2012年8月21日 星期二

會員制行業遵循個資法 使用者身份管控是重點

會員制行業遵循個資法 使用者身份管控是重點

新版個資法即將通過,企業內與個資處理或利用有關的資訊系統,都必須做好管控,確認每一個使用者的存取行為都是在權限範圍內,日前,由台北市電腦公會舉辦的企業資安高峰論壇,包括育冠企業(生活工廠)及旭海國際都分享利用PKI工商憑證管控個資系統的經驗。

企業內部資訊系統的使用,多半透過帳號密碼機制管控使用者身份,對於預算不多的企業而言,結合PKI工商/自然人憑證或許也是不錯的做法。育冠企業將PKI憑證登入機制與內部特定資訊系統整合,如:與供應商往來的B2B系統、進銷存整合系統、薪資管理作業系統、人事簽核系統等,不僅可以明確管控使用者身份與系統使用權限,也讓門市店長可以遠端處理行政作業。

育冠企業資訊部經理張誠祥表示,原本這些資訊系統都只透過帳號密碼機制做管控,但卻存在著以下問題,例如:供應商將密碼抄在白板上,方便員工作業;內部員工在使用系統時,將密碼自動記錄在電腦中;離職員工系統使用權限未即時收回…等,這種種狀況導致常有密碼外洩或濫用的情況發生,所以才決定導入PKI憑證。

至於旭海國際主要業務則是旅遊業線上訂房系統,在導入PKI憑證前面臨的問題有,飯店財務部門與行銷單位可以輕易查到旅客個資、新進員工任意複製或使用會員資料、管理者不知何時何人使用過相關個資、遇到爭議或過失無從查證。而在整合PKI憑證後,除了要求上述人員必須使用PKI才能查詢資料,同時保留系統使用者與使用時間的記錄,以便日後查證。

上述兩家業者導入PKI的時間皆在2008~2009年間,在2010年通過新版個資法後,又各自規劃不同機制加強個資管控。首先就育冠企業來看,張誠祥表示已將會員資料由門市集中到總公司,門市端改成client-server架構,亦即門市電腦與POS系統不留存任何會員資料,門市人員如有使用需求,只能透過VPN連線至總公司資料庫查詢資料,並請POS廠商協助刪除全台所有門市內POS系統的資料。

另外還收回會經手大量個資的委外業務,如:寄送行銷簡訊或EDM的作業,原本交由委外廠商處理,寄送對象則是全台230萬名會員,如今為降低個資外洩風險,將相關作業收回來自行處理,但會根據內容篩選適合的發送對象,兼顧人力與發送成本。

而旭海國際則規劃了5道機制,包括申請適法性驗證服務TSP、加強硬體防火牆措施、加強員工訓練及補強SOP流程、擴大PKI應用至管理內部個資的取用程序、採購個資保險,賴佳維指出,因應個資法的第一步,不應該急著申請相關標章,而是要檢查自身與法規間的差異,也就是做適法性檢測,並彌補之間的差異,這才是法規遵循的關鍵。

轉載自《資安人科技網》