亞利安科技探討資安技術及個資合規,強調數位主權與多層次防護策略應對全球數據保護挑戰。
數發部所公布的「數位經濟相關產業個人資料檔案安全維護管理辦法」已於 2023 年 10 月正式上路,包括綜合性電商、軟體出版業、其他資訊服務業與第三方支付服務業等產業都在規範範圍內。若業者違反自身所制定的安全維護計畫,將依個資法規定,面臨最高 1500 萬元的罰緩,不可不慎!
專精於資安解決方案的代理商-亞利安科技,偕同支付服務產業的安全顧問專家-安律國際,以及 Imperva、Thales 等資安領導品牌,與網路資訊雜誌合作共同舉辦《2024 亞利安科技 Solution Day》,探討相關法規與實務應用。
開場致詞-亞利安科技總經理范梓芳
亞利安科技總經理 范梓芳
亞利安科技總經理范梓芳在開幕致詞中表示,「這次活動能有這麼多與會嘉賓,不單是我們的努力,還有安律國際和 Imperva、Thales 等諸多原廠的支持。而 Imperva 與 Thales 近期的合併也驗證我們在資料保護推廣策略的方向正確,並能在未來提供更全面的安全解決方案。」他強調,合作伙伴的技術支持和產品線完善,對提升企業資安具有事半功倍的作用。
除此之外,范總經理也提到 TOPPAN IDGATE 獨特的產品特性,可進一步加強加強了身分認證和生物辨識系統的安全性。「這些技術的結合,實現了多因子認證,強化客戶對資料保護。」
最後,范總經理表示在當前法規快速變化的背景下,企業需要迅速調整策略以滿足合規要求。「我們需要的不僅是技術,還有韌性,面對威脅時,才能保持堅韌不拔。」
換言之,資安不僅是技術問題,更是一種必須持續維護和強化的文化和實踐。
專題演講-從資訊安全保護到個資法律合規的實作與解析
安律國際資深顧問 黃廷弘
安律國際資深顧問黃廷弘在專題演講中,深入探討了企業如何應對日益嚴峻的資料安全挑戰,特別是在跨國資料傳輸與雲端服務方面。
隨著企業數據量的增加和技術的發展,組織面對的安全威脅也在不斷變化。「我們見證了企業從簡單的數據保護措施,進化到需要複雜的合規性解決方案,以應對全球不斷變化的法律與規範。」
《個人資料保護法》、《施行細則》及《個人資料檔案安全維護管理辦法》的主管機關各自不同,此為法務部和數位發展部在
不同階段的角色,特別提到數位產業署對網路連線遊戲事業的指引,強調落實個人資料檔案安全維護管理辦法的重要性。
他進一步解釋,實現合規並保護企業免受資料外洩的威脅,需要一個全面的策略,包括技術、政策和人員培訓三個方面。「合規性不僅是技術問題,它是企業戰略的一部分。企業需要建立起一套包含技術和管理措施的綜合體系,來確保企業資料在全球各地的安全和合法使用。」
對於如何具體實施這一策略,黃廷弘分享了他的一些觀點。「首先,必須進行風險評估,確定數據的敏感程度和外洩的潛在影響。接著,確定合適的保護措施,可能包括加密、訪問控制和持續的安全監控。最後,對員工進行定期的安全培訓和意識提升,確保他們理解合規的重要性並能夠在日常工作中實施相應的措施。」
黃廷弘強調,「個資法與目的事業主管機關個人資料檔案安全維護管理辦法 (簡稱安維法),規定了企業該有的安全維護合法合規要求。資安保護是合規的基礎及必要條件,更是一個持續的過程,需要企業不斷地評估和調整其安全策略,以應對新的威脅和挑戰。」他的見解提醒了所有企業管理人員,面對全球化的商業環境,積極應對數據保護法規將是保護企業長遠利益的關鍵。
《數位經濟相關產業個人資料檔案安全維護管理辦法》中各條款的執行頻率,針對不同規模的業者(小型及大型)
需遵守的義務進行比較。
議程一:如何應對個資保護合規要求?
亞利安科技資安技術支援部協理 王添龍
亞利安科技資安技術支援部協理王添龍,在此場議程中介紹 Thales 的資料安全技術與身分認證管理工具。
首先登場的是 Thales CipherTrust Data Security Platform,這是一個整合了資料加密、金鑰管理、資料遮罩等功能的全方位資料保護平台,適用於各種儲存環境,無論是本地還是雲端。他強調,此平台可依據企業的具體需求客製化,有效應對日益複雜的網路安全威脅及嚴苛的法規要求。
業者應採取的個資安全管理措施。
隨著數位化步伐加快,確保使用者身份的真實性及安全性愈發重要,王添龍談到身份認證管理領域的解決方案,TOPPAN IDGATE 的身份認證管理工具不僅支持多因素認證,還引入了生物辨識技術,如指紋和臉部識別,以提升安全層級。
「面對個資保護,企業應掌握以下六個面向,」王添龍表示:「使用者身份確認、個資的加密儲存、資料傳輸安全、存取控制、防止外部網路入侵,以及異常使用行為的監控和反應機制。」
從雲端、網路到應用程式及資料的完整安全防護架構,包括 Thales 的通用型 HSM、集中管理系統和資料代碼化技術。
該解決方案涵蓋多層次安全措施,提供全面的數據保護。
議程二:從威脅來反思應用程式該如何強化安全?
亞利安科技技術暨雲端事業部經理 郭仕杰
亞利安科技技術暨雲端事業部經理郭仕杰在此場議程中談到疫情加速數位轉型,也帶來對資訊安全的挑戰,強調隨著網路攻擊面的持續演變,企業需要不斷更新其安全策略來應對新的威脅。舉例來說,在疫情期間,如何面對客戶流量的激增和相關的安全風險,特別是在大規模搶購口罩期間,即便是大型電商平台也難以承受突如其來的高流量。
郭仕杰強調爬蟲技術的危害與趨勢,指出機器人流量自 2013 年以來顯著增加,特別是惡意爬蟲的使用在不斷上升。郭仕杰解釋道,隨著企業和攻擊者都在尋求效率,高級的爬蟲技術已經發展到可以模仿正常使用者行為,讓它們更難被偵測和阻止。
不同行業面臨的爬蟲威脅,包括遊戲、電信、公益、旅遊、電商、醫療、金融和票務,具體問題如
遊戲外掛、捐贈頁面測試信用卡、搶購優惠碼等。
此外,資料外洩的風險也是會議討論的重點之一。透過分享實際案例,郭經理說明了即使是準備充分的電商平台也可能因為突發的大流量事件而崩潰,進而導致資料外洩。
因此,郭仕杰介紹兩個主要的資安工具:Imperva Application Security 和 Orca Security,強調隨著攻擊手法的進步,特別是 API 攻擊和自動化攻擊的增多,傳統的安全防護措施如 WAF 已不能完全滿足保護需求。他提到安全不再僅是安裝一套工具那麼簡單,而是需要一個綜合性的策略和多層次的防護措施。
從雲端、網路到應用程式及資料的完整安全防護架構,包含 Orca 的雲端安全平台。
議程三:混合雲和多雲就在這裡,您的資料會失控嗎?
Thales 資安顧問 沈宗享
在這場議程中,Thales 資安顧問沈宗享詳細介紹了針對混合雲和多雲環境下的資料安全解決方案,講解了數位主權的重要性及其對保護企業雲端數據的影響,並指出在今天的多雲和混合雲配置中,保持資料控制權的重要性。
沈宗享強調,「數位主權不僅是保護資料的一種方式,更是確保企業能在全球化的雲環境中自主管理和控制自己資料的基石。」他解釋說,隨著企業越來越依賴雲端服務,如 AWS、Google Cloud Platform (GCP) 和 Microsoft Azure,數位主權-即企業對其資料的完全控制權—變得日益重要。他指出,雖然雲端平台提供了便利和可擴展性,但同時也引出了一個問題:當企業將資料上傳至雲端,甚至是將資料從一個雲平台轉移到另一個雲平台時,企業是否仍然保有對資料的控制?
96% 的受訪者認為,指定或改變位置和管轄權或全資料加密是實現不同安全層級數位主權的可接受措施。
28% 的受訪者強調使用外部金鑰管理來實現主權的重要性。
此外,數位主權不僅關乎技術問題,更是一個法律和合規性問題。隨著隱私法規如歐盟的一般資料保護條例 (GDPR) 的實施,企業必須確保其資料處理活動符合法律要求,特別是在處理個人數據和其他敏感資訊時。
最後,沈宗享也分享了 THALES 提供的一系列雲端資料安全策略,包括資料加密、存取控制和金鑰管理等。這些技術旨在加強資料的保護,減少資料洩露的風險。他提到,「在雲端儲存和管理資料時,實施全面的資料安全策略至關重要,以確保資料的機密性、完整性和隱私。」