iT邦幫忙

0

客戶資料保密問題

要幫客戶建置新系統,但客戶說會牽涉到客戶資料
我說可以簽訂保密協定,但客戶說之前跟其他廠商
也有簽訂保密協定,但還是洩漏
所以要如何防止資料外洩的問題
如果資料保密沒做好,是無法合作
各位有什麼高見可以提供,煩請告知。謝謝!

newkevin iT邦高手 1 級 ‧ 2019-07-04 06:50:07 檢舉
客戶要求
我通常都建議
一天多少 駐點處理
進出比照該公司 資安處理方式
如果再不放心
1監工2全程錄影
優悠 iT邦新手 4 級 ‧ 2019-07-04 09:25:20 檢舉
最大權限的帳號不要是ADMIN的,登入的錯誤次數一小時最多三(或是X)次,非營運時間關閉連線甚麼的(購物網站可能沒辦法),只看客戶那邊能不能配合到
給他扣30%保留款3個月,如果有發生資料外洩且法院判決乙方(你)敗訴,則讓他們沒收保留款

誰都不願意發生這種事,所以請他們自己養小鬼比較好
(小鬼就不會外洩?廠廠)
3
小魚
iT邦大師 1 級 ‧ 2019-07-03 20:22:09

記得上個月曾經看過一個合約,
如果違反保密協定,
罰款一百萬,
(案子做完才2萬多)
原本昏迷中馬上就醒了!
你讓他在裡面加這一條,
他應該會答應你吧.

ccutmis iT邦高手 9 級 ‧ 2019-07-03 21:44:54 檢舉

這個建議真是實用...
/images/emoticon/emoticon82.gif

1
Darwin Watterson
iT邦新手 1 級 ‧ 2019-07-03 20:27:00

以技術面來說的話,最基本的方式就是
「客戶資料寫進資料庫時多一層加密動作」。
起碼先做到這一步,再來繼續想下一步吧!

起碼先做到即使資料庫資料外洩,也不能被人輕易讀出資料內容。(iPhone不能編輯回答,只好在這補充加密的理由)

raytracy iT邦大神 1 級 ‧ 2019-07-03 20:35:07 檢舉

看樓主的敘述, 應該是被內賊拿走, 不是入侵後盜走..

12
raytracy
iT邦大神 1 級 ‧ 2019-07-03 20:30:39

數位資產如果毫無價值, 即使洩漏也不痛不癢...
既然洩漏會痛, 必然有其財務上的等值價值存在.

請客戶自行估算其客戶資料的價值, 訂在罰則內就好了.

罰則太高, 當然沒有廠商敢接, 或者來接的廠商會報出天價 (人家也是懂得規避風險的), 能接受就做; 兩次三次...找不到廠商敢接, 就看客戶是否願意降罰則? 降到廠商願意承擔風險的程度, 自然就找得到勇者來接案.

或者, 客戶願意相信安全認證, 可以要求廠商通過 ISO 27001/27002, 27017/27018 等認證之後, 再來接案..

不然, 還有資安險可以買:
中小企業也有適用的資安險,明台產險推因應個資新法的保單

0
hsiang11
iT邦研究生 2 級 ‧ 2019-07-03 22:51:10

用罰款的方式去取信客戶是可以 但有些傻
台灣的案子 基本上是一直砍價的
到最後利潤也會越來越少
你會沒信心 我想公司的資安狀況也沒做的多好
倒不如選擇一些折衷的方式
一種是專案上雲端 雲端廠商那已經規劃了一系列的資安作法
只看你會不會用雲端的方式去保護數位資產
這方式會比較好算成本,疊回去給客戶

或是導入一些次世代防火牆,買個防護授權
用資安大廠的防火牆取信客戶
但是這要找到很有能力的廠商 而且最好是大公司
比較不會搞爛案子沒有防護效果

ISO的部分我不太建議 太花錢導入 而且雖然有督導
但是實際內部怎麼玩的沒有人知道
這種方式取信外人很好 但是內部的明眼人通常最知道又出包了
因為內部通常會有些惡搞的主管和不重視資安的行為
有些公司就真的導ISO為了取信客戶,可是內部的資安意識低落到不可思議

0
taiwanbrian
iT邦新手 2 級 ‧ 2019-07-04 08:40:36

客戶的擔心不是沒有原因的,

我們公司老闆對這種資料也很敏感,原本工程師說要把備份的資料拿回他們公司做轉換, 老闆根本不可能同意的,最後只好請工程師來駐點處理。

還有一點,老闆會打聽同業是跟哪一家軟體廠商配合的,他就不找同一家
所以軟體公司經常愛說他們做過哪些行業的哪些客戶,一方面是要說明他們在這行業的實力,但也一方面嚇跑了一些人。

有好有壞
若是台灣的台績電 聯發科都用這套機制或是系統
照著做有何不可?

0
浩瀚星空
iT邦大師 1 級 ‧ 2019-07-04 09:28:23

個人曾經合作及建議的方式如下

1.簽定保密合約是必要的。至於罰款金額,並不直接明定。
而是條列依損害程度最低為合約費用的10倍。

2.我之前接的是醫院的部份。並不能直接要求客戶資料。其實他們也匯不出來,因為還算很大。
所以我當時接下案子時,是只要求他們現在的資料庫節構。其實我合約上有明定我不負保密的責任。因為我開發並不需要你們的隱密的資料。所以我不需要你們給我資料。只是這招只能對已有現有資訊站人員。也就是要有至少懂一些皮毛的人存在。

題外話:
個人以上的話並非是對開板主說的。其實認真來說,我個人對於所謂的保密條約很感冒。
雖然我之前也確實接過不少有客戶資料的案子過。
也遇過業主硬要要求我要簽定這個保密條約。
我那時跟業主說過,能否保密我不能給你保証。至少無論如何,我看過了你也就算洩密了。
就算是因為工作需要。我只能保証我不會洩密,但我不能保証你們其它人不會洩密。
所以這樣的保密條約太過沉重。要嘛,你們去生成無機密資料的東西給我。要嘛就是直接相信我。
要不然我都會覺得是在挖抗給我跳。

看更多先前的回應...收起先前的回應...
小魚 iT邦大師 1 級 ‧ 2019-07-04 10:06:44 檢舉

恩恩,
其實接案子難免會遇到這方面的問題,
感謝星空大大的分享,
讓我們從另外一個角度來思考.

就CISSP的outsorcing部分
資料層的保護責任是由客戶自己要承擔的
若風險過大 保個保險
在風險管理上達到風險轉移的效用吧

sonia iT邦新手 3 級 ‧ 2019-07-04 11:59:27 檢舉

是啊!我寫程式自已建假資料就好,不用看到客戶的資料呀。

alex9453 iT邦新手 3 級 ‧ 2019-07-04 12:02:08 檢舉

我想到一個方法,他是拿資料給我系統處理,處理完再給他主要是電話地址不要外洩,那我就請他將上千的地址電話修改,用excel萬用字元取代很快就可以做到,地址跟系統處理有關係,主要是行車時間計算,如果是5號就改7或3號,這樣行車時間也差不多,不會影響正確性,等到我處理好,再還給他,然後他再還原成原本資料就可以,看起來應該可行

那還不如直接寫個 web service 或者 RESTful API 的接口讓客戶自己來介接取回要計算的行車時間就好啦 !

比較好奇的是「Execl」幫客戶建系統 ??? 認真的嗎 ???

alex9453 iT邦新手 3 級 ‧ 2019-07-04 14:16:16 檢舉

是從他系統匯出excel , 再將excel 匯入我的系統處理,處理完他再把資料還原正確,匯入他的系統,同時不止行車時間還有客戶預約時間,考慮的因素很多,才要開發系統來使用

alex9453 iT邦新手 3 級 ‧ 2019-07-04 14:22:09 檢舉

流程是這樣,他匯出excel,然後修改電話及地址,再匯入我的系統,我處理完後匯出excel,他在還原excel,然後在匯入他的系統,這樣我就無法接觸真正資料

我一開始就說了,我並不是跟開版大回答他的問題的。只是剛好他提出這樣的問題讓我很想討論一下而已。

@darwin0616
不用跟開板大質疑你想像的問題。
早晚你也會知道你光質疑他的東西是一件非常蠢的事。
你可能會覺得我很莫明奇妙,現在我也不知道該怎麼跟你說明。你時間久了就會知道了。

我現在只是單純跟你們討論保密相關的議題。並不是在回答開板大的問題。

froce iT邦大師 4 級 ‧ 2019-07-04 16:24:54 檢舉

其實我都懶得吐嘈了,資安喔,希望他寫的系統不是直接面對網際網路的。科科

呵呵!!我還是認真回一下小a的問題好了。雖然我覺得他可能聽不下去吧。

小a,能想到api的資料轉換方式是不錯啦。
不過你試想一下,如果不是必要性的資料,轉出來給你的系統用是否就不需要輸出了。反正輸出出來給你的系統用也沒用處。又增加洩密的危險性。不是嘛?
但如果是必要性的資料(如住址)。那不匯出來給你的系統用。有意義嗎?

重點,你不需要討論到所謂保密的問題。根本沒有其必要性。這些東西對你來說都還太早。光是你回應那些解決的方式。就可以看出你完全不明白資安跟資料保密性的問題。這個議題對你來說還太早。

0
9478978
iT邦見習生 0 級 ‧ 2019-07-04 10:04:15

保險是買來出意外理賠的,並不能因此避免意外的發生。
保密協定也是。
沒有密不透風的窗,更沒有穿不透的牆。

0
蟹老闆
iT邦大師 1 級 ‧ 2019-07-10 02:08:05

感覺弦外之音是沒有合作的意願,加油繼續努力。
為何這麼說,若在意資安基本不會跟個人或個人工作室合作,且資料需要離開公司交付給外人,若有資安顧慮的這點大概就過不了了.
再者資安不是單靠部份層面就能防陼,若要全面做到以一己之力難以達成。

我要發表回答

立即登入回答