Microsoft
活動+
 

零售商須擬定全面性策略以確保網路安全與避免資料外洩

零售商須擬定全面性策略以避免資料外洩,確保顧客個人資料的安全。Identity Automation

零售商收集大量顧客資料以強化顧客服務與競爭優勢,但資料外洩(data breach)風險代價極高為一大隱憂,須擬定涵蓋實施各部門員工訓練、指派內部網路安全(cybersecurity)代表、審查第三方夥伴、刪除不需要的消費者資料等的全面性策略,以確保資料安全。

根據CIO Dive報導,資料儲存的成本不斷下降,零售商持續累積來源廣泛包括顧客與第三方協力廠商的大量資料,經常無法確切知道究竟掌握到哪些個人資料、儲存位置、取得資料的地點與時間,龐大的資料量反而讓零售商難以分辨哪些資料應該捨棄,因此企業需規劃資料的儲存位置與保護方式,並訂定紀錄保存協定以利資料維護與刪除。

專家指出零售商與其製造商、供應商、顧問等第三方協力廠商都有潛在的網路安全風險,消費者資料外洩事件日益受公眾關注,不僅影響企業信譽、受到消費者責難,且所需強制遵循的相關法規也可能讓零售商面臨消費者的集體民事訴訟,或是美國聯邦貿易委員會(FTC)的強制執行,而若影響企業股價則還可能要應付股東代表訴訟。

歐盟嚴格的一般資料保護規定(General Data Protection Regulation;GDPR)已開始實施,而2018年通過的加州消費者隱私法案(California Consumer Privacy Act)也帶動許多州,開始推動保護消費者隱私的法案。因此未來零售商需要遵循全美各州的資料保護與隱私法規龐雜,有一派論者認為應擬定全美適用的聯邦隱私法,兼顧有效保護且避免企業負擔過重。

在監管機構訂定零售商收集資料的限制與須符合的資料保護標準前,將有賴於企業自主決定處理資料外洩相關問題的策略與措施。對企業來說圍繞網路安全漏洞發展通訊策略極具挑戰,僅是遵循與合於法規或倚賴專責的事件反應小組並不夠,畢竟威脅與風險持續變動且層出不窮不可能完全遏止,因此企業與第三方協力廠商都必須嚴陣以待。

零售商本身許多無法升級、易受攻擊的老舊系統,可能保存大量過時且不再需要的顧客資料,將成為駭客竊取資料時容易下手的目標,2019年5月日本Uniqlo據報遭駭客竊取逾46萬筆顧客的帳戶資料,這類事件有可能讓零售商付出數百萬美元的修正代價。此外員工也是潛在的資安威脅來源。

零售商的員工可能外洩或竊取機密資訊,包括因對電子郵件或行動App的網路安全設計缺乏了解而用於傳送或共享敏感資料,因此網路安全意識應融入企業的DNA,新進與在職員工都要加強網路安全訓練,對釣魚(phishing)電子郵件與惡意軟體等資料外洩主因提高警覺,並在發現可疑活動時即時、主動回報網路安全專責人員。

企業應限制員工存取顧客信用卡等敏感資料的權限,並禁止以電子郵件傳送財務資訊;內部使用的技術應有嚴格規範,防止因員工任意使用未經驗證的工具而導致資料外洩;各部門間應互相協調為資料外洩風險預做準備,並指定好各部門的主其事者;企業可與網路安全專家合作進行演習,主管應共同參與並討論如何度過模擬的網路安全危機。

零售商可根據內部資料的儲存位置與哪些第三方協力廠商可取得重要資料這兩個關鍵,找出最大風險所在並訂定優先處理順序,審查第三方協力廠商的相關資料、網路安全程序與策略,此外也可從是否設有資安長(CISO)、獲得國際標準化組織(ISO)的27001認證、遵循美國國家標準與科技研究院(NIST)提出的網路安全架構,來了解協力廠商重視資料保護的程度。

Facebook與Google等科技公司分享使用者個人資料的方式已讓消費者提高警覺,而零售商引進的新興技術如Amazon Echo也帶來新的隱私與安全顧慮,據報亞馬遜(Amazon)的員工會分析使用者與Amazon Echo的互動,以改善語音助理(voice assistant)對使用者詢問的回應,但許多人認為這類行為已屬侵犯隱私,廠商必須更謹慎拿捏分際。

  •     按讚加入DIGITIMES智慧應用粉絲團
更多關鍵字報導: 個資 智慧零售 個資安全