Download - Presentation 14-aug-2014
![Page 1: Presentation 14-aug-2014](https://reader033.vdocuments.pub/reader033/viewer/2022052900/556156e5d8b42a857d8b539a/html5/thumbnails/1.jpg)
บรการออนไลนไทย ปลอดภยแคไหน?: ผลส ารวจมาตรการรกษาความปลอดภยและคมครองความเปนสวนตวของเวบไซตไทย
ครงท 1
14 สงหาคม 2557
![Page 2: Presentation 14-aug-2014](https://reader033.vdocuments.pub/reader033/viewer/2022052900/556156e5d8b42a857d8b539a/html5/thumbnails/2.jpg)
การประเมนความปลอดภยและความเปนสวนตวของบรการออนไลน
• ใหดาวเพอชวยใหผบรโภคตดสนใจไดงาย
EFF's Encrypt The Web Report
https://www.eff.org/encrypt-the-web-report
![Page 3: Presentation 14-aug-2014](https://reader033.vdocuments.pub/reader033/viewer/2022052900/556156e5d8b42a857d8b539a/html5/thumbnails/3.jpg)
===== มาตรการทางเทคนค ===== • มการเขารหส SSL ในตอนทเขาสระบบและใชรหสผานหรอไม? • มการเขารหส SSL ส าหรบเนอหาหรอไม ถกตองหรอไม ความแขงแรงของ SSL? • รหสผานถกเกบอยางไร เปนรหสหรอเปนตวหนงสอธรรมดา (ดจากตอนทขอรหสผานใหมเมอลมรหส) • เวบไซตรองรบการใชฟงกชน Do Not Track หรอไม •คกก: ถกเกบอยางไร เกบอะไรบาง ===== การคมครองทางกฎหมาย ===== • บรษท/บรการนจดทะเบยนทไหน • เซรฟเวอรตงอยทไหน • ขอมลถกเกบไวทไหน ในคลาวด? • รองรบมาตรการ Notice and Take down หรอไม • มนโยบายใหใชชอจรงหรอไม • นโยบายการเกบขอมล: ขอมลถกเกบทไหน อยางไร ใครทเขาถงได สงตอใหเจาหนาทรฐหรอบคคลทสามหรอไม ขอมลอะไรทสงตอ
การประเมนความปลอดภยและความเปนสวนตวของบรการออนไลน
![Page 4: Presentation 14-aug-2014](https://reader033.vdocuments.pub/reader033/viewer/2022052900/556156e5d8b42a857d8b539a/html5/thumbnails/4.jpg)
การประเมนความปลอดภยและความเปนสวนตวของบรการออนไลน
===== อนๆ ===== • มรายงานความโปรงใสหรอไม • ผใหบรการมจดตดตอทเปน “มนษย” • ใชเวลานานแคไหนในการตดตอ/ตอบค าถาม • หากมการเปลยนเจาของบรษท มนโยบายอยางไรตอขอมลทเกบไว • การใชภาษาทซอสตย ไมก ากวม จรงใจ “อานได” • มการแจงตอสาธารณะหรอไมเมอนโยบายเปลยนแปลง เปนระยะเวลาเทาใด ผใชมสวนรวมหรอไมอยางไร
![Page 5: Presentation 14-aug-2014](https://reader033.vdocuments.pub/reader033/viewer/2022052900/556156e5d8b42a857d8b539a/html5/thumbnails/5.jpg)
1. มการเชอมตอแบบ HTTP Secure (HTTPS) หรอไม
2. กญแจการเขารหสมความยาว 256 บตหรอไม ความยาวของกญแจเขารหสมหนวยเปนบต ยงกญแจมความยาวมาก โอกาสทผบกรกจะคาดเดากญแจทถกตองกยงยากขนตามไปดวย ความยาวของกญแจทเปนมาตรฐานของอตสาหกรรมธนาคารในขณะนคอ 256 บต
3. แสดงนโยบายความเปนสวนตวชดเจนหรอไม ดจากการใชค าและต าแหนงทถกจดวางในเวบไซตวาสามารถเขาถงไดอยางไร
เกณฑทใชในการประเมน: ขนพนฐานทสด | ผใชทวไปตรวจสอบไดดวยตนเอง
![Page 6: Presentation 14-aug-2014](https://reader033.vdocuments.pub/reader033/viewer/2022052900/556156e5d8b42a857d8b539a/html5/thumbnails/6.jpg)
![Page 7: Presentation 14-aug-2014](https://reader033.vdocuments.pub/reader033/viewer/2022052900/556156e5d8b42a857d8b539a/html5/thumbnails/7.jpg)
1. หนวยงานของรฐ
พระราชบญญตขอมลขาวสารของทางราชการ พ.ศ. 2540 มาตรา 23 หนวยงานของรฐตองจดระบบขอมลขาวสารสวนบคคล รวมทงจดระบบรกษาความปลอดภยใหแกระบบขอมลขาวสารสวนบคคล ตามความเหมาะสม เพอปองกนมใหมการน าไปใชโดยไมเหมาะสมหรอเปนผลรายตอเจาของขอมลดวย
พระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ.2549 มาตรา 5 “หนวยงานของรฐตองจดท าแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ เพอใหการด าเนนการใดๆ ดวยวธการทางอเลกทรอนกสกบหนวยงานของรฐหรอโดยหนวยงานของรฐมความมนคงปลอดภยและเชอถอได”
![Page 8: Presentation 14-aug-2014](https://reader033.vdocuments.pub/reader033/viewer/2022052900/556156e5d8b42a857d8b539a/html5/thumbnails/8.jpg)
2. ธนาคาร
ทกธนาคารเขารหสดวย HTTPS ใช SSL รน 3.0
ทกธนาคารจะมนโยบายความเปนสวนตว แตใชค าและจดวางในต าแหนงทแตกตางกน
เวบไซตธนาคารทใชค าวาความเปนสวนตว หรอ privacy วางอยในแถบดานลาง หนาแรกของเวบไซต
เวบไซตธนาคารทการคมครองขอมลสวนบคคลอยในหวขอนโยบายความปลอดภย ทวางอยในแถบดานลาง หนาแรกของเวบไซต
ธนาคารออนไลนทเปนบรการทางการเงน เกยวของกบพระราชกฤษฎกาวาดวยการควบคมดแลธรกจบรการการช าระเงนทางอเลกทรอนกส พ.ศ.2551 ในพระราชกฤษฎกานก าหนดใหผใหบรการช าระเงนทางอเลกทรอนกสตองปฏบตตามประกาศธนาคารแหงประเทศไทยท สรข. 3/2552 เรองนโยบายและมาตรการรกษาความมนคงปลอดภยทางระบบสารสนเทศ
![Page 9: Presentation 14-aug-2014](https://reader033.vdocuments.pub/reader033/viewer/2022052900/556156e5d8b42a857d8b539a/html5/thumbnails/9.jpg)
3. คมนาคมขนสง
● เวบไซตสายการบนทงหมดมการเขารหส HTTPS และเขารหส SSL รน 3.0 ทงหมด
● แอรเอเชย เปนเวบเดยวทระบชดเจนวา นโยบายความเปนสวนตว ในหนาแรกของเวบไซต สวนเวบไซตอนๆ แทรกอยในนโยบายรกษาความปลอดภย ทแถบดานลาง หนาแรกของเวบไซต
● เวบนกแอรมนโยบายเกยวกบการคมครองขอมลสวนบคคลแทรกอยใน เงอนไขและขอก าหนด ทจะปรากฏใหเหนเฉพาะขนตอนเลอกเทยวบน
● ประกาศธนาคารแหงประเทศไทยท สรข. 3/2552 เรอง นโยบายและมาตรการการรกษาความมนคงปลอดภยทางระบบสารสนเทศ
![Page 10: Presentation 14-aug-2014](https://reader033.vdocuments.pub/reader033/viewer/2022052900/556156e5d8b42a857d8b539a/html5/thumbnails/10.jpg)
3. คมนาคมขนสง
● บรการจองบตรโดยสารดวยรถประจ าทาง แตกตางจากบรการจ าหนายบตรโดยสารเครองบนตรงทผซอไมจ าเปนตองใสขอมลสวนตวของตนเองอยางละเอยด
● สวนใหญไมรบช าระเงนผานเวบไซต จงไมใหความส าคญกบการเขารหสขอมล และนโยบายความเปนสวนตวมากเทาทควร
![Page 11: Presentation 14-aug-2014](https://reader033.vdocuments.pub/reader033/viewer/2022052900/556156e5d8b42a857d8b539a/html5/thumbnails/11.jpg)
4.สถาบนการศกษา: การรบสมครสอบเขามหาวทยาลย
● มหาวทยาลยพระจอมเกลา ธนบร และ
มหาวทยาลยสงขลานครนทรเทานน ทม
การเขารหสขอมลแบบ HTTPS
● ไมมมหาวทยาลยใดทมนโยบายความ
เปนสวนตวทชดเจนเลย
![Page 12: Presentation 14-aug-2014](https://reader033.vdocuments.pub/reader033/viewer/2022052900/556156e5d8b42a857d8b539a/html5/thumbnails/12.jpg)
5.รานคาออนไลน
● เวบทาทเปนศนยกลางในการตดตอระหวางผซอกบผขาย ไมมการท าธรกรรมทางการเงนอเลกทรอนกส กระบวนการซอสนคาใชการโอนเงนนอกพนทเวบไซต
● มเพยงเวบตลาดดอทคอมทมการเขารหสแบบ HTTPS ซงอาจจะเกยวของกบการทเปนบรษทรวมทนกบบรษท Rakuten จากประเทศญปน
● นโยบายความเปนสวนตวสวนใหญจะไปปรากฏอยในหนาลงทะเบยนซงตองมการกรอกขอมลสวนตวอยางละเอยดของผใชบรการ ทนาสงเกตคอ เวบไซต Weloveshopping แมจะมนโยบายคมครองขอมลบคคลทแถบดานลางของหนาแรก แตเมอคลกเขาไปแลว กลบเชอมโยงไปทเวบอน
![Page 13: Presentation 14-aug-2014](https://reader033.vdocuments.pub/reader033/viewer/2022052900/556156e5d8b42a857d8b539a/html5/thumbnails/13.jpg)
● กอนทจะซอสนคาในเวบคาปลกออนไลน ผใชบรการตองสมครสมาชก ตองกรอกขอมลสวนตวอยางละเอยดกอนทจะซอสนคาได ประเมนความปลอดภยในขนตอนการสมครสมาชกเทานน
● 80% ของเวบคาปลกออนไลนมการเขารหส HTTPS ในหนาลงทะเบยนสมครสมาชกเพอใชบรการ
● นโยบายความเปนสวนตวอยในหนาแรกของเวบไซต Lazada และ Zalora ซงอาจจะเกยวของกบการททงสองเวบนเปนบรษทขามชาต มสาขาหลายประเทศทมกฎหมายคมครองขอมลสวนบคคลแลว สวนเวบอนๆ ไมไดใชค าวานโยบายขอมลความเปนสวนตวโดยตรง แตเปนหวขอยอยทแทรกอยในขอตกลงการใชบรการในหนาลงทะเบยน
5.รานคาออนไลน
![Page 14: Presentation 14-aug-2014](https://reader033.vdocuments.pub/reader033/viewer/2022052900/556156e5d8b42a857d8b539a/html5/thumbnails/14.jpg)
● ไมมเวบใดเลยทเขารหสในหนาทผใชตองกรอกขอมลสวนตว แตนาสนใจวาทกเวบมรายละเอยดของนโยบายความเปนสวนตว
6.สมครงาน
![Page 15: Presentation 14-aug-2014](https://reader033.vdocuments.pub/reader033/viewer/2022052900/556156e5d8b42a857d8b539a/html5/thumbnails/15.jpg)
Next phase?
• ===== มาตรการทางเทคนค ===== • มการเขารหส SSL ส าหรบเนอหาหรอไม ถกตองหรอไม ความแขงแรงของ SSL? • รหสผานถกเกบอยางไร เปนรหสหรอเปนตวหนงสอธรรมดา (ดจากตอนทขอรหสผานใหมเมอลมรหส) • คกก: ถกเกบอยางไร เกบอะไรบาง • ===== การคมครองทางกฎหมาย ===== • บรษท/บรการนจดทะเบยนทไหน • เซรฟเวอรตงอยทไหน • ขอมลถกเกบไวทไหน ในคลาวด? • มนโยบายใหใชชอจรงหรอไม • นโยบายการเกบขอมล: ขอมลถกเกบทไหน อยางไร ใครทเขาถงได สงตอใหเจาหนาทรฐหรอบคคลทสามหรอไม
ขอมลอะไรทสงตอ • ===== อนๆ ===== • การใชภาษาทซอสตย ไมก ากวม จรงใจ “อานได”