網路購物資安問題屢見不鮮,第三方工具資料外洩、帳號被強制入侵、電腦資料遭竊取、系統被攻擊...都是常見的資安事件。盡可能的進行資安防護,提供顧客安全的購物環境,是經營電商的首要責任。現在就跟著我們一起來了解,使用 WACA 可以如何加強資安防護吧!
目錄
WACA 在系統資安上做了哪些事?
通過 ISO 27001 認證
ISO 27001 為國際認證、通用的資訊安全規範標準,通過認證的企業,已具備完整的資訊安全體系,會例行審視資訊安全性,並進行優化與改善。因此企業可以承受一定程度的資安事件,將傷害降到最低。包含缺一不可的 CIA 核心三要素:
- Confidentiality 機密性:適當保護資訊/資產,未經授權不可取得/瀏覽資訊。
- Integrity 完整性:維持資訊/資產內容的正確性與完整度,不可竄改/刪除。
- Availability 可用性:確保資訊/資產維持可工作狀態,不中斷/停止作業。
定期執行弱點掃描及滲透測試
弱點掃描是一種採自動化掃描的系統檢測法,主要專注檢測已知的漏洞;而滲透測試則是更深入、採自動化並結合手動做法,模擬真實攻擊情境,用來評估系統的整體安全性。通常會先執行弱點掃描後再進行更進一步的滲透測試,確保系統服務維持在最高安全性的保護中,提供商家與消費者安全的網路交易環境。
- 弱點掃描:系統的健康檢查,檢測可能的漏洞。
- 滲透測試:模擬攻擊者的行為,採真實的攻擊測試,驗證系統安全性。
全站安裝 SSL 加密憑證
WACA 全站不論是使用 WACA 提供的免費網址,或是使用獨立網址,都必須安裝 SSL 加密憑證,所以網址顯示會是「https://」。https:// 當中的「s」,就代表 SSL 加密憑證。
SSL 加密憑證主要用途在於,資料傳輸的過程中,資料會以亂碼、無法讀取的狀態進行加密傳輸。因此即使有有心人士,在資料傳輸過程中竊取資料,也無法讀取使用。
密碼強化機制
商店後台的登入密碼,設定時有一定的規則,增加密碼的複雜度,降低字串間的關聯性,可以強化密碼強度,降低密碼被突破、被入侵商店後台的可能性。
密碼設定規則如下:
- 密碼須設定 10~20 碼以內,且至少要有「兩個大寫英文」及「兩個數字」及「兩個特殊符號」。
- 未啟用 Google 兩步驟驗證的帳號,密碼每三個月須更改一次,如未更改密碼,將無法登入商店後台。
- 密碼到期前 5 天,WACA 會發送「提醒!定期重新設定WACA密碼」通知信,提醒商家更改密碼。
登入成功、失敗通知信
商店後台只要有執行登入後台的動作,不論登入成功或失敗,WACA 系統都會發送「登入成功通知信」或「登入失敗通知信」,讓商家可以準確掌握商店登入狀況。當偵測到異常登入的情形時,可以即時反應,避免個資外洩。
檔案匯出通知信
WACA 後台有多項檔案匯出的功能,包含會員匯出、訂單匯出、出貨單匯出...等等的功能,檔案匯出完成後,系統會發送「匯出通知信」給商家,讓商家可以即時留意。如果未執行匯出動作,卻收到匯出通知信時,就可以即時反應。與內部團隊確認操作狀況,或請 WACA 協助確認,降低異常匯出造成的風險。
定期執行訂單封存
對於網路商店來說,訂單是商店最重要的資產,也是資料竊取主要的目標。因此 WACA 每月一號會定期封存超過一年的訂單,商店後台只會保留一年內的訂單。以防商店不慎被入侵竊取資料時,可以把個資外洩的數量降到最低。
商家可以如何加強資安防護?
設定兩步驟驗證
商店後台即使有密碼保護,但如果密碼強度不足,仍有一定程度的風險。搭配使用 Google 兩步驟驗證,登入後台時除了商店帳號密碼,還要輸入一串隨機驗證碼,才能登入。增加登入後台的難度,讓帳號不易被突破。
詳細設定說明請參考 Google 兩步驟驗證
避免多人共用單一帳號,依照職務設定子帳號權限
有些商家只會有一個主帳號,讓內部夥伴共用。當多人共用一個帳號時,即時商店仍會發送登入通知,但由於無法確認是不是有其他夥伴在使用,所以容易降低異常登入的警覺性。此外,由於主帳號為商店的主要帳號,擁有商店的最高權限,可以使用所有功能,並隨時匯出各種檔案,因此存在著比較高的個資外洩風險。
建議商店可以幫員工個別設定子帳號,並針對不同職務必須使用的功能,開設使用權限,可以大大提升商店資料的安全性。
詳細設定說明請參考 後台多帳號管理
商店匯出檔案,確實加密管理
許多店家都有額外使用 ERP、CRM、電子發票...等外部系統,透過商店檔案匯出,再匯入外部系統使用。
而這些匯出的檔案,後續的管理十分重要。不論會員資料、訂單明細,檔案內都包含了大量的顧客個資,因此檔案匯出後,建議設定密碼加密,且密碼僅提供給少部分負責的夥伴,妥善保護顧客資料。
EXCEL 檔案加密方法:Microsoft Office Excel 檔案加密設定
發現登入或匯出異常通知,立即更換密碼
檔案匯出或登入後台時,WACA 都會發送通知信提醒店家,當有發現未執行檔案匯出、未登入 WACA 後台,卻收到通知信的狀況時,請立即在登入頁點選「忘記密碼」,變更後台登入密碼。
密碼更新後,正在使用此帳號的所有裝置,都會被強制登出,需重新以新密碼登入。
- 點選「忘記密碼」後,請在十分鐘內至信箱確認信件,並完成密碼重新設定。
- 如未收到重設密碼通知信,請聯繫 WACA 客服協助確認。
- 若重複點擊「忘記密碼」超過商店重設密碼次數限制,將無法使用忘記密碼功能,請聯繫 WACA 客服協助確認。
加強顧客防詐騙觀念
即使 WACA 在商店下單過程中已經放置了多個防詐騙提醒,但顧客有時對於提醒訊息的記憶不夠深刻,建議可以在商店首頁 Banner 或 自訂頁面放置防詐騙提醒,並不定期透過 Facebook、Line、EDM 發送防詐騙訊息給顧客,建立顧客的防詐騙意識,降低顧客受騙的機會。
建立並落實資安防護習慣
- 不使用公用網路登入商店後台,公用網路的安全性相對比較低,避免有心人士趁機入侵。
- 離開座位隨手登出商店後台,鎖定裝置螢幕,避免裝置或後台被任意操作。
- 不使用裝置或瀏覽器密碼自動儲存功能,避免裝置被入侵時,裝置內的所有帳戶都可以輕易被登入。
- 安裝可信任的防毒軟體,並定期執行系統掃毒。
- 只透過可信任的平台下載軟體,如 Google Play、Apple Store。
- 不點擊、不下載來路不明的連結及檔案,避免檔案內含病毒或不安全程式,造成裝置被入侵或資料被竊取。
- 確實更新裝置及軟體,與科技同步,提升安全性。
- 使用第三方工具時,確認軟體安全性後再使用。
總結
加強資安防護對於網路商店來說十分重要,但科技日新月異,有時候防不勝防,因次提高顧客防詐騙意識,也是提供顧客安全購物環境的必要工作。當不幸遇到詐騙事件,商店第一時間的危機處理和應對往往會影響顧客的信任感與安心感,如果平常就可以完整建立詐騙處理的因應方式與流程,遇到詐騙事件時,就可以更加妥善、沉穩的應對喔!
WACA 準備了防詐騙處理流程,提供給您參考【遇到詐騙、個資外洩該怎麼處理?】