Presentation 14-aug-2014
- 3. ===== มาตรการทางเทคนิค =====
• มีการเข้ารหัส SSL ในตอนที่เข้าสู่ระบบและใช้รหัสผ่านหรือไม่?
• มีการเข้ารหัส SSL สาหรับเนื้อหาหรือไม่ ถูกต้องหรือไม่ ความแข็งแรงของ SSL?
• รหัสผ่านถูกเก็บอย่างไร เป็นรหัสหรือเป็นตัวหนังสือธรรมดา (ดูจากตอนที่ขอรหัสผ่านใหม่เมื่อลืมรหัส)
• เว็บไซต์รองรับการใช้ฟังก์ชั่น Do Not Track หรือไม่
•คุกกี้: ถูกเก็บอย่างไร เก็บอะไรบ้าง
===== การคุ้มครองทางกฎหมาย =====
• บริษัท/บริการนี้จดทะเบียนที่ไหน
• เซิร์ฟเวอร์ตั้งอยู่ที่ไหน
• ข้อมูลถูกเก็บไว้ที่ไหน ในคลาวด์?
• รองรับมาตรการ Notice and Take down หรือไม่
• มีนโยบายให้ใช้ชื่อจริงหรือไม่
• นโยบายการเก็บข้อมูล: ข้อมูลถูกเก็บที่ไหน อย่างไร ใครที่เข้าถึงได้ ส่งต่อให้เจ้าหน้าที่รัฐหรือบุคคลที่สาม
หรือไม่ ข้อมูลอะไรที่ส่งต่อ
การประเมินความปลอดภัยและความเป็นส่วนตัวของบริการออนไลน์
- 4. การประเมินความปลอดภัยและความเป็นส่วนตัวของบริการออนไลน์
===== อื่นๆ =====
• มีรายงานความโปร่งใสหรือไม่
• ผู้ให้บริการมีจุดติดต่อที่เป็น “มนุษย์”
• ใช้เวลานานแค่ไหนในการติดต่อ/ตอบคาถาม
• หากมีการเปลี่ยนเจ้าของบริษัท มีนโยบายอย่างไรต่อข้อมูลที่เก็บไว้
• การใช้ภาษาที่ซื่อสัตย์ ไม่กากวม จริงใจ “อ่านได้”
• มีการแจ้งต่อสาธารณะหรือไม่เมื่อนโยบายเปลี่ยนแปลง เป็นระยะเวลาเท่าใด ผู้ใช้มีส่วนร่วมหรือไม่อย่างไร
- 5. 1. มีการเชื่อมต่อแบบ HTTP Secure (HTTPS)
หรือไม่
2. กุญแจการเข้ารหัสมีความยาว 256 บิตหรือไม่ ความ
ยาวของกุญแจเข้ารหัสมีหน่วยเป็นบิต ยิ่งกุญแจมี
ความยาวมาก โอกาสที่ผู้บุกรุกจะคาดเดากุญแจที่
ถูกต้องก็ยิ่งยากขึ้นตามไปด้วย ความยาวของกุญแจที่
เป็นมาตรฐานของอุตสาหกรรมธนาคารในขณะนี้คือ
256 บิต
3. แสดงนโยบายความเป็นส่วนตัวชัดเจนหรือไม่ ดูจาก
การใช้คาและตาแหน่งที่ถูกจัดวางในเว็บไซต์ว่า
สามารถเข้าถึงได้อย่างไร
เกณฑ์ที่ใช้ในการประเมิน: ขั้นพื้นฐานที่สุด | ผู้ใช้ทั่วไปตรวจสอบได้ด้วยตนเอง
- 7. 1. หน่วยงานของรัฐ
พระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ.
2540 มาตรา 23 หน่วยงานของรัฐต้องจัดระบบข้อมูล
ข่าวสารส่วนบุคคล รวมทั้งจัดระบบรักษาความปลอดภัย
ให้แก่ระบบข้อมูลข่าวสารส่วนบุคคล ตามความเหมาะสม
เพื่อป้องกันมิให้มีการนาไปใช้โดยไม่เหมาะสมหรือเป็น
ผลร้ายต่อเจ้าของข้อมูลด้วย
พระราชกฤษฎีกากาหนดหลักเกณฑ์และวิธีการในการทา
ธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ.2549 มาตรา 5
“หน่วยงานของรัฐต้องจัดทาแนวนโยบายและแนวปฏิบัติใน
การรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อให้การ
ดาเนินการใดๆ ด้วยวิธีการทางอิเล็กทรอนิกส์กับหน่วยงาน
ของรัฐหรือโดยหน่วยงานของรัฐมีความมั่นคงปลอดภัยและ
เชื่อถือได้”
- 8. 2. ธนาคาร
ทุกธนาคารเข้ารหัสด้วย HTTPS ใช้ SSL รุ่น 3.0
ทุกธนาคารจะมีนโยบายความเป็นส่วนตัว แต่ใช้คาและจัดวางในตาแหน่งที่
แตกต่างกัน
เว็บไซต์ธนาคารที่ใช้คาว่าความเป็นส่วนตัว หรือ privacy วางอยู่ในแถบ
ด้านล่าง หน้าแรกของเว็บไซต์
เว็บไซต์ธนาคารที่การคุ้มครองข้อมูลส่วนบุคคลอยู่ในหัวข้อนโยบายความ
ปลอดภัย ที่วางอยู่ในแถบด้านล่าง หน้าแรกของเว็บไซต์
ธนาคารออนไลน์ที่เป็นบริการทางการเงิน เกี่ยวข้องกับพระราชกฤษฎีกาว่าด้วย
การควบคุมดูแลธุรกิจบริการการชาระเงินทางอิเล็กทรอนิกส์ พ.ศ.2551 ในพระ
ราชกฤษฎีกานี้กาหนดให้ผู้ให้บริการชาระเงินทางอิเล็กทรอนิกส์ต้องปฏิบัติตาม
ประกาศธนาคารแห่งประเทศไทยที่ สรข. 3/2552 เรื่องนโยบายและมาตรการ
รักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ
- 9. 3. คมนาคมขนส่ง
● เว็บไซต์สายการบินทั้งหมดมีการเข้ารหัส HTTPS
และเข้ารหัส SSL รุ่น 3.0 ทั้งหมด
● แอร์เอเชีย เป็นเว็บเดียวที่ระบุชัดเจนว่า นโยบาย
ความเป็นส่วนตัว ในหน้าแรกของเว็บไซต์ ส่วน
เว็บไซต์อื่นๆ แทรกอยู่ในนโยบายรักษาความ
ปลอดภัย ที่แถบด้านล่าง หน้าแรกของเว็บไซต์
● เว็บนกแอร์มีนโยบายเกี่ยวกับการคุ้มครองข้อมูล
ส่วนบุคคลแทรกอยู่ใน เงื่อนไขและข้อกาหนด ที่จะ
ปรากฏให้เห็นเฉพาะขั้นตอนเลือกเที่ยวบิน
● ประกาศธนาคารแห่งประเทศไทยที่ สรข. 3/2552
เรื่อง นโยบายและมาตรการการรักษาความมั่นคง
ปลอดภัยทางระบบสารสนเทศ
- 10. 3. คมนาคมขนส่ง
● บริการจองบัตรโดยสารด้วยรถประจาทาง แตกต่างจากบริการจาหน่ายบัตรโดยสาร
เครื่องบินตรงที่ผู้ซื้อไม่จาเป็นต้องใส่ข้อมูลส่วนตัวของตนเองอยางละเอียด
● ส่วนใหญ่ไม่รับชาระเงินผ่านเว็บไซต์ จึงไม่ให้ความสาคัญกับการเข้ารหัสข้อมูล และ
นโยบายความเป็นส่วนตัวมากเท่าที่ควร
- 15. Next phase?
• ===== มาตรการทางเทคนิค =====
• มีการเข้ารหัส SSL สาหรับเนื้อหาหรือไม่ ถูกต้องหรือไม่ ความแข็งแรงของ SSL?
• รหัสผ่านถูกเก็บอย่างไร เป็นรหัสหรือเป็นตัวหนังสือธรรมดา (ดูจากตอนที่ขอรหัสผ่านใหม่เมื่อลืมรหัส)
• คุกกี้: ถูกเก็บอย่างไร เก็บอะไรบ้าง
• ===== การคุ้มครองทางกฎหมาย =====
• บริษัท/บริการนี้จดทะเบียนที่ไหน
• เซิร์ฟเวอร์ตั้งอยู่ที่ไหน
• ข้อมูลถูกเก็บไว้ที่ไหน ในคลาวด์?
• มีนโยบายให้ใช้ชื่อจริงหรือไม่
• นโยบายการเก็บข้อมูล: ข้อมูลถูกเก็บที่ไหน อย่างไร ใครที่เข้าถึงได้ ส่งต่อให้เจ้าหน้าที่รัฐหรือบุคคลที่สามหรือไม่
ข้อมูลอะไรที่ส่งต่อ
• ===== อื่นๆ =====
• การใช้ภาษาที่ซื่อสัตย์ ไม่กากวม จริงใจ “อ่านได้”