presentation 14-aug-2014
Post on 24-May-2015
85 Views
Preview:
TRANSCRIPT
บรการออนไลนไทย ปลอดภยแคไหน?: ผลส ารวจมาตรการรกษาความปลอดภยและคมครองความเปนสวนตวของเวบไซตไทย
ครงท 1
14 สงหาคม 2557
การประเมนความปลอดภยและความเปนสวนตวของบรการออนไลน
• ใหดาวเพอชวยใหผบรโภคตดสนใจไดงาย
EFF's Encrypt The Web Report
https://www.eff.org/encrypt-the-web-report
===== มาตรการทางเทคนค ===== • มการเขารหส SSL ในตอนทเขาสระบบและใชรหสผานหรอไม? • มการเขารหส SSL ส าหรบเนอหาหรอไม ถกตองหรอไม ความแขงแรงของ SSL? • รหสผานถกเกบอยางไร เปนรหสหรอเปนตวหนงสอธรรมดา (ดจากตอนทขอรหสผานใหมเมอลมรหส) • เวบไซตรองรบการใชฟงกชน Do Not Track หรอไม •คกก: ถกเกบอยางไร เกบอะไรบาง ===== การคมครองทางกฎหมาย ===== • บรษท/บรการนจดทะเบยนทไหน • เซรฟเวอรตงอยทไหน • ขอมลถกเกบไวทไหน ในคลาวด? • รองรบมาตรการ Notice and Take down หรอไม • มนโยบายใหใชชอจรงหรอไม • นโยบายการเกบขอมล: ขอมลถกเกบทไหน อยางไร ใครทเขาถงได สงตอใหเจาหนาทรฐหรอบคคลทสามหรอไม ขอมลอะไรทสงตอ
การประเมนความปลอดภยและความเปนสวนตวของบรการออนไลน
การประเมนความปลอดภยและความเปนสวนตวของบรการออนไลน
===== อนๆ ===== • มรายงานความโปรงใสหรอไม • ผใหบรการมจดตดตอทเปน “มนษย” • ใชเวลานานแคไหนในการตดตอ/ตอบค าถาม • หากมการเปลยนเจาของบรษท มนโยบายอยางไรตอขอมลทเกบไว • การใชภาษาทซอสตย ไมก ากวม จรงใจ “อานได” • มการแจงตอสาธารณะหรอไมเมอนโยบายเปลยนแปลง เปนระยะเวลาเทาใด ผใชมสวนรวมหรอไมอยางไร
1. มการเชอมตอแบบ HTTP Secure (HTTPS) หรอไม
2. กญแจการเขารหสมความยาว 256 บตหรอไม ความยาวของกญแจเขารหสมหนวยเปนบต ยงกญแจมความยาวมาก โอกาสทผบกรกจะคาดเดากญแจทถกตองกยงยากขนตามไปดวย ความยาวของกญแจทเปนมาตรฐานของอตสาหกรรมธนาคารในขณะนคอ 256 บต
3. แสดงนโยบายความเปนสวนตวชดเจนหรอไม ดจากการใชค าและต าแหนงทถกจดวางในเวบไซตวาสามารถเขาถงไดอยางไร
เกณฑทใชในการประเมน: ขนพนฐานทสด | ผใชทวไปตรวจสอบไดดวยตนเอง
1. หนวยงานของรฐ
พระราชบญญตขอมลขาวสารของทางราชการ พ.ศ. 2540 มาตรา 23 หนวยงานของรฐตองจดระบบขอมลขาวสารสวนบคคล รวมทงจดระบบรกษาความปลอดภยใหแกระบบขอมลขาวสารสวนบคคล ตามความเหมาะสม เพอปองกนมใหมการน าไปใชโดยไมเหมาะสมหรอเปนผลรายตอเจาของขอมลดวย
พระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ.2549 มาตรา 5 “หนวยงานของรฐตองจดท าแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ เพอใหการด าเนนการใดๆ ดวยวธการทางอเลกทรอนกสกบหนวยงานของรฐหรอโดยหนวยงานของรฐมความมนคงปลอดภยและเชอถอได”
2. ธนาคาร
ทกธนาคารเขารหสดวย HTTPS ใช SSL รน 3.0
ทกธนาคารจะมนโยบายความเปนสวนตว แตใชค าและจดวางในต าแหนงทแตกตางกน
เวบไซตธนาคารทใชค าวาความเปนสวนตว หรอ privacy วางอยในแถบดานลาง หนาแรกของเวบไซต
เวบไซตธนาคารทการคมครองขอมลสวนบคคลอยในหวขอนโยบายความปลอดภย ทวางอยในแถบดานลาง หนาแรกของเวบไซต
ธนาคารออนไลนทเปนบรการทางการเงน เกยวของกบพระราชกฤษฎกาวาดวยการควบคมดแลธรกจบรการการช าระเงนทางอเลกทรอนกส พ.ศ.2551 ในพระราชกฤษฎกานก าหนดใหผใหบรการช าระเงนทางอเลกทรอนกสตองปฏบตตามประกาศธนาคารแหงประเทศไทยท สรข. 3/2552 เรองนโยบายและมาตรการรกษาความมนคงปลอดภยทางระบบสารสนเทศ
3. คมนาคมขนสง
● เวบไซตสายการบนทงหมดมการเขารหส HTTPS และเขารหส SSL รน 3.0 ทงหมด
● แอรเอเชย เปนเวบเดยวทระบชดเจนวา นโยบายความเปนสวนตว ในหนาแรกของเวบไซต สวนเวบไซตอนๆ แทรกอยในนโยบายรกษาความปลอดภย ทแถบดานลาง หนาแรกของเวบไซต
● เวบนกแอรมนโยบายเกยวกบการคมครองขอมลสวนบคคลแทรกอยใน เงอนไขและขอก าหนด ทจะปรากฏใหเหนเฉพาะขนตอนเลอกเทยวบน
● ประกาศธนาคารแหงประเทศไทยท สรข. 3/2552 เรอง นโยบายและมาตรการการรกษาความมนคงปลอดภยทางระบบสารสนเทศ
3. คมนาคมขนสง
● บรการจองบตรโดยสารดวยรถประจ าทาง แตกตางจากบรการจ าหนายบตรโดยสารเครองบนตรงทผซอไมจ าเปนตองใสขอมลสวนตวของตนเองอยางละเอยด
● สวนใหญไมรบช าระเงนผานเวบไซต จงไมใหความส าคญกบการเขารหสขอมล และนโยบายความเปนสวนตวมากเทาทควร
4.สถาบนการศกษา: การรบสมครสอบเขามหาวทยาลย
● มหาวทยาลยพระจอมเกลา ธนบร และ
มหาวทยาลยสงขลานครนทรเทานน ทม
การเขารหสขอมลแบบ HTTPS
● ไมมมหาวทยาลยใดทมนโยบายความ
เปนสวนตวทชดเจนเลย
5.รานคาออนไลน
● เวบทาทเปนศนยกลางในการตดตอระหวางผซอกบผขาย ไมมการท าธรกรรมทางการเงนอเลกทรอนกส กระบวนการซอสนคาใชการโอนเงนนอกพนทเวบไซต
● มเพยงเวบตลาดดอทคอมทมการเขารหสแบบ HTTPS ซงอาจจะเกยวของกบการทเปนบรษทรวมทนกบบรษท Rakuten จากประเทศญปน
● นโยบายความเปนสวนตวสวนใหญจะไปปรากฏอยในหนาลงทะเบยนซงตองมการกรอกขอมลสวนตวอยางละเอยดของผใชบรการ ทนาสงเกตคอ เวบไซต Weloveshopping แมจะมนโยบายคมครองขอมลบคคลทแถบดานลางของหนาแรก แตเมอคลกเขาไปแลว กลบเชอมโยงไปทเวบอน
● กอนทจะซอสนคาในเวบคาปลกออนไลน ผใชบรการตองสมครสมาชก ตองกรอกขอมลสวนตวอยางละเอยดกอนทจะซอสนคาได ประเมนความปลอดภยในขนตอนการสมครสมาชกเทานน
● 80% ของเวบคาปลกออนไลนมการเขารหส HTTPS ในหนาลงทะเบยนสมครสมาชกเพอใชบรการ
● นโยบายความเปนสวนตวอยในหนาแรกของเวบไซต Lazada และ Zalora ซงอาจจะเกยวของกบการททงสองเวบนเปนบรษทขามชาต มสาขาหลายประเทศทมกฎหมายคมครองขอมลสวนบคคลแลว สวนเวบอนๆ ไมไดใชค าวานโยบายขอมลความเปนสวนตวโดยตรง แตเปนหวขอยอยทแทรกอยในขอตกลงการใชบรการในหนาลงทะเบยน
5.รานคาออนไลน
● ไมมเวบใดเลยทเขารหสในหนาทผใชตองกรอกขอมลสวนตว แตนาสนใจวาทกเวบมรายละเอยดของนโยบายความเปนสวนตว
6.สมครงาน
Next phase?
• ===== มาตรการทางเทคนค ===== • มการเขารหส SSL ส าหรบเนอหาหรอไม ถกตองหรอไม ความแขงแรงของ SSL? • รหสผานถกเกบอยางไร เปนรหสหรอเปนตวหนงสอธรรมดา (ดจากตอนทขอรหสผานใหมเมอลมรหส) • คกก: ถกเกบอยางไร เกบอะไรบาง • ===== การคมครองทางกฎหมาย ===== • บรษท/บรการนจดทะเบยนทไหน • เซรฟเวอรตงอยทไหน • ขอมลถกเกบไวทไหน ในคลาวด? • มนโยบายใหใชชอจรงหรอไม • นโยบายการเกบขอมล: ขอมลถกเกบทไหน อยางไร ใครทเขาถงได สงตอใหเจาหนาทรฐหรอบคคลทสามหรอไม
ขอมลอะไรทสงตอ • ===== อนๆ ===== • การใชภาษาทซอสตย ไมก ากวม จรงใจ “อานได”
top related