目前位置: 新聞總覽 -> Rich Man 專欄 -> 金融電子商務系統個資保護探討

2014年01月27日

金融電子商務系統個資保護探討

對於金融電子商務產業該如何因應個資法的要求,讓Richman來幫您一一解答:

[緣由]
主管機關:金融監督管理委員會
發布機關:金融監督管理委員會
發布日期:102.11.08
發布字號:金管法字第10200704150號 令
異動性質:訂定
施行狀態:自公（發）布日或溯及施行（實施）
主    旨:訂定「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」。
法規名稱:金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法 

[規範對象]
一、金融控股公司。
二、銀行業。
三、證券業。
四、期貨業。
五、保險業。
六、電子票證業。
七、其他經金融監督管理委員會（以下簡稱本會）公告之金融服務業。
八、本會主管之財團法人。

[第十條]
非公務機關提供電子商務服務系統，應採取下列資訊安全措施:
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、應用系統於開發、上線、維護等各階段軟體驗證與確認程序。
五、個人資料檔案及資料庫之存取控制與保護監控措施。
六、防止外部網路入侵對策。
七、非法或異常使用行為之監控與因應機制。
前項所稱電子商務，係指透過網際網路進行有關商品或服務之廣告、行銷
、供應、訂購或遞送等各項商業交易活動。
第一項第六款、第七款所定措施，應定期演練及檢討改善。

Q1:關於使用者身分確認及保護機制該如何做呢?
A:企業員工在公司上班存取各項實體及虛擬設備有不同的識別方式，如AD帳號，Email帳號、門禁卡等等，要作好使用者身份確認需將以上各式識別資料作一關連，並記錄其所有操作過程，一旦建立此關連也可確保了識別資料組的完整及正確性，若日後有任何違反情事時，可立即告警。HP ArcSight IdentityView則是最佳的識別及記錄管理工具。

Q2:個人資料顯示之隱碼機制的解決方案為何?
A:個資的隱碼機制並不僅限於網站拜訪者，企業「DBA」與「AP 委外廠商/開發同仁」其實也是不需要看到「完整個資」就可完成其工作的，因此企業需要一個彈性的機制只讓該看的人看到完整資料，其它人員(即使是DBA)也不可以看見完整資料。可利用Informatica DDM來完成此一任務。

 

Q3:如何解決網際網路傳輸之安全加密機制?
A:為了解決網站HTTP 的網路安全，發展出許多加密、認證的機制。其中最常見的就是使用金鑰加密法的HTTP over SSL (Secure Socket Layer)，即為HTTPS，市場上的應用程式伺服系統大都內建此一功能。但對於企業員工在外(如在家)欲存取公司資源或是
分公司間則應使用SSL VPN機制，示意圖如下所示:

但VPN Server的解決方案，通常需要對網路規劃配置作一個新的調整。若要在不變更既有系統的情況下，則可使用以下Riverbed Steelhead方式解決。

 

標籤 : 個資, 懇懋, riverbed, stellhead, HP, ArcSight, Informatica