跨境电商多年经营一夜归零,数据安全风险究竟如何做?

报道 4天前
跨境电商多年经营一夜归零,数据安全风险究竟如何做?

今年以来,以往跨境电商行业对数据安全和数据合规的忽视渐渐暴露了出来。2021年5月,网络安全专家SafetyDetectives发现了一个开放的AWS ElasticSearch数据库,该数据库的服务器位于中国,其中大量涉及虚假评论的店铺和买家账号,约20万至25万人的私密信息泄露。

这一数据库也被视为今年亚马逊封店潮的开端,受“刷单”等问题牵连,不少亚马逊大卖店铺被封,账户和货物被封,甚至还有的企业破产。直到现在,这场风波远没有结束。伴随着众多亚马逊店铺被封,跨境电商企业布局独立站也渐成趋势。

那么,跨境电商的IT究竟应该如何做?在这方面,Akamai有着多年的经验。Akamai 为全球的大型企业提供安全的数字化体验。Akamai的智能边缘平台涵盖了从企业到云端的一切,从而确保客户及其公司获得快速、智能且安全的体验。全球优秀品牌依靠 Akamai敏捷的解决方案扩展其多云架构的功能,从而获得竞争优势。Akamai使决策、应用程序和体验更贴近用户,来帮助用户远离攻击和威胁。Akamai一系列的边缘安全、Web和移动性能、企业访问和视频交付解决方案均由优质客户服务、分析和全天候监控提供支持。

9月3日,志象网联合Akamai,邀请了普华永道中天会计师事务所合伙人姜敏、Fanslink CTO 肖钦旋、Akamai高级技师顾问吴赟共同探讨数据合规。

忽视数据安全会带来哪些风险?

活动中,姜敏首先介绍了号称史上最严的数据安全保护法GDPR对企业数据的要求,此外,姜敏介绍道,GDPR只是针对欧盟成员国,俄罗斯也早在 2015 年出台个人数据法,加拿大、日本、澳洲、新加坡包括印度在2019年出台了非常严格的个人数据保护法。

那么出海企业是否受到上述法律法规的管辖呢?姜敏以GDPR为例指出,凡是接触到了欧盟居民的个人数据采集应用,根据属人原则,那么便被纳入了GDPR的管辖范围当中,而在欧盟内设有业务的机构和组织,根据属地原则,也受到了GDPR的管辖。对跨境电商行业来说,对依托亚马逊的平台卖家而言,这一平台已经提供了数据脱敏等服务,但对独立站而言,数据跨境就带来了巨大的挑战,无论数据从海外传输回国内,还是国内传输到海外,接收和发送国家的法律法规可能都会涉及。

姜敏和吴赟在分享中都指出,一旦忽视数据合规,企业便可能遭受巨大的风险。在分享中,吴赟提及的数据显示,截止到 2020 年,欧盟数据保护当局就开出了超过 200 多张罚单,其中违法行为包括像非法监视员工、对用户数据处理不当以及未采取到位的技术措施以避免数据泄露等等。而迄今为止最大的一笔罚单罚款金额高达 1.83 亿英镑,折合人民币多达15.8亿元。

除罚金带来的损失外,姜敏还指出,数据合规问题可能会带来归零风险,最典型的案例便是2020年印度政府下架众多中国App。2019年,印度政府出台了个人数据保护法,自2020生效后,数百款来自中国的应用被印度政府以数据安全为名下架,其中不少是国内头部的跨境电商企业,在这一事件中,其中一款全球运营的跨境电商企业蒙受的损失相对较小,而专注于印度市场的跨境电商企业则遭受了致命的打击。

数据安全如何做?

随着海外消费购物的线上化,跨境电商的布局也越来越依赖于线上运营和系统的IT架构,以为消费者更好的进行服务。

如肖钦旋所在的Fanslink已经完成了销售运营、财务、物流、仓储的数字化,做到了订单自动化流转、价格库存、中央管控、全局同步、财务数据实时更新等,整个系统的核心是中控系统,包括了订单管理、库存管理、产品管理、客户管理、财务管理、客服服务、售后管理、智能预测、销售分析等功能模块,未来Fanslink还将打通和国内供应链的系统。

在这过程中,产生和传输大量的数据无可避免。那么,对跨境电商尤其是在海外布局独立站的企业,究竟如何做才符合海外数据安全法律法规的要求?普华永道中天会计师事务所合伙人姜敏和Akamai高级技师顾问吴赟分别从不同角度给出了自己的解决方案。

姜敏指出,从数据收集开始,就需要根据后端使用数据的应用场景,来征得用户的同意,如有数据会分享给第三方的情形,也需要向用户告知,让用户进行选择,是否同意使用他的数据,而在服务过程中,需要向用户提供退出的选项。

吴赟从技术层面也给出了不同的方案来帮助跨境电商企业对数据进行防护。她提出,独立站应用数据很大一部分是做营销,或者设法提高转化率和营收,那么跨境电商还需要去思考网站和App的用户体验,如网页加载的时间超过3 秒,用户跳出率可以多达60%,那么购物季和黑5 即将到来,独立站还需要考虑平台容量,是不是足够支撑大规模的流量或者是用户的并发。

此外,吴赟还建议,跨境电商需要做好的这种网络安全其实是层级防护。不仅仅本身数据资产的保护,从数据的获取、加密然后存储传输等方面以及第三方脚本的漏洞和账户的爬虫撞库攻击等方面网络安全防护。

她注意到,海外消费转移到线上的同时,网络攻击的数量也越来越多,方式也越来越复杂,有两个方面的安全问题容易被忽视。一方面是供应链安全,主要就是针对于三方脚本的防护,跨境电商的官网所使用的第三方脚本可以轻而易举地达到60%到70%。从Akamai的经验来看,对第三方脚本的防护通常有几种方式,比如内容安全策略白名单、仿真测试扫描、访问控制沙盒以及应用内检测。吴赟推荐采用应用内检测的方式,Akamai的PIM解决方案便通过监控页面所有交互的敏感数据,给脚本加以防护。另一方面则是账户安全,电商和零售行业目前已经是撞库攻击的重灾区,需要针对撞库攻击和账户接管攻击进行防护。账户防护需要具备将爬虫防护和人为用户分析风险评分相结合的方式,尽可能地减少账户接管攻击所带来的信息泄露风险。

如需了解全球优秀品牌信赖Akamai的原因,请访问www.akamai.com 或 blogs.akamai.com ,或者扫描下方二维码关注我们的微信公众号。您可访问www.akamai.com/locations,寻找全球联系信息。