智能应用 影音
泓格科技
TXOne

零售商须拟定全面性策略以确保网络安全与避免数据外泄

零售商须拟定全面性策略以确保网络安全与避免数据外泄

零售商收集大量顾客数据以强化顾客服务与竞争优势,但数据外泄(data breach)风险代价极高为一大隐忧,须拟定涵盖实施各部门员工训练、指派内部网络安全(cybersecurity)代表、审查第三方夥伴、删除不需要的消费者数据等的全面性策略,以确保数据安全。

根据CIO Dive报导,数据储存的成本不断下降,零售商持续累积来源广泛包括顾客与第三方协力厂商的大量数据,经常无法确切知道究竟掌握到哪些个人数据、储存位置、取得数据的地点与时间,庞大的数据量反而让零售商难以分辨哪些数据应该舍弃,因此企业需规划数据的储存位置与保护方式,并订定纪录保存协定以利数据维护与删除。

专家指出零售商与其制造商、供应商、顾问等第三方协力厂商都有潜在的网络安全风险,消费者数据外泄事件日益受公众关注,不仅影响企业信誉、受到消费者责难,且所需强制遵循的相关法规也可能让零售商面临消费者的集体民事诉讼,或是美国联邦贸易委员会(FTC)的强制执行,而若影响企业股价则还可能要应付股东代表诉讼。

欧盟严格的一般数据保护规定(General Data Protection Regulation;GDPR)已开始实施,而2018年通过的加州消费者隐私法案(California Consumer Privacy Act)也带动许多州,开始推动保护消费者隐私的法案。因此未来零售商需要遵循全美各州的数据保护与隐私法规庞杂,有一派论者认为应拟定全美适用的联邦隐私法,兼顾有效保护且避免企业负担过重。

在监管机构订定零售商收集数据的限制与须符合的数据保护标准前,将有赖于企业自主决定处理数据外泄相关问题的策略与措施。对企业来说围绕网络安全漏洞发展通讯策略极具挑战,仅是遵循与合于法规或倚赖专责的事件反应小组并不够,毕竟威胁与风险持续变动且层出不穷不可能完全遏止,因此企业与第三方协力厂商都必须严阵以待。

零售商本身许多无法升级、易受攻击的老旧系统,可能保存大量过时且不再需要的顾客数据,将成为黑客窃取数据时容易下手的目标,2019年5月日本Uniqlo据报遭黑客窃取逾46万笔顾客的帐户数据,这类事件有可能让零售商付出数百万美元的修正代价。此外员工也是潜在的网安威胁来源。

零售商的员工可能外泄或窃取机密信息,包括因对电子邮件或移动App的网络安全设计缺乏了解而用于传送或共享敏感数据,因此网络安全意识应融入企业的DNA,新进与在职员工都要加强网络安全训练,对钓鱼(phishing)电子邮件与恶意软件等数据外泄主因提高警觉,并在发现可疑活动时实时、主动回报网络安全专责人员。

企业应限制员工存取顾客信用卡等敏感数据的权限,并禁止以电子邮件传送财务信息;内部使用的技术应有严格规范,防止因员工任意使用未经验证的工具而导致数据外泄;各部门间应互相协调为数据外泄风险预做准备,并指定好各部门的主其事者;企业可与网络安全专家合作进行演习,主管应共同参与并讨论如何度过模拟的网络安全危机。

零售商可根据内部数据的储存位置与哪些第三方协力厂商可取得重要数据这两个关键,找出最大风险所在并订定优先处理顺序,审查第三方协力厂商的相关数据、网络安全程序与策略,此外也可从是否设有网安长(CISO)、获得国际标准化组织(ISO)的27001认证、遵循美国国家标准与科技研究院(NIST)提出的网络安全架构,来了解协力厂商重视数据保护的程度。

Facebook与Google等科技公司分享使用者个人数据的方式已让消费者提高警觉,而零售商引进的新兴技术如Amazon Echo也带来新的隐私与安全顾虑,据报亚马逊(Amazon)的员工会分析使用者与Amazon Echo的互动,以改善语音助理(voice assistant)对使用者询问的回应,但许多人认为这类行为已属侵犯隐私,厂商必须更谨慎拿捏分际。

  •     按赞加入DIGITIMES智能应用粉丝团
更多关键字报导: 个资 个网安全 智能零售