Bài giảng An toàn thông tin và quản trị rủi ro thương mại điện tự: Chương 5 Chính sách sử dụng internet, bí mật riêng tư và bảo vệ thông tin khách hàng trong thương mại điện tử do TS. Chử Bá Quyết biên soạn gồm các nội dung chính được trình bày như sau: Chính sách sử dụng Internet, bí mật riêng tư, chính sách sử dụng email, những nguyên tắc cơ bản về bảo vệ dữ liệu cá nhân trong thương mại điện tử.
Trang 1Ch ng 5 Chính sách s d ng internet, bí m t riêng t
và b o v thông tin khách hàng trong TM T
Trang 21 Chính sách s d ng Internet (IUP)
• Chính sách s d ng Internet (IUP), chính sách s d ng Internet
đ c ch p nh n (IAUP) ho c chính sách s d ng Internet an toàn
(ISP) ho c (FUP) Fair Use Policy là m t b quy t c đ c áp
d ng b i nhà qu n tr website, m ng máy tính ho c các h th ng thông tin trong đó h n ch nh ng cách th c mà các trang m ng
Trang 31 Chính sách s d ng Internet (IUP)
• IUP đ c vi t cho các công ty, doanh nghi p, tr ng h c, nhà
cung c p d ch v truy c p Internet, ch s h u website nh m
gi m r i ro t các hành đ ng s d ng m ng Internet c a chính b i các nhân viên trong các t ch c ho c b t kì ng i s d ng nào
quan tâm
• AUP là m t ph n c a chính sách an ninh thông tin Internet
security policies (ISP), quy đ nh các thành viên c a t ch c tuân
th khi truy c p/s d ng Internet/các h th ng thông tin
Trang 41 Chính sách s d ng Internet (AUP)
• AUP ph i súc tích, ng n g n và rõ ràng, bao g m nh ng đi u quy đ nh quan tr ng v s d ng (do), không đ c s d ng (do not) đ i v i các trang m ng, ho c các h th ng thông tin c a t
Trang 51 Chính sách s d ng Internet (AUP)
• AUP c ng c n có nh ng quy đ nh x ph t khi ng i dùng không tuân theo quy đ nh an toàn thông tin ho c vi ph m quy đ nh an toàn thông tin
AUP/IAUP là m t n i quy/đi u l /v n b n t p h p các h ng
d n, các đi u kho n, các quy đ nh v đi u ki n s d ng
Internet t ch c, tr ng h c và gia đình / ho c khi s
d ng d ch v thông tin/ ph ng ti n đi n t t i các n i công
Trang 7 Chính sách đ m b o bí m t thông tin cá nhân trên website
Chính sách đ m b o bí m t thông tin cá nhân trên website B2C, c ng thanh toán đi n t
Trang 102 Chính sách s d ng email
• S d ng email b i các nhân viên c a t ch c c n đ c cho
phép và khuy n khích (s d ng email nh m h tr các m c tiêu và m c đích c a t ch c)
Trang 11S d ng các h th ng truy n thông c a công ty, bao g m
email đ thi t l p các ho t đ ng kinh doanh cho cá nhân
Trang 12Chính sách s d ng email
• Phân ph i, ph bi n ho c tàng tr hình nh, v n b n ho c các tài li u mà phi pháp
• S d ng thông tin vi ph m quy n tác gi
Trang 143 Bí m t riêng t /Privacy đ n AUP
• Quy n đ c l p cá nhân và quy n t do t các
xâm ph m cá nhân không h p lý
• Thông tin cá nhân đ c thu th p:
ng kí s d ng d ch v đi n t
ng kí thành viên,Mua hàng
Trang 15Bí m t riêng t /Privacy đ n AUP
• Chính sách b o m t thông tin khách hàng là m t tài li u v n
b n g m các quy đ nh v vi c thu th p, s d ng, ti t l d li uthông tin cá nhân
• i v i website TM T, chính sách b o m t thông tin khách hàng
là m t tài li u v n b n đi n t có nhi u quy đ nh, đ ng t i trênwebsite nh m thông báo cho khách hàng và nh ng ng i truy c pwebsite v m c đích c a vi c thu th p thông tin, nh ng thông tin
đ c thu th p, s d ng thông tin, chia s thông tin…
Trang 16Bí m t riêng t /Privacy đ n AUP
B n ch t c a chính sách b o m t thông tin khách hàng:
• Là tuyên b c a ch website đ i v i khách hàng ho c ng itruy c p
• Là m t lo i quy đ nh m c đ nh m t phía trong h p đ ng giao
d ch mà nh ng ng i truy c p website TM T ph i nên bi t
Trang 17Bí m t riêng t /Privacy đ n AUP
B n ch t c a chính sách b o m t thông tin khách hàng:
• Th ng bao g m các nhóm quy đ nh v : (1) ph ng pháp thu
th p thông tin khách hàng/ng i dùng; (2) lo i thông tin
đ c thu th p; (3) m c đích thu th p thông tin; (4) chia s và
ti t l thông tin; (5) thay đ i ho c s a đ i thông tin
Trang 18Bí m t riêng t
o lu t yêu n c c a M (USA Patriot Act)
Gia t ng (Dramatic increases in the scope) và hình ph t
c a các gian l n máy tính và hành vi l m d ng
M r ng th m quy n c a c quan giám sát/c quan tình
báo FISA (Foreign Intelligence Surveillance Act)
T ng c ng chia s thông tin gi a l c l ng th c thi pháp
lu t đ a ph ng và c quan tình báo
C quan tình báo (FISA) giám sát nh ng h n ch c a c
quan đ a ph ng và c quan đ a ph ng giám sát h n ch
Trang 19Bí m t riêng t
• Lu t b o v tr em tr c tuy n (COPA): ti p c n ph ng
pháp b o v con ng i
• Ví d : lu t ch ng game c a bang California, M , v i nh ng
quy đ nh c m bán ho c cho thuê game có n i dung b o l c
đ i v i tr v thành niên Trong n m 2005, l n l t hai bang Illinois và Michigan đã thông qua l nh c m bán các trò ch i video có tính ch t b o l c và khiêu dâm cho tr em
Trang 20Bí m t riêng t
• B o v bí m t riêng t n c ngoài
N m 1998, y ban Châu Âu đã thông qua m t h ng d n bí
m t riêng t (EU Data Protection Directive) xác nh n l i
nh ng nguyên t c c a b o v d li u cá nhân trong th i đ iinternet
H ng d n có m c đích đi u ch nh các ho t đ ng c a b t kì
cá nhân ho c công ty có liên quan t i vi c thu th p, l u tr ,
x lí ho c s d ng d li u cá nhân trên m ng internet
Trang 244 Nh ng nguyên t c c b n v b o v d li u
cá nhân trong TM T
•Nguyên t c 1: Ng n ng a thi t h i
M c tiêu: là ng n ng a vi c s d ng b t h p pháp d li u cánhân c ng nh nh ng thi t h i phát sinh
B o v d li u cá nhân
Các bi n pháp ch tài x lỦ vi ph m v b o v d li u cá nhân
c n đ c xây d ng phù h p v i m c đ thi t h i t vi c thu
th p ho c s d ng thông tin trái phép
Trang 25• Nguyên t c 2: Thông báo tr c
• Nguyên t c 3: Gi i h n ph m vi thu th p d li u cá nhân
• Nguyên t c 4: S d ng d li u cá nhân
• Nguyên t c 5: Quy n l a ch n c a ch th d li u cá nhân
• Nguyên t c 6: Tính toàn v n c a d li u cá nhân
• Nguyên t c 7: An ninh, an toàn d li u cá nhân
• Nguyên t c 8: Ti p c n và đi u ch nh d li u cá nhân
Trang 27Khi b n truy c p NgânL ng.vn, chúng tôi (ho c bên th ba đ c thuê
đ theo dõi ho c th ng kê ho t đ ng c a website) s đ t m t s File d
li u nh g i là Cookies lên đ a c ng ho c b nh máy tính c a b n M t
trong s nh ng Cookies này có th t n t i lâu đ thu n ti n cho b n trong
quá trình s d ng, ví d nh : l u Email c a b n trong trang đ ng nh p đ
b n không ph i nh p l i v.v…Chúng tôi s mã hóa các File Cookies đ
b o m t, b n có th c m Cookies trên trình duy t c a mình nh ng đi u
này có th nh h ng đ n quá trình s d ng NgânL ng.vn c a b n.
i u 3: L u tr & B o v thông tin
Chúng tôi l u tr và x lý thông tin cá nhân c a b n t i các máy ch đ t
t i Vi t Nam Chúng tôi b o v nh ng thông tin này b ng nhi u ph ng
ti n b o v v t lý (ví d : ki m soát ra vào tòa nhà có ch a máy ch ), đi n
Trang 284 Chu n an ninh thông tin
• ISO/IEC 27001 là m t tiêu chu n qu c t cung c p m t khuôn kh
đ th c hành thông tin an toàn
• Các l nh v c đ c bao hàm b i ISO/ IEC 27001 ISO/IEC
27001:2005 – Specification
Specifies requirements for establishing, implementing, and
documenting Information Security Management Systems (ISMS)Specifies requirements for security controls to be implemented according to the needs of individual organizations
Consists of 11 control sections, 39 control objectives, and 133 controls
Is aligned with ISO/IEC 17799:2005
Trang 29Development of ISO/IEC 270001 "family" of standards
ISO/IEC
Standard
Description
27000 Vocabulary and definitions
27001 Specification (BS7799-2) Issued October 2005
27002 Code of Practice (ISO17799:2005)
Trang 30• Xây d ng các chu n đ c qu c t ch p nh n (Built on
internationally accepted standards)