按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

企業客戶資料遭竊的連鎖效應

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:108-03-13
  • 點閱次數:100
企業客戶資料外洩,企業遭罰款及商譽受影響

台灣有許多小型企業的電子商務平台,其線上購物網站普遍委託網站開發廠商建置,企業對於系統架構與網站設計皆無法掌握,易忽略網站的安全性,導致該網站之客戶資料亦遭駭客竊取,客戶資料可能包括子郵件帳號、信用卡資料、身分證字號、姓名、生日、地址、電話、購物資訊及金融機構帳戶等,駭客則可利用這些資料進行惡意郵件寄送、行銷、詐騙或非法信用卡交易等。

台灣法務部頒布的個人資料保護法規定,若企業意外洩漏客戶個資,雖無刑事責任,但仍有民事賠償及行政裁罰責任,企業發展電子商務時切勿忽略網站的資安風險,除可能遭裁罰外,亦可能影響企業商譽。

 

TWCERT/CC防護建議:

  1. 購物網站的開發時,應要求開發商納入源碼檢測、弱點掃描及滲透測試等安全軟體發展流程(Secure Software Development Life Cycle, SSDLC)。
  2. 網站伺服器的作業系統及應用程式務必更新到最新版。
  3. 需安裝防火牆與防毒軟體,防火牆規則需設定正確,時常檢視log紀錄是否異常,防毒軟體需設定病毒碼動更新。
  4. 網站若涉及企業客戶交易紀錄、客戶資料等,務必採用SSL加密機制,傳輸敏感資訊。
  5. 網站的管理者來源位址需固定,並使用安全的認證方式。
  6. 導入資料外洩防護方案(Data Lost Prevention, DLP),以確保重要資料外流時能即時偵測與攔截,及重要檔案不會在未被授權的環境下被打開,而造成資料外洩。
回頁首