以電視購物起家的東森得易購,目前共有四大虛擬通路:電視購物、網路購物、型錄購物及行動購物,會員人數達600多萬,其資安改革源自於2007年資料外洩事件,對當時的營收及毛利都造成影響,痛定思痛後決心強化資安,以「東森嚴選」的企業精神落實保護客戶資料作業。
資安工作重點
從資安事件經驗中分析風險最高的問題,發現客戶的信用卡號、電話、姓名、地址及身份證字號是首要被保護的對象,因此透過調整流程與管理制度、引進不同資安解決方案,提升客戶資料安全防護等級。
管理制度
資安首重管理,東森除了取得PCI DSS及ISO 27001驗證,針對內部使用者(業務部及客服中心),及外部合作廠商分別制定相對應的管理政策。
業務部:建立資料庫存取比對基準,明確訂出業務員所使用的後台介面、介面上所揭露的資訊、及需要存取的資料類別,一旦業務員提出的資料撈單申請與基準不符,就會傳送到資安管理單位做進一步的討論。
客服中心:客服中心屬於資料存取的特殊單位,因應業務需求而得以接觸大量客戶資料,必須有更嚴格的限制與管理措施,除了記錄資料存取行為外,客服人員進入客服中心必須使用公司配發、經過編碼的紙筆,筆記本內頁也會逐頁編碼,下班後再繳回,由主管檢視編碼順序有無缺漏,以免客服人員將客戶資料抄寫在紙上撕下帶走。
供應商:前兩項談的是內部管理,但虛擬通路與上游廠商和下游物流業者皆有密切往來,在資安風險管理中也是重要的一環,除了給予教育訓練,使其明白東森的資安要求,亦主動要求物流業者導入ISMS,並與其簽約保留稽核的權利,請外部單位定期稽核。
資安工具、技術
虛擬通路的業務是透過IT系統串在一起,所有的作業流程其實就是IT流程,因此,東森針對資料本身及應用程式進行安全強化工作。
資料存取控制:除了進行資料庫存取操作監控,所有的資料存取作業,皆需透過資料撈單申請並取得核可後才能進行,作業模式為不經手第三方、直接將資料以具有強度的加密方式交到使用端,並針對每位擁有電腦存取權使用者分配唯一ID,嚴格記錄監控存取行為,同時還限制對客戶資料的實體存取。
資料安全:客戶信用卡與電話號碼加密、供應商系統傳輸通道加密。
系統環境與程式安全:定期進行內外部滲透測試及弱點掃描、選用OWASP程式檢核範圍來完成系統安全和應用程式安全。
帳號權限管理:定期清查資料庫帳號權限\帳號分割;建立帳號開放之IP列表、限制存取資料庫來源;高權限帳號導入雙因素認證機制(OTP…)。
走過資料外洩風波,東森從經驗中記取教訓,更確立了資安工作的目標,就是在風險管理與業務流程間取得平衡,讓公司在最低風險下,還能持續推升虛擬通路的業績。
東森得易購資訊部總監丁平碩,資安就是要在風險管理與業務流程間取得平衡,讓公司在最低風險下,還能持續推升虛擬通路的業績。
|
1.資安團隊:2名專職人員
|
|
2.服務範圍:約977位使用者、125台伺服器主機、800台電腦
|
|
3.資安驗證:2009年取得PCI DSS驗證,2010年取得ISO 27001驗證,驗證範圍:資訊部及會員營運部等與客戶資料相關部門。
|
|
4.主要特色:
(1) 以PCI DSS要求為基礎的資料安全管理制度及資料保護技術
(2) 嚴格要求合作供應商並執行資安稽核權,間接促使物流業者投入ISO 27001驗證。
(3) 積極出席各項資訊安全推廣座談會,分享各項資訊安全領域之實務經驗。
|