加強資安防護,提供顧客安心的購物環境
最後更新 2023-12-20

 

網路購物資安問題屢見不鮮,第三方工具資料外洩、帳號被強制入侵、電腦資料遭竊取、系統被攻擊...都是常見的資安事件。盡可能的進行資安防護,提供顧客安全的購物環境,是經營電商的首要責任。現在就跟著我們一起來了解,使用 WACA 可以如何加強資安防護吧! 

 

目錄

 

 

WACA 在系統資安上做了哪些事?

通過 ISO 27001 認證

ISO 27001 為國際認證、通用的資訊安全規範標準,通過認證的企業,已具備完整的資訊安全體系,會例行審視資訊安全性,並進行優化與改善。因此企業可以承受一定程度的資安事件,將傷害降到最低。包含缺一不可的 CIA 核心三要素: 

  • Confidentiality 機密性:適當保護資訊/資產,未經授權不可取得/瀏覽資訊。 
  • Integrity 完整性:維持資訊/資產內容的正確性與完整度,不可竄改/刪除。
  • Availability 可用性:確保資訊/資產維持可工作狀態,不中斷/停止作業。

 

定期執行弱點掃描及滲透測試

弱點掃描是一種採自動化掃描的系統檢測法,主要專注檢測已知的漏洞;而滲透測試則是更深入、採自動化並結合手動做法,模擬真實攻擊情境,用來評估系統的整體安全性。通常會先執行弱點掃描後再進行更進一步的滲透測試,確保系統服務維持在最高安全性的保護中,提供商家與消費者安全的網路交易環境。

  • 弱點掃描:系統的健康檢查,檢測可能的漏洞。
  • 滲透測試:模擬攻擊者的行為,採真實的攻擊測試,驗證系統安全性。

 

全站安裝 SSL 加密憑證

WACA 全站不論是使用 WACA 提供的免費網址,或是使用獨立網址,都必須安裝 SSL 加密憑證,所以網址顯示會是「https://」。https:// 當中的「s」,就代表 SSL 加密憑證。

SSL 加密憑證主要用途在於,資料傳輸的過程中,資料會以亂碼、無法讀取的狀態進行加密傳輸。因此即使有有心人士,在資料傳輸過程中竊取資料,也無法讀取使用。

SSL 加密憑證網址顯示

 

密碼強化機制

商店後台的登入密碼,設定時有一定的規則,增加密碼的複雜度,降低字串間的關聯性,可以強化密碼強度,降低密碼被突破、被入侵商店後台的可能性。

密碼設定規則如下:

  • 密碼須設定 10~20 碼以內,且至少要有「兩個大寫英文」及「兩個數字」及「兩個特殊符號」。
  • 未啟用 Google 兩步驟驗證的帳號,密碼每三個月須更改一次,如未更改密碼,將無法登入商店後台。
  • 密碼到期前 5 天,WACA 會發送「提醒!定期重新設定WACA密碼」通知信,提醒商家更改密碼。

 

登入成功、失敗通知信

商店後台只要有執行登入後台的動作,不論登入成功或失敗,WACA 系統都會發送「登入成功通知信」或「登入失敗通知信」,讓商家可以準確掌握商店登入狀況。當偵測到異常登入的情形時,可以即時反應,避免個資外洩。

 

檔案匯出通知信

WACA 後台有多項檔案匯出的功能,包含會員匯出、訂單匯出、出貨單匯出...等等的功能,檔案匯出完成後,系統會發送「匯出通知信」給商家,讓商家可以即時留意。如果未執行匯出動作,卻收到匯出通知信時,就可以即時反應。與內部團隊確認操作狀況,或請  WACA 協助確認,降低異常匯出造成的風險。

 

定期執行訂單封存

對於網路商店來說,訂單是商店最重要的資產,也是資料竊取主要的目標。因此 WACA 每月一號會定期封存超過一年的訂單,商店後台只會保留一年內的訂單。以防商店不慎被入侵竊取資料時,可以把個資外洩的數量降到最低。

 

 

商家可以如何加強資安防護?

設定兩步驟驗證

商店後台即使有密碼保護,但如果密碼強度不足,仍有一定程度的風險。搭配使用 Google 兩步驟驗證,登入後台時除了商店帳號密碼,還要輸入一串隨機驗證碼,才能登入。增加登入後台的難度,讓帳號不易被突破。

詳細設定說明請參考 Google 兩步驟驗證

 

避免多人共用單一帳號,依照職務設定子帳號權限

有些商家只會有一個主帳號,讓內部夥伴共用。當多人共用一個帳號時,即時商店仍會發送登入通知,但由於無法確認是不是有其他夥伴在使用,所以容易降低異常登入的警覺性。此外,由於主帳號為商店的主要帳號,擁有商店的最高權限,可以使用所有功能,並隨時匯出各種檔案,因此存在著比較高的個資外洩風險。

建議商店可以幫員工個別設定子帳號,並針對不同職務必須使用的功能,開設使用權限,可以大大提升商店資料的安全性。

詳細設定說明請參考 後台多帳號管理

 

商店匯出檔案,確實加密管理

許多店家都有額外使用 ERP、CRM、電子發票...等外部系統,透過商店檔案匯出,再匯入外部系統使用。

而這些匯出的檔案,後續的管理十分重要。不論會員資料、訂單明細,檔案內都包含了大量的顧客個資,因此檔案匯出後,建議設定密碼加密,且密碼僅提供給少部分負責的夥伴,妥善保護顧客資料。

EXCEL 檔案加密方法:Microsoft Office Excel 檔案加密設定

 

發現登入或匯出異常通知,立即更換密碼

檔案匯出或登入後台時,WACA 都會發送通知信提醒店家,當有發現未執行檔案匯出、未登入 WACA 後台,卻收到通知信的狀況時,請立即在登入頁點選「忘記密碼」,變更後台登入密碼。

密碼更新後,正在使用此帳號的所有裝置,都會被強制登出,需重新以新密碼登入。

  • 點選「忘記密碼」後,請在十分鐘內至信箱確認信件,並完成密碼重新設定。
  • 如未收到重設密碼通知信,請聯繫 WACA 客服協助確認。
  • 若重複點擊「忘記密碼」超過商店重設密碼次數限制,將無法使用忘記密碼功能,請聯繫 WACA 客服協助確認。

 

加強顧客防詐騙觀念

即使 WACA 在商店下單過程中已經放置了多個防詐騙提醒,但顧客有時對於提醒訊息的記憶不夠深刻,建議可以在商店首頁 Banner 或 自訂頁面放置防詐騙提醒,並不定期透過 Facebook、Line、EDM 發送防詐騙訊息給顧客,建立顧客的防詐騙意識,降低顧客受騙的機會。

 

 

建立並落實資安防護習慣

  • 不使用公用網路登入商店後台,公用網路的安全性相對比較低,避免有心人士趁機入侵。
  • 離開座位隨手登出商店後台,鎖定裝置螢幕,避免裝置或後台被任意操作。
  • 不使用裝置或瀏覽器密碼自動儲存功能,避免裝置被入侵時,裝置內的所有帳戶都可以輕易被登入。
  • 安裝可信任的防毒軟體,並定期執行系統掃毒。
  • 只透過可信任的平台下載軟體,如 Google Play、Apple Store。
  • 不點擊、不下載來路不明的連結及檔案,避免檔案內含病毒或不安全程式,造成裝置被入侵或資料被竊取。
  • 確實更新裝置及軟體,與科技同步,提升安全性。
  • 使用第三方工具時,確認軟體安全性後再使用。

 

 

總結

加強資安防護對於網路商店來說十分重要,但科技日新月異,有時候防不勝防,因次提高顧客防詐騙意識,也是提供顧客安全購物環境的必要工作。當不幸遇到詐騙事件,商店第一時間的危機處理和應對往往會影響顧客的信任感與安心感,如果平常就可以完整建立詐騙處理的因應方式與流程,遇到詐騙事件時,就可以更加妥善、沉穩的應對喔!

WACA 準備了防詐騙處理流程,提供給您參考【遇到詐騙、個資外洩該怎麼處理?