觀點

享受金控品質的安全 富邦momo購安心

2010 / 04 / 29
吳依恂
享受金控品質的安全  富邦momo購安心

台灣大哥大是《資安人》舉辦的第一屆「資安貢獻獎」得主之一,富邦金控則是第二屆得主,富邦金控副總曾在受訪時向我們提到,當他們向對董事會提報資安計劃時,董事會非但不質疑,甚至還主動詢問是否要拿國際認證。同一集團的富邦媒體科技(以下簡稱momo),在提出這樣的計畫時,也獲得高層的大力支持。

 

大董蔡明忠(富邦金董事長)對此相當支持,他認為不要等事情發生,「我們富邦一向都有誠信做這個當然沒問題momo客戶越來越多了,做讓人家相信你們吧!」當時,蔡明忠已經有這樣的想法,而同一時間裡內部也剛好在提案、進行評估,兩者理念互相契合,便在經營會報裡有了這樣的裁決,富邦媒體科技董事長林福星總經理林啟峰等高層也都有相同理念並且全力支持

 

「用心做一次,以後好辦事」

富邦媒體科技資訊處副總經理丁銘傳提到,整個集團的文化是嚴謹的,有時候momo與集團內的其他公司合作時,雙方也都不願意談太多內部細節的問題。此外,他提到大董蔡明忠更是很早就開始提醒他們要注意資安問題,嚴謹程度更是比照銀行的標準看待。他常說「用心做一次,以後好辦事」

 

企業你我的一份子都知道,高層主管的支持與否是所有專案成敗的關鍵。丁銘傳提到,如果這次ISO 27001導入沒有主管的支持,顧問公司的協助以及公司同仁的配合,導入過程勢必會變得相當漫長。「因為大家可能會說我們很忙 IT幹嘛搞這個事?自己想太多喔!」他打趣說。所幸,富邦是一個嚴謹的企業,因此當他們提出這個計畫時,馬上就取得長官認同

 

林啟峰更曾在員工大會中表現出支持,宣告「接下來要做資安控管請大家配合可能會造成大家不方便但方便就等於不安全 」他相當了解若佈達不夠明確,各單位多少是會有反彈的。但透過總經理這樣的全力支援,即使有聲音也很快就過了。丁銘傳舉例,momo內部是禁止使用即時通訊軟體,但可能有員工剛好沒參加大會,還是寫了申請單說明是「業務溝通需求」,在資訊人員告知總經理於員工大會上的叮嚀之後,便也知難而退。momo做資安的決心可謂從上到下,貫徹始終。

 

原先便有掌握  ISO 27001導入不難

丁銘傳說,從購物台開台之初,基礎的資安架構上該有的防火牆等設備都,如果營運系統跟客戶相關的便會做權限控管資料切割等種種的預防,並不是單一個人可以看到大批客戶資料或完整資料。而前端接受客戶資料的Call Center,例如當時配合的客服中心-台灣客服註,後來併入富邦媒體科技),當時也已通過ISO 27001的驗證。而平時資訊單位同仁也會參加各類資安相關研討會,不僅能夠學習並且發現新的攻擊、防禦方法相關的資安相關設備也沒少過,不但參與吸取新知的研討會,更重視這件事情隨時掌握市場狀況隨之進步

 

開台之初,對於企業決策考量是站在公司經營管理、資訊安全的角度來做,儘管輔導公司也修改了一些規格把一些弱的地方補強,但輔導公司依然相當訝異momo在資安工作方面的準備已有相當的程度。丁銘傳說,在一般的想法裡總是會覺得資安是IT部門的事情但是透過第三方公正單位來協助,自然能獲得不少助力,他補充,但是可以在半年內通過驗證,絕對也不是一個單位就能完成,也要歸功於行政業務單位幫忙與配合,也因為平常就在做這些工作,習慣的養成,從作業流程作業規範,種種管理辦法通通寫得很清楚,所以儘管這次的ISO 27001導入範圍雖然大,但也很快在半年內便通過驗證。而通過資安管理驗證,恰好可以從第三方的角度來審視momo,林啟峰開玩笑的舉例說,「像我要是東西亂丟,沒有人敢講我,但是現在有個公正第三方就可以來指正我。」

 

內部管控  角色分權

丁銘傳說,momo設有資安小組,由每個部門派一至兩人參與,並舉辦定期會議,在ISO 27001導入之時,資安小組自然也肩負各單位導入代表的責任,此外,平日也會討論資安相關議題。此次的ISO 27001導入疇涵蓋所有與營運業務相關,從行政財會)、財務收單金流)、資訊流、供應鏈、客服中心等,只剩下如公關、稽核等少數未牽涉客戶資料的部門。但既然針對整個營運流程導入ISO 27001,對於即將要拓展的點,資訊系統的架構勢必也要遵循規則,明年在momo百貨正式營運之後,更是整個通路從訂單成立、線上刷卡作業、資訊管理以及物流配送都要以ISO 27001為標準規範林啟峰也舉例,目前被富邦集團收購的前環亞百貨是沒有資訊單位的,而一但momo百貨要架IT單位,就必須把這個既有的ISO 27001資安架構給帶進去,不僅是網路資訊架構,包括文件、SOP流程等,都要隨著店數的擴增而增加。

 

監控中心:

而資訊處更設有一個資訊監控中心,從網管的角度出發,針對資安狀況異常,記錄做蒐集管理分析,在彙整經驗之後,預計未來要做出更符合需求的資安監控中心。富邦媒體科技資訊處應用開發部部長林合壎表示,過去曾考慮要將資安監控中心委外,但考慮到這個產業的特性,網路架構複雜度非常高,資安需要考慮的不純粹只有網站,還包括了溝通Call Center的電話網絡,包括考量是否要鎖IP來傳輸等,更由於通路多、外點多,現在更又新增實體通路,他舉例,一般基礎的刷卡交易傳輸過程需要控管以外,實體店面人員難免會有上網需求,但平常作業又需要與公司內網相連,這種種的管理問題都是資安考驗,即使僅考量網路購物,也有網頁上呈現的促銷手法多、變化快,或是大量影像圖檔或是多媒體呈現的問題等等。

 

實體隔離:

momo內部,員工的上網行為更是經過過濾,內、外網是確實隔離的,若有連外網需求,則需到公共上網區,內網也僅能進入特定網站,如政府網站。目前業務單位的同仁每人各有兩台電腦,一個外網、一個內網,完全分開,而這已經是momo企業內部最自由的上網模式了。

 

權限控管:

此外,權限的控管也是一個資安重點,越高層的主管越容易成為犯罪集團的目標物,以一個外部人士來看,要取得一個集團高階主管的名單,比起某個資訊人員更來得容易,也因此在經過討論之後,發現高階主管其實並不需要過多的權限,只要按照工作項目、角色去分配權限,而不是按照職權高低,因此高階主管權限原則是夠用就好,反而沒有最大的權限。

 

而內部的資料交換機制,多是由資訊部門自行設計邏輯,而所有的行為也都會受到監控,IT人員負責將監控工具設定好之後就交給稽核來監看,但同時稽核也受到監督,環環相扣,互相制衡的權限控管。丁銘傳也舉例自己雖然掌管資訊部門卻沒有什麼權限,由此可看出momo對資安嚴謹的態度。

 

此外,權限的控管更有可能因為業務變動而出現變化,若未能與時俱進便失去意義,例如可能會遇到主管輪調或開展新的事業群,業務單位的工作可能會有所變動,因此每一季都會討論工作權限,有新進、離職或調職,人事單位也都填寫需求單告知,並且一但收到需求便會立即執行。「可能剛剛被資遣的人,一回到座位上,電腦已經無法登入了。」

 

資料加密:

而內部對於資料的控管也不輕忽,無論是內部員工或外部合作夥伴在存取、流通資料上,都會在端點部份進行加密程序,未來更打算慢慢逐漸向資料源頭進行控管,除了讓資料的進出獲得控管,更要能夠掌握更細部的流向。

 

強化外部合作夥伴

 momo首先思考,不將整筆資料給物流廠商,也不給電子檔,配送單由momo自己印製,再交由物流業者貼在箱子上送貨,避免大量資料的外洩。剛開始造成合作夥伴作業上的不方便,其實從那時候momo就已經開始要求各家物流業者這樣做而由於大部競爭對手所配合的物流廠商也有所重疊業界也開始進這法。

 

儘管如此,直到現在還是有很多物流業者可能出於成本、人力等考量,一直猶豫著要不要在資安投入成本,結果每次只要哪家購物平台一出事情,馬上物流業者就被點名,不僅沒有招架之力,更無法舉證個資不是從自己家裡洩漏出去的。丁銘傳問他們「對你們好的事情為什麼不做?」,他認為物流業者的資訊架構反倒不見得像購物平台的複雜,需要碰觸顧客機敏資料的也只有那麼一段,不見得會比較複雜。當然,有些合作夥伴會反應,「既然資料已經不給我們了,那為什麼還要做?」但是丁銘傳認為,並不是只momo會重視資安問題,資安已經是一個大環境的要求,而既然還要做其他客戶的生意,應該重視。在購物平台的強力要求下,如今,與momo合作的物流夥伴也已經表示,在2010起要陸續ISO 27001 不過物流業者IT人力參差不齊,有時候是相當為難,有些自認能力不足,但也有些自認為IT已經很強了,沒有問題幹嘛要做資安。丁銘傳說,正因為各有各的道理,所以更應該要有一個公正的第三方單位來驗證,透過國際標準來驗證是否資安真的已經足夠了。

 

但是,以一個顧客資料流來看包括供應商跟物流,在物流廠商資安意識也逐漸抬頭之後,下一步,momo想要強化供應商。開台至今就跟供應商們簽訂保密協定momo提供了相關的保密工具供應商便從善如流。在資料交換過程中,momo會提供帳號密碼和動態密碼鎖(OTP Token) 讓供應商可以入到momo系統進行資料交換,丁銘傳說,客戶資料流比較機敏的部份便在於供應商可能接觸的這個點,資料到了供應商家門口之後,就要靠供應商共同來保護資料了。

 

供應商的貨品不進momo物流倉,直接送給客戶,供應商就可能握有客戶資料,momo也警覺到這個問題,所以盡量降低此種配送方式的比例,早期尚不到10%。但近來由於網路業績的快速成長,比率也隨之升高了。為了降低這些不可預知的風險,目前momo指定推薦的物流公司配送,目標鎖定前百大供應商,一來可以提升一致的服務品質,二來可以避開供應商擁有個資的所需承擔的風險;若由momo進行配送,客戶資料便能由momo管理,集中列印再貼在商品外箱,避免個資大批外洩。

 

結論

現階段,除了導入ISO 27001並持續擴大影響至企業其他範疇以外,在取得認證後,資安小組也會跟稽核單位有些緊密的配合,資安驗證會成為內稽內控的一部分。再來就是內部控管,對於新進人員訓練不僅是只有行政、業務介紹,除了保密切結書的簽訂,momo也打算採用一些方式,例如宣導影片或是講師的口頭宣導,提供相關的詐騙話術訓練等。當然,針對客戶資料的保護, momo也會持續強化與外部夥伴的配合,尋找更佳的資安解決方案,杜絕客戶資料外流風險的可能性。

 

註:台灣大哥大與子公司台灣客服於2006年通過ISO 27001資安管理驗證。