考量資訊安全 電子商務流程需重整
從2014年9月底行政院加速通過「電子支付機構管理條例」的制定,立法院也於今年1月三讀通過完成立法後,電子支付勢必會對電子商務的發展構成一定程度的影響,而利用科技串聯線下、線上活動與實體虛擬環境的商業模式,也將持續於網路金融、智慧城市、物聯網應用等不同領域,也讓商業活動的整合性更加複雜,跨界與跨業的發展更多元,資訊安全的挑戰也因此變得更加複雜。 即使是非金融領域的業者,也離不開資訊安全的挑戰,尤其是電子商務的交易過程中,涉及太多的個人資料隱私,如目前已經成為娛樂產業重要收入來源的網路購票,對於資訊安全的重視與否,往往會影響許多商務模式的發展。 由多位駭客組成曾拿下台灣兩大資訊安全競賽(資安技能金盾獎、台灣駭客年會)冠軍的戴夫寇爾(DEVCORE)指出,引發一票難求風潮的江蕙引退演唱會的購票頁面,其實存在著許多資安問題,而且類似的狀況其實常發生在電子商務與第三方支付服務的串接上。
大多數的電子商務網站,專注於物流及資訊流的商務運作,金流部分多半是委託電子商務平台服務業者或是第三方金流服務來處理。換句話說,當消費者向電子商務下訂單並付款時,網站必須先將訂單交給第三方金流服務網站,金流服務網站再根據單據向消費者收款,並告知電子商務網站消費者繳款成功,然後再由電子商務網站告知消費者購買成功。 戴夫寇爾指出,這種根據使用者傳來單據的收費方式,導致單據有可能被竄改並造成企業損失。因此較為恰當的做法,應該是在單據上加入防偽標記,讓惡意使用者無法輕易竄改單據,或是由電子商務直接傳單給金流服務網站,並請使用者直接去專屬的金流商窗口繳費即可,以有效防止惡意使用者修改訂單金額。 戴夫寇爾建議電子商務網站在收到金流回傳的付款資訊後,能夠比對收取款項與訂單款項是否相符,如此雙重檢查,能大大避免惡意行為,減少企業處理惡意金流問題的成本。