〝資訊對組織而言就是一種資產,和其它重要的營運資產一樣有價值,因此 需要持續給予妥善保護。資訊安全可保護資訊不受各種威脅,確保持續營運,
將營運損失降到最低,得到最豐厚的投資報酬率和商機。〞(BS 7799 標準定 義)。
電子商務的資訊安全議題一直是被熱烈討論的,尤其是數位化的時代偽冒或 竊取個人資料或交易資訊的速度及影響層面更深更遠,匿名的特性及數位資料
19
蒐證的困難,在在考驗我們到底是否準備好接受這雲端生活所帶來的是更加的
(Confidentiality)
指傳送的訊息只允許被授權 的發送端與接收端知道
資料加密與解密技術
認證性 (Authenticity)
確認訊息的來源正如同其所 宣稱的
數位憑證(Digital certificate) 完整性
(Integrity)
確認訊息沒有被更動過 訊息摘要的數位簽章技術
不可否認性 (Non-repudiation)
訊息發送端不能否認曾經送 出的訊息
數位簽章的技術與電子簽章 法的規範
可用性 (Availability)
讓資料隨時保持可用狀況 資料的備份與同步運行機制
存取權限控制 (Authority)
依照身份給予適當的權限 不論是作業流程規範或資料
可以維持資訊的安全性。
(Information Security Management System 簡稱 ISMS),ISMS 是一套有系統 又能有效控制之管理方法,一般的公司行號都可以根據此套管理模型所定義 (Detect)
當入侵發生時,能夠及時發現。
3.3.3. PCI/DSS
全性漏洞風險評級,包含使用 OCTAVE4、ISO 27005、NIST SP 800-30 等風險 評鑑方法,在應用系統方面則參考 OWASP Top 10、SANS CWE Top 25 以及 OWASP ASVS 來評鑑應用系統安全並且根據這個評級優先處理事情。
標記化(Tokenization)的安全技術將作為參考技術列示在 PCI 標準中。標記
2支付卡產業資料安全標準(PCI-DSS) https://www.pcisecuritystandards.org/security_standards/
3 PCI/DSS 3.0 檢核文件
https://www.pcisecuritystandards.org/security_standards/documents.php?agreements=pcidss&associati on=pcidss#leadgendiv
4 評估企業資訊安全流程
22
化是提取資料並且用隨機替換值隱藏資料真正含義的一種方法,此為縮減 PCI-DSS 安全稽核範圍的一個實務方法,利用代碼取代真正的持卡人資料,因此可 以把真正存放與處理持卡人資料的範圍縮小,當然實質風險也會隨之減少。
PCI/DSS 範圍尚未延伸到行動裝置,例如使用手機上面的 App Store 購買應 用系統,但是持卡記錄多半還是儲存於原始申請帳號的企業網站資料庫中或第 三方支付業者,所以,其範圍仍然還是以其網站及金流處理環境為主。不過,
仍有新的應用像是小型的讀卡裝置可以運用於 iPhone、iPad 或者 Android 手機 中,允許用戶進行信用卡支付,可見行動裝置支付金流仍是未來要解決的問 題。
PCI/DSS 採用更安全的加密、雜湊與金鑰管理方法,也提到硬體式加密模 組(HSM)的驗證,可以參考 NIST 與 FIPS 的相關要求規範,還要注意加密方式 與金鑰的替換與淘汰的作業要求。
PCI/DSS 的安全規範非常值得所有從事電子商務運作的使用者會平台商借 鏡,雖然是信用卡組織針對使用信用卡作為收款的特約商店及第三方支付使用 卡號的安全性規範,強烈建議所有電商業者不管是去申請取得認證,都應該依 照其自我檢核表好好檢視自己所處的網路資訊安全環境是否合於規範。
在我們享受網際網路所帶來的便利生活時,需知道當資訊安全不重視時,
辛苦耕耘的成果也可以毀於一旦。