從「人」與「流程」建構安全的電子商務

把「人」擺在第一的位置
無論哪一種服務項目，線上交易無法實際接觸到對方，如何讓終端客戶放心消費，必須從商業本質著手，也就是大家耳熟能詳的「客戶第一」，將保障終端用戶列為整體營運規劃的核心。當客戶對公司建立了信任，品牌的價值隨之而來。員工安全訓練更是一切的基礎，唯有整體的安全意識提高，才能面對網路環境快速變化下的高度威脅。

塑造可信賴的作業環境
把安全責任回歸各事業單位，並普及到每一個相關的個人身上，由各單位主管實際面對各式各樣的問題與挑戰。當權責清楚後，更須擬定詳細作業規範及準則，持續的教育訓練，從不知道提升到了解，從了解逐漸轉化為身體力行。當然另一項工作也不能忽略，不斷的稽核與改善以確保成果。當然整個安全管理的範圍既大且廣，利用相關的技術及工具以輔助管理也是必要的手段。

建立專屬的責任團隊
安全的職責應由經營者肩負，搭配專責的安全團隊來規劃及推動所有的安全工作，進而逐步推廣到所有的分支單位。
至於電子商務環境主要的安全要項涵蓋：

＊機密性
這是電子商務安全的第一要務，涵蓋交易資料、客戶資料及隱私政策。我們可透過三個角度來規劃整個必要的機制：
從「人」的角度看：清楚擬定公司的隱私權政策及服務條款，同時教育終端客戶認識隱私政策及如何自我保護；更重要的是教育公司所有工作同仁，清楚認識並徹底執行公司的隱私政策，畢竟所有的工作同仁每天接觸客戶，每一位同仁都認知客戶隱私的重要性，才能從每一個細節保護客戶隱私。

從「作業程序」：國外的消費者非常習慣交出信用卡號，因為他們知道這些資料會被好好保護。所以對公司資訊資產進行分類，同時將分類後的資訊資產符合所需對應的安全等級，並訂定清楚作業流程。例如：客戶的密碼忘記了，誰可以進入系統查詢？應該透過哪些作業程序？有沒有留下所有的記錄？

該運用哪些「技術」：可以運用加密技術或金鑰管理來做資料保護，利用VPN、e-mail加密來做通訊防護，以及實體安全方面，如機房的管控、資料儲存管理、甚至小到筆記型電腦的管控，都值得注意。

＊身份辨識及認證
從「人」的角度看：教育終端客戶好好管理所有的數位身份，舉凡ISP、各家網站、e-mail地址、自己公司的數位身份都該注意保護；好好管理每一組帳號密碼，千萬不可用懶人密碼；一般人容易忽略的社交工程更須留意，在網路上帳號密碼被借用，他就完全可以使用你的所擁有的權限。

就「作業程序」而言：可結合實體世界的資料，如駕照號碼。甚至可增列一些純個人化資訊，如親人的名字、生日等，可降低帳號密碼被盜用的傷害。同時必須定期更換重新驗証。

可運用的「技術」：使用安全載具作安全登入管控、PKI數位憑證、可結合生物辨識，如指紋、臉部特徵等。

＊認可及授權
用戶存取資料的權利及能力從「人」的角度看：教育終端客戶，正確使用他的權限存取相關資料；同時更須規劃完善的訓練，讓所有公司內的工作人員，認識及正確地使用存取控制系統，以確實保護相關機密資訊。也因為綿密的訓練，如果同仁們都有高度警覺性，發生一些個人作業端的異常現象，他知道這是個異常現象並且能及時回報，通常能在事件一發生時，馬上遏止。

再就「作業程序」而言：制定員工守則以及明確的職責分工，以落實存取控管；另一項極重要的時機必須掌握：人員的解雇。一個不滿的人在離職前，隨便一些動作，都可造成難以想像的災害，這時必須事前做必要的防範。另一項影響電子商務運作成敗的關鍵：供應鏈的管理，都必須詳細規劃與溝通。

可運用的「技術」：實體機房及設施的規劃、存取控制清單管理、組態設定更換管理、記錄資訊、稽核、IDS等。

簡而言之，擁有了必要技術及設備、還必須遵照正確的作業流程、更重要的是訓練客戶、訓練工作同仁，這樣才能有效達到安全的作業環境。

最後一項最重要、也是最關鍵的因素：如何獲得高階主管的認可？

1.千萬不要引用「ROI, Return of Investment」：安全的成果無法從正面衡量它的成效，安全工作最弔詭的地方不就是，做的越好、越不覺得安全的重要。通常是所有人在發生事情之後，痛定思痛大力推展，一段時日的太平歲月後逐漸放鬆，這時安全事件又悄悄來臨。

2.應該著眼於「對營運產生多大衝擊」：衡量萬一發生事情，是不是會丟掉客戶？萬一交易不成功，將損失多少營業額？

3.符合政府相關法規：無論是個人資料保護法、智慧財產權保護、電子簽章法、財政部「公開發行公司建立內部控制制度處理準則」等。企業如果希望長期經營，勢必得遵守相關法規，才能立於不敗之地。

安全是電子商務的基礎，唯有安全才能建立信任。也唯有把「人」放在核心位置，所規劃出來的安全機制，才能長治久安。