https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

東森得易購:通過資安雙認證 以嚴格標準為上下游廠商把關

2011 / 10 / 19
廖珮君
東森得易購:通過資安雙認證 以嚴格標準為上下游廠商把關

以電視購物起家的東森得易購,目前共有四大虛擬通路:電視購物、網路購物、型錄購物及行動購物,會員人數達600多萬,其資安改革源自於2007年資料外洩事件,對當時的營收及毛利都造成影響,痛定思痛後決心強化資安,以「東森嚴選」的企業精神落實保護客戶資料作業。

 

 

資安工作重點

 

從資安事件經驗中分析風險最高的問題,發現客戶的信用卡號、電話、姓名、地址及身份證字號是首要被保護的對象,因此透過調整流程與管理制度、引進不同資安解決方案,提升客戶資料安全防護等級。

 

 

管理制度

 

資安首重管理,東森除了取得PCI DSSISO 27001驗證,針對內部使用者(業務部及客服中心),及外部合作廠商分別制定相對應的管理政策。

 

業務部:建立資料庫存取比對基準,明確訂出業務員所使用的後台介面、介面上所揭露的資訊、及需要存取的資料類別,一旦業務員提出的資料撈單申請與基準不符,就會傳送到資安管理單位做進一步的討論。

 

客服中心:客服中心屬於資料存取的特殊單位,因應業務需求而得以接觸大量客戶資料,必須有更嚴格的限制與管理措施,除了記錄資料存取行為外,客服人員進入客服中心必須使用公司配發、經過編碼的紙筆,筆記本內頁也會逐頁編碼,下班後再繳回,由主管檢視編碼順序有無缺漏,以免客服人員將客戶資料抄寫在紙上撕下帶走。

 

供應商:前兩項談的是內部管理,但虛擬通路與上游廠商和下游物流業者皆有密切往來,在資安風險管理中也是重要的一環,除了給予教育訓練,使其明白東森的資安要求,亦主動要求物流業者導入ISMS,並與其簽約保留稽核的權利,請外部單位定期稽核。

 

 

資安工具、技術

 

虛擬通路的業務是透過IT系統串在一起,所有的作業流程其實就是IT流程,因此,東森針對資料本身及應用程式進行安全強化工作。

 

資料存取控制:除了進行資料庫存取操作監控,所有的資料存取作業,皆需透過資料撈單申請並取得核可後才能進行,作業模式為不經手第三方、直接將資料以具有強度的加密方式交到使用端,並針對每位擁有電腦存取權使用者分配唯一ID,嚴格記錄監控存取行為,同時還限制對客戶資料的實體存取。

 

資料安全:客戶信用卡與電話號碼加密、供應商系統傳輸通道加密。

 

系統環境與程式安全:定期進行內外部滲透測試及弱點掃描、選用OWASP程式檢核範圍來完成系統安全和應用程式安全。

 

帳號權限管理:定期清查資料庫帳號權限\帳號分割;建立帳號開放之IP列表、限制存取資料庫來源;高權限帳號導入雙因素認證機制(OTP…)

 

 

走過資料外洩風波,東森從經驗中記取教訓,更確立了資安工作的目標,就是在風險管理與業務流程間取得平衡,讓公司在最低風險下,還能持續推升虛擬通路的業績。

 

 

東森得易購資訊部總監丁平碩,資安就是要在風險管理與業務流程間取得平衡,讓公司在最低風險下,還能持續推升虛擬通路的業績。

 

 

1.資安團隊:2名專職人員

2.服務範圍:約977位使用者、125台伺服器主機、800台電腦

3.資安驗證:2009年取得PCI DSS驗證,2010年取得ISO 27001驗證,驗證範圍:資訊部及會員營運部等與客戶資料相關部門。

4.主要特色:

(1)  PCI DSS要求為基礎的資料安全管理制度及資料保護技術

(2)  嚴格要求合作供應商並執行資安稽核權,間接促使物流業者投入ISO 27001驗證。

(3)  積極出席各項資訊安全推廣座談會,分享各項資訊安全領域之實務經驗。