DSS標準的要求,來加強各項安全控制措施之外,在網站與資料安全管理方面也是相當重要的,尤其是一旦發現資料有可能遭到竊取而外洩時,就應該在第一時間內通知消費者,並盡快進行後續的補救措施,以避免事件一發不可收拾,而造成更大的損失。
另外,隨著新的弱點與攻擊手法不斷出現,業者必須要求系統接受定期的安全測試,以確保安全性不會隨著時間或是因軟體變更的關係而受到影響。換句話說,業者務必要定期進行安全稽核工作,以確保系統可能的漏洞都已修補,並且合乎本身所制定的資訊安全政策,至於資料本身,則要設定追蹤監控機制,以了解到底是誰在什麼時間、地點,存取了哪些資料。
最後,電子商務業者務必要建立一個有效的資訊安全政策,所謂的有效性是指唯有透過管理高層的正式發佈與重視,才能讓所有員工了解資訊安全的重要性,並且明白必須承擔的相關責任,這樣才有可能真正地落實資訊安全的各項工作。(本文刊載於2008工商時報電子資訊工業年鑑)
<參考資料>
1. PCI Security Standards Council網站
2. VISA的帳戶資料安全計劃
- 美國Sarbanes-Oxley Act沙賓法案 - 要求美國公開上市公司必須做好內稽內控的資安工作,確保財報之正確及有效性,適用對象只限於在美國掛牌上市的企業,以及美國企業赴海外設立的分支機構及子公司,若是重要營運資訊遭到竊改或公佈,造成市場重大影響,將處以100萬美元或是對負責人處以20年以上刑期。
- 美國Gramm Leach Bliley Act (GLBA)金融服務法案 - 要求相關金融產業必須保障個人金融資訊隱私,確保資料的機密性、完整性,避免資訊遭到未經授權的存取與誤用,違反者將處1萬美元罰款,其目的在於提供審慎服務架構,考量銀行、證券商、保險公司及其他金融服務業的健全經營,全面提升金融服務業之競爭力。
- 美國Healthcare Information Portability and Accountability Act (HIPPA)法案 - 明文要求所有處理或持有健康醫療相關資訊的組織,都必須遵守「保護病患個人資料」的安全性規定。要求相關單位之醫療照護必須要確保個人醫療資訊的安全,具備良好的存取控制措施,並確保資訊在傳輸、處理、儲存過程中不會被竊取或竄改,未遵守者將處五萬美元罰款和一年徒刑。
- California Senate Bill 1386法令 - 要求企業在發生資料外洩事件時,必須要通知企業員工、顧客及可能受到侵害的個人,避免掩蓋事件而造成更大的傷害。
- Payment Card Industry(PCI)資料安全標準 - 由各家支付卡業者所發起,主要是針對個人的信用卡相關資料,要求銀行必須實行嚴謹的安全控管措施,以保護信用卡持卡人的資料安全。
至於ISO 27002(前身為ISO 17799)則是資訊安全管理作業要點,內容涵蓋了11個章節以及133個安全控制措施,可作為建立一個標準的資訊安全管理系統的參考,管理人員在建立資訊安全管理系統時,建議可參照這個標準來進行。
在ISO 27001標準中提到,「確保資訊安全是一個管理過程,而不是一項技術導入過程,它是為了確保資訊安全所實行的各項措施,能夠有效保護資訊不會受到各種威脅,以使企業能夠持續營運,並且將可能受到的損失降至最低。」所以,維護資訊安全並不單只是資訊人員的責任,而是必須提高層級由企業組織的管理階層做出承諾,要求成為所有人員必須遵守的規範,也唯有人員都具備了資訊安全的警覺與防護知識,才能降低發生資訊安全事件的可能。
PCI DSS資料安全標準介紹
以上所介紹的資訊安全法規中,個人認為PCI DSS是電子商務業者可以參考的最佳指引,PCI DSS是由American Express、Discover Financial Services、JCB、MasterCard Worldwide、Visa International等五家知名的電子付款與信用卡業者所共同組成的PCI Security Standards Council組織所制定,要求所有提供信用卡服務的商店,和支付款有關的業者,在儲存、處理與傳遞持卡人資料時,必須要有符合標準要求的安全控制措施。
此一提供給全球產業共同遵守的資料安全標準,雖然主要是用來保護信用卡持卡人的資料,但其目的就是為了要保護個人敏感資訊,以確保電子商務的交易安全。因此,對於提供線上交易的業者而言,主動落實PCI DSS中所明訂的各項要求,將可有效保護網站交易的各項資料。
本文所參考的的版本是在2006年9月發佈的PCI DSS 1.1(2009/3/31已更新為1.2),一共分為6大目標和12項基本要求,內容涵蓋了技術、政策和程序,這些要求可用來審視業者的安全機制,用以保障持卡人的帳戶及交易資料安全。條文的要求內容說明如下:
(一) 建立並維護一個安全的網路
要求1:安裝並維護良好的防火牆配置,以保護持卡人的資料。
要求2:不使用設備出廠的預設值,例如管理密碼和其他安全參數。
(二) 保護持卡人資料
要求3:必須妥善保護儲存的持卡人資料。
要求4:透過公共網路所傳送的持卡人敏感資料,必須加密。
(三) 維護一個弱點管理系統
要求5:安裝防毒軟體,並經常更新程式和病毒碼。
要求6:發展及維護安全的系統和應用程式。
(四) 實施強有力的安全存取控制措施
要求7:依據業務需求,限制對於持卡人資料的存取。
要求8:對於進行資訊存取的個人,只賦予一個唯一識別碼。
要求9:限制持卡人資料的實體存取。
(五) 定期監控並測試網路
要求10:追蹤並監控存取各項網路資源和持卡人資料的過程。
要求11:定期測試系統安全與流程。
(六) 維持一個資訊安全政策
要求12:實施並維護一個資訊安全政策。
PCI DSS對電子商務安全的要求
PCI DSS標準所要求的對象是支付卡相關產業,目的是為了要保護電子商務交易的資料安全,企業若想要達到PCI DSS標準的要求,必須依照營運規模或每年的交易筆數,透過自我評核問卷 (Self-Assessment Questionnaire)、弱點掃描(Vulnerability scan)和實地稽核(Onsite review)等三種方式來進行認證,以下說明各項要求中應該注意的重點事項:
- 要求1:在要求1中,業者必須要建立起防火牆的配置標準,像是防火牆的建置拓樸圖、防火牆規則的建置說明以及DMZ區中的安全設定與網段區隔。基本上,除了必須的網路協定之外,其它不必要的網路服務與通訊埠皆不應開放,而且只要是含有儲存持卡人資料的系統,它和公用伺服器之間的任何連線,都必須建立起防火牆來加以區隔,並且藉由實施IP偽裝的機制(NAT)來避免內部主機位址暴露在網際網路上,以限制任何儲存敏感資訊的系統可以被外部公開地存取。
- 要求2:業者若是透過供應商來安裝各式系統和網路元件,例如防火牆、路由器、無線網路基地台等,應該修改系統管理的預設值,並且針對所有的管理連線進行加密,以避免駭客直接以系統預設帳號及密碼,繞過防線直接危害到管理系統。另外,若是自行開發各項延伸的系統元件,應採取業界建議的安全開發配置標準。
- 要求3:針對網站儲存的持卡人資料,業者應該秉持保留最少數據的原則,並且制定一個資料處理與儲存程序,來做好持卡人資料的控管。例如,若需要顯示持卡人主要帳號資料時,應採用前六或後四碼的隱蔽措施,如果需要將主要帳號資料儲存的話,也需要採取加密方式來確保資料不會任意被讀取。在實施了加密之後,用來加密持卡人的金鑰就成為重要關鍵,所以還要制定金鑰的管理流程和程序,來確保金鑰不會被洩露和濫用。
- 要求4:若敏感資料需要透過公共網路來傳送,務必要採用強度難以破解的加密演算法和安全協定,以避免資料在傳遞的過程中遭到破解與竄改。因此,網站必須提供像SSL/TLS或IPSec等安全傳輸協定,並且針對所傳輸的資料進行加密。
- 要求5:所有和持卡人資料有關的系統,都應該安裝防毒軟體,並且經常更新病毒碼,在防毒軟體的選擇上,建議最好同時具備防木馬與間諜程式的偵測功能。另外,更要確保所有的防毒措施都能及時更新,並且產生可供日後稽核的事件日誌。
- 要求6:網站的主機系統和應用程式,應該在由供應商發佈修補檔的一個月內進行安裝更新,管理者可以用訂閱方式來接收最新發現的安全弱點。若是自行開發的應用程式,應該採行業界的最佳實務如Security Development Life Cycle(SDLC),將資訊安全與整個軟體發展生命週期相結合,而且要基於安全的程式編碼原則,以確保所有應用程式不會有已知的安全弱點,並且能抵禦已知的惡意攻擊。如果系統和軟體的配置需要更新或修改的話,也要事先取得管理階層的授權,依照所制定的變更控制流程來進行。
- 要求7:在存取控制措施方面,只能允許工作上有需要的個人來存取電腦資源和持卡人資訊,也就是依據「僅知原則(need to know)」,除非有獲得授權許可,否則應該拒絕所有的存取行為。
- 要求8:針對存取資料的使用者,必須賦予一個唯一的帳號,才能允許其存取和持卡人有關的資料,這樣做的目的在於一旦發生的非法事件,才能追溯相關責任。而針對採用遠端網路存取的員工或第三方合作廠商,也必須採用雙因素身份認證機制,也就是除了採用帳號和密碼之外,還需要使用如Token、憑證、或生物特徵(指紋)等方式來識別連線的使用者。PCI DSS要求,只要是在系統中需要使用的密碼,無論是儲存或傳輸,進行加密是必要的安全措施。
- 要求9:針對持卡人資料的實體存取行為,必須採用監視系統和門禁管理等適當的控制措施,而針對所有含有持卡人資料的紙類或電子媒體,都應存放在安全的地點,並採行實體安全保護,無論是內部或外部,含有持卡人的資料都應該限制發送,而且儲存持卡人資料的媒體在離開安全區域之前,也都需要經過管理階層的核准才能放行,一旦含有持卡人資料的媒體不再需要保留時,也要按照一定的安全程序進行徹底銷毀。而針對員工與訪客,也必須有一套流程,像是採用訪客識別證或通行卡,確保對所有訪客都能被有效管理,在訪客來訪期間的日誌記錄,至少需保存三個月以上,以確保訪客的活動能夠被稽核。
- 要求10:對於和持卡人資料有關的所有存取行為,必須建立一個識別程序,來記錄追蹤存取事件,所記錄的內容應包括使用者ID、事件類型、日期時間、成功或失敗、事件來源、受影響的資料、系統元件或資源的ID或名稱。對於這些事件,管理者應每天進行審查,並且妥善保護稽核軌跡,以防止日誌遭到竄改,所有的稽核記錄應至少保持一年。
- 要求11:針對各項的安全控管措施,每年應定期實施測試,以確保控制的有效性,每季也至少進行一次內部和外部的網路弱點掃瞄,尤其是在網路發生重大變更之後也要執行一次。針對可疑的入侵事件,應建立警示和通報的機制,一旦發現網路或主機遭到入侵,或是關鍵系統或檔案被非授權的更改,都要能夠及時通報相關的人員。
- 要求12:業者應建立、發佈、維護和宣傳一個資訊安全政策,並確保所有員工和合作夥伴,都能明瞭相關資訊安全的責任。在人員管理方面,對於待聘員工應進行背景資料的查核,對新進員工則應實施有關資訊安全意識的宣導,使所有員工都能了解保護資料的重要性,藉此將來自內部的資料外洩風險降至最低。如果不幸發生了資料外洩事件,業者應依照事先建立的事件回應計劃來處理,針對所有合作的供應商夥伴,在合約中也應該註明各項安全要求。
電子商務業者除了參考PCI DSS標準的要求,來加強各項安全控制措施之外,在網站與資料安全管理方面也是相當重要的,尤其是一旦發現資料有可能遭到竊取而外洩時,就應該在第一時間內通知消費者,並盡快進行後續的補救措施,以避免事件一發不可收拾,而造成更大的損失。
另外,隨著新的弱點與攻擊手法不斷出現,業者必須要求系統接受定期的安全測試,以確保安全性不會隨著時間或是因軟體變更的關係而受到影響。換句話說,業者務必要定期進行安全稽核工作,以確保系統可能的漏洞都已修補,並且合乎本身所制定的資訊安全政策,至於資料本身,則要設定追蹤監控機制,以了解到底是誰在什麼時間、地點,存取了哪些資料。
最後,電子商務業者務必要建立一個有效的資訊安全政策,所謂的有效性是指唯有透過管理高層的正式發佈與重視,才能讓所有員工了解資訊安全的重要性,並且明白必須承擔的相關責任,這樣才有可能真正地落實資訊安全的各項工作。(本文刊載於2008工商時報電子資訊工業年鑑)
<參考資料>
1. PCI Security Standards Council網站
2. VISA的帳戶資料安全計劃
沒有留言:
張貼留言