บรการออนไลนไทย ปลอดภยแคไหน?: ผลส ารวจมาตรการรกษาความปลอดภยและคมครองความเปนสวนตวของเวบไซตไทย

ครงท 1

14 สงหาคม 2557

การประเมนความปลอดภยและความเปนสวนตวของบรการออนไลน

• ใหดาวเพอชวยใหผบรโภคตดสนใจไดงาย

EFF's Encrypt The Web Report

https://www.eff.org/encrypt-the-web-report

===== มาตรการทางเทคนค ===== • มการเขารหส SSL ในตอนทเขาสระบบและใชรหสผานหรอไม? • มการเขารหส SSL ส าหรบเนอหาหรอไม ถกตองหรอไม ความแขงแรงของ SSL? • รหสผานถกเกบอยางไร เปนรหสหรอเปนตวหนงสอธรรมดา (ดจากตอนทขอรหสผานใหมเมอลมรหส) • เวบไซตรองรบการใชฟงกชน Do Not Track หรอไม •คกก: ถกเกบอยางไร เกบอะไรบาง ===== การคมครองทางกฎหมาย ===== • บรษท/บรการนจดทะเบยนทไหน • เซรฟเวอรตงอยทไหน • ขอมลถกเกบไวทไหน ในคลาวด? • รองรบมาตรการ Notice and Take down หรอไม • มนโยบายใหใชชอจรงหรอไม • นโยบายการเกบขอมล: ขอมลถกเกบทไหน อยางไร ใครทเขาถงได สงตอใหเจาหนาทรฐหรอบคคลทสามหรอไม ขอมลอะไรทสงตอ

การประเมนความปลอดภยและความเปนสวนตวของบรการออนไลน

การประเมนความปลอดภยและความเปนสวนตวของบรการออนไลน

===== อนๆ ===== • มรายงานความโปรงใสหรอไม • ผใหบรการมจดตดตอทเปน “มนษย” • ใชเวลานานแคไหนในการตดตอ/ตอบค าถาม • หากมการเปลยนเจาของบรษท มนโยบายอยางไรตอขอมลทเกบไว • การใชภาษาทซอสตย ไมก ากวม จรงใจ “อานได” • มการแจงตอสาธารณะหรอไมเมอนโยบายเปลยนแปลง เปนระยะเวลาเทาใด ผใชมสวนรวมหรอไมอยางไร

1. มการเชอมตอแบบ HTTP Secure (HTTPS) หรอไม

2. กญแจการเขารหสมความยาว 256 บตหรอไม ความยาวของกญแจเขารหสมหนวยเปนบต ยงกญแจมความยาวมาก โอกาสทผบกรกจะคาดเดากญแจทถกตองกยงยากขนตามไปดวย ความยาวของกญแจทเปนมาตรฐานของอตสาหกรรมธนาคารในขณะนคอ 256 บต

3. แสดงนโยบายความเปนสวนตวชดเจนหรอไม ดจากการใชค าและต าแหนงทถกจดวางในเวบไซตวาสามารถเขาถงไดอยางไร

เกณฑทใชในการประเมน: ขนพนฐานทสด | ผใชทวไปตรวจสอบไดดวยตนเอง

1. หนวยงานของรฐ

พระราชบญญตขอมลขาวสารของทางราชการ พ.ศ. 2540 มาตรา 23 หนวยงานของรฐตองจดระบบขอมลขาวสารสวนบคคล รวมทงจดระบบรกษาความปลอดภยใหแกระบบขอมลขาวสารสวนบคคล ตามความเหมาะสม เพอปองกนมใหมการน าไปใชโดยไมเหมาะสมหรอเปนผลรายตอเจาของขอมลดวย

พระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ.2549 มาตรา 5 “หนวยงานของรฐตองจดท าแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ เพอใหการด าเนนการใดๆ ดวยวธการทางอเลกทรอนกสกบหนวยงานของรฐหรอโดยหนวยงานของรฐมความมนคงปลอดภยและเชอถอได”

2. ธนาคาร

ทกธนาคารเขารหสดวย HTTPS ใช SSL รน 3.0

ทกธนาคารจะมนโยบายความเปนสวนตว แตใชค าและจดวางในต าแหนงทแตกตางกน

เวบไซตธนาคารทใชค าวาความเปนสวนตว หรอ privacy วางอยในแถบดานลาง หนาแรกของเวบไซต

เวบไซตธนาคารทการคมครองขอมลสวนบคคลอยในหวขอนโยบายความปลอดภย ทวางอยในแถบดานลาง หนาแรกของเวบไซต

ธนาคารออนไลนทเปนบรการทางการเงน เกยวของกบพระราชกฤษฎกาวาดวยการควบคมดแลธรกจบรการการช าระเงนทางอเลกทรอนกส พ.ศ.2551 ในพระราชกฤษฎกานก าหนดใหผใหบรการช าระเงนทางอเลกทรอนกสตองปฏบตตามประกาศธนาคารแหงประเทศไทยท สรข. 3/2552 เรองนโยบายและมาตรการรกษาความมนคงปลอดภยทางระบบสารสนเทศ

3. คมนาคมขนสง

● เวบไซตสายการบนทงหมดมการเขารหส HTTPS และเขารหส SSL รน 3.0 ทงหมด

● แอรเอเชย เปนเวบเดยวทระบชดเจนวา นโยบายความเปนสวนตว ในหนาแรกของเวบไซต สวนเวบไซตอนๆ แทรกอยในนโยบายรกษาความปลอดภย ทแถบดานลาง หนาแรกของเวบไซต

● เวบนกแอรมนโยบายเกยวกบการคมครองขอมลสวนบคคลแทรกอยใน เงอนไขและขอก าหนด ทจะปรากฏใหเหนเฉพาะขนตอนเลอกเทยวบน

● ประกาศธนาคารแหงประเทศไทยท สรข. 3/2552 เรอง นโยบายและมาตรการการรกษาความมนคงปลอดภยทางระบบสารสนเทศ

3. คมนาคมขนสง

● บรการจองบตรโดยสารดวยรถประจ าทาง แตกตางจากบรการจ าหนายบตรโดยสารเครองบนตรงทผซอไมจ าเปนตองใสขอมลสวนตวของตนเองอยางละเอยด

● สวนใหญไมรบช าระเงนผานเวบไซต จงไมใหความส าคญกบการเขารหสขอมล และนโยบายความเปนสวนตวมากเทาทควร

4.สถาบนการศกษา: การรบสมครสอบเขามหาวทยาลย

● มหาวทยาลยพระจอมเกลา ธนบร และ

มหาวทยาลยสงขลานครนทรเทานน ทม

การเขารหสขอมลแบบ HTTPS

● ไมมมหาวทยาลยใดทมนโยบายความ

เปนสวนตวทชดเจนเลย

5.รานคาออนไลน

● เวบทาทเปนศนยกลางในการตดตอระหวางผซอกบผขาย ไมมการท าธรกรรมทางการเงนอเลกทรอนกส กระบวนการซอสนคาใชการโอนเงนนอกพนทเวบไซต

● มเพยงเวบตลาดดอทคอมทมการเขารหสแบบ HTTPS ซงอาจจะเกยวของกบการทเปนบรษทรวมทนกบบรษท Rakuten จากประเทศญปน

● นโยบายความเปนสวนตวสวนใหญจะไปปรากฏอยในหนาลงทะเบยนซงตองมการกรอกขอมลสวนตวอยางละเอยดของผใชบรการ ทนาสงเกตคอ เวบไซต Weloveshopping แมจะมนโยบายคมครองขอมลบคคลทแถบดานลางของหนาแรก แตเมอคลกเขาไปแลว กลบเชอมโยงไปทเวบอน

● กอนทจะซอสนคาในเวบคาปลกออนไลน ผใชบรการตองสมครสมาชก ตองกรอกขอมลสวนตวอยางละเอยดกอนทจะซอสนคาได ประเมนความปลอดภยในขนตอนการสมครสมาชกเทานน

● 80% ของเวบคาปลกออนไลนมการเขารหส HTTPS ในหนาลงทะเบยนสมครสมาชกเพอใชบรการ

● นโยบายความเปนสวนตวอยในหนาแรกของเวบไซต Lazada และ Zalora ซงอาจจะเกยวของกบการททงสองเวบนเปนบรษทขามชาต มสาขาหลายประเทศทมกฎหมายคมครองขอมลสวนบคคลแลว สวนเวบอนๆ ไมไดใชค าวานโยบายขอมลความเปนสวนตวโดยตรง แตเปนหวขอยอยทแทรกอยในขอตกลงการใชบรการในหนาลงทะเบยน

5.รานคาออนไลน

● ไมมเวบใดเลยทเขารหสในหนาทผใชตองกรอกขอมลสวนตว แตนาสนใจวาทกเวบมรายละเอยดของนโยบายความเปนสวนตว

6.สมครงาน

Next phase?

• ===== มาตรการทางเทคนค ===== • มการเขารหส SSL ส าหรบเนอหาหรอไม ถกตองหรอไม ความแขงแรงของ SSL? • รหสผานถกเกบอยางไร เปนรหสหรอเปนตวหนงสอธรรมดา (ดจากตอนทขอรหสผานใหมเมอลมรหส) • คกก: ถกเกบอยางไร เกบอะไรบาง • ===== การคมครองทางกฎหมาย ===== • บรษท/บรการนจดทะเบยนทไหน • เซรฟเวอรตงอยทไหน • ขอมลถกเกบไวทไหน ในคลาวด? • มนโยบายใหใชชอจรงหรอไม • นโยบายการเกบขอมล: ขอมลถกเกบทไหน อยางไร ใครทเขาถงได สงตอใหเจาหนาทรฐหรอบคคลทสามหรอไม

ขอมลอะไรทสงตอ • ===== อนๆ ===== • การใชภาษาทซอสตย ไมก ากวม จรงใจ “อานได”