雙十一網上購物季節快到！零售商應如何妥善保護數據？

一年一度的雙十一網上購物季節又到了！去年，雙十一節錄得達至 178 億美元的總銷量，創下紀錄。距離這個全球最大的網上購物瘋潮還有數天，不少大中華地區的零售商都對這個日子寄望甚高，期待 2017 年會是另一個豐收年。

不論今年的銷量如何，網上購物的趨勢必然會繼續上升。網上購物在香港的滲透率十分高，根據 Nielsen 的調查顯示，每 10 位消費者當中，便有 8 位曾在 12 個月內進行網上消費。另外，在流動裝置上購物亦越趨普及，很多時候消費者更會使用多於一個裝置；例如一位消費者可能在筆記型電腦上做資料搜尋，再於智能手機上檢查存貨量，最後再以智能手錶付款。

隨著全渠道（Omnichannel）的零售體驗越趨普及，Verizon 亞太區網絡安全總監黃財明提醒一眾零售商保護顧客的數據的重要性，當中包括付款卡資料，並要確保各裝置和各渠道的安全性。他指：「過去十數年間，信用卡和提款卡已增設一些更精密的保安系統如雙重認證，但這只是答案的其中一部分。零售商必需確保他們在適當的地方有穩妥的保安措施，否則顧客的數據便會變得岌岌可危。而若果數據外洩的情況發生，這更會破壞顧客的消費慾。」

無論是在交易期間或交易之後，保護數據都是極為重要。以下是一些給予零售商的重要建議：

－注意裝置的數據有否被篡改。零售商應為所有涉及付款數據的裝置進行定期檢查，並培訓員工辨認數據篡改跡象的能力。當然，零售商亦要確保裝置在閒置時仍被放置在安全的地方。
－利用最新和保安性更強的方法去加密數據。在建立網站和應用程式方面，應使用保安碼和最新版本的傳輸層安全協議（TLS）；而在親身付款方面，點對點加密（P2PE）能為數據由銷售點終端（POS）輸送至一個安全的解密環境之過程提供保護。
－確保每個員工以至第三方在處理顧客的付款卡時，均有緊守鑑定和存取資料的相關守則。這包括轉換所有預設的密碼、使用牢固的認證，以及確保用戶不會共用帳戶。
－投資在你的員工身上，因為他們既可以是你最大的資產，或是最大的弱點。企業應為員工進行培訓，讓他們能識辨任何危機並作出通報，以及監控和計算保安控制的成效。這對建立一個可持續性的控制系統而言是十分重要，因為當公司或面對的危機有所改變時，這個系統仍必須具其效用。

另外，根據 Verizon 的研究發現，不論規模大小、所有企業都可以是網絡攻擊的目標，而一次數據外洩足以長遠影響一間公司的聲譽。企業應遵從支付卡行業數據安全標準（PCI DSS），以減低數據外洩的機會。很多上述的方法，PCI DSS亦有涵蓋。

不過，僅是遵從支付卡行業數據安全標準，也不能完全保證可作出全面的防護，當中還有很多東西需要顧及。自 2010 年起，VTRAC 團隊探究了所有付款卡數據外洩個案，發現沒有任何一個機構在外洩發生時，是完完全全遵守這安全標準。

其實保護顧客的數據安全，並非只關乎通過一次測試；安全控制每天也在接受考驗，因此必需要是既穩委又具回復力。而且，顧客每次的光顧就代表著他們對你的服務投放了信任，所以千萬不要令他們失望。