• 發布單位:TWCERT/CC
• 更新日期:2020-03-24
• 點閱次數:1313

台灣有許多小型企業的電子商務平台，其線上購物網站普遍委託網站開發廠商建置，企業對於系統架構與網站設計皆無法掌握，易忽略網站的安全性，導致該網站之客戶資料亦遭駭客竊取，客戶資料可能包括子郵件帳號、信用卡資料、身分證字號、姓名、生日、地址、電話、購物資訊及金融機構帳戶等，駭客則可利用這些資料進行惡意郵件寄送、行銷、詐騙或非法信用卡交易等。

台灣法務部頒布的個人資料保護法規定，若企業意外洩漏客戶個資，雖無刑事責任，但仍有民事賠償及行政裁罰責任，企業發展電子商務時切勿忽略網站的資安風險，除可能遭裁罰外，亦可能影響企業商譽。

TWCERT/CC防護建議：

1. 購物網站的開發時，應要求開發商納入源碼檢測、弱點掃描及滲透測試等安全軟體發展流程(Secure Software Development Life Cycle, SSDLC)。
2. 網站伺服器的作業系統及應用程式務必更新到最新版。
3. 需安裝防火牆與防毒軟體，防火牆規則需設定正確，時常檢視log紀錄是否異常，防毒軟體需設定病毒碼動更新。
4. 網站若涉及企業客戶交易紀錄、客戶資料等，務必採用SSL加密機制，傳輸敏感資訊。
5. 網站的管理者來源位址需固定，並使用安全的認證方式。
6. 導入資料外洩防護方案(Data Lost Prevention, DLP)，以確保重要資料外流時能即時偵測與攔截，及重要檔案不會在未被授權的環境下被打開，而造成資料外洩。