個資法實施之後,對許多業務營運上必須持有客戶個人資料的公司,造成很大的衝擊。雖法規當中明訂11款安全維護措施得有比例原則的彈性,可視公司規模大小權衡採取全部或部分措施,但也確立了只要握有一筆個資,即使是小公司仍必須有所作為,才能證明已善盡保管責任。
而以小規模公司居多的觀光旅遊業,可說是首當其衝,過去旅行社及旅館飯店仰賴紙本表格或傳真訂購單的交易模式,近年來則不僅設置網站,還陸續增添可線上下單的訂購機制,臺灣網路認證電話行銷處處長張憶潔觀察,許多業者並沒有配置專屬IT人力,普遍缺乏對資訊安全的概念,因此即使個資法實施已有半年多,仍舊不知該從何著手。
網路銷售過程中,利用網站來註冊、收集個人資料,或進行線上刷卡等活動,重要資料皆透過公眾網路進行傳輸,勢必需要有降低資料外洩風險的機制,張憶潔說,「SSL(Secure Socket Layer)加密正是市場中已證明有效,且最易於導入的資安技術,」早已經廣泛地應用於金融證券、製造業上下游廠商等網站。
|
▲臺灣網路認證電話行銷處處長張憶潔指出,其實要保護個資資料,並不只有內部資安控管要到位,前端網站傳輸同樣需具備安全性,內外兼備,才可降低資安風險。 |
其實資安意識較高的觀光旅遊業者,像是ezTravel易遊網、東南旅行社、香格里拉遠東國際大飯店及台北旅店集團等,都早已為網站導入了TWCA SSL憑證,並在網頁上貼有TWCA SSL動態認證標章,除了讓前來瀏覽的消費者可藉由TWCA SSL憑證來確信並非偽冒的釣魚網站,同時可藉由標準PKI技術進行資料傳輸加密。
張憶潔表示,例如金融業由於面臨許多法規遵循的壓力,SSL憑證幾乎是線上服務必備的基本安全機制。但旅遊業以往並未有強制規範,個資法上路後,業主雖然體認必須善盡保管個資的責任,但由於資安專業概念不足,而不知道可運用SSL。「其實SSL機制的建置非常容易,只要按照操作手冊逐步設定即可完成。若過程中遇到問題或需要技術支援,也可直接撥打免付費電話,由客服人員解說,或到府服務。相較於外商提供的憑證服務,在地化的臺灣網路認證機構,沒有文化隔閡問題,更能貼近觀光旅遊業主的需求。」
而臺灣網路認證公司提供憑證服務已超過10年,為國內最大之商業憑證機構(CA),亦為首家通過經濟部審核之合法憑證機構,同時身為國際組織CA/Browser Forum會員,持續與國際大廠一同為網路資訊安全與發展貢獻一份心力。
此外,張憶潔提醒,雖然SSL憑證可由代理商引進外商產品,但由於法規因素,萬一發生糾紛需追究法律責任時,用戶必須自行連繫SSL憑證原廠,且必須依該廠商所在國家的法規為準則,未必能符合台灣本身的電子簽章法規範,這方面也算是本土公司的先天優勢。