Feature Article July 24, 2019
IT/ Digital
【網頁設計與保安】如何確保銀行金融機構網站的網絡安全
# Software Development, Web Development, Cyber Security Solution
金融機構不同於一般企業,需要處理大量敏感信息,金融機構對客戶資訊的保密性要求極高。因此金融機構網站要有非常高的保安規格。銀行、證券行、信貸公司等企業頁在選擇的網頁開發公司時必須要求相關服務商在網絡安全上有專業的知識和經驗,亦需要熟悉金融業的規例。
金融機構的網站必須按規則和標準來規範數據的隱私,有關規範網上運作的相關業務領域的第一個準則是支付卡數據安全標準(PCI DSS)。這是一個有關多方面,包括存儲,處理或傳輸支付卡持卡人數據的任何業務的要求的安全標準。
除了防火牆,入侵防禦和入侵檢測系統等網絡安全工作外,DDoS防禦系統能夠進一步提升銀行網絡安全水平,以增強對分散式阻斷服務攻擊(DDoS),並且在發生攻擊的第一波時,網站可以立即轉移和過濾上游流量,只向網絡發送非攻擊性的流量。

金融機構不同於一般企業,需要處理大量敏感信息,金融機構對客戶資訊的保密性要求極高。因此金融機構網站要有非常高的保安規格。銀行、證券行、信貸公司等企業頁在選擇的網頁開發公司時必須要求相關服務商在網絡安全上有專業的知識和經驗,亦需要熟悉金融業的規例。

以下是銀行、證券行、信貸公司在聘用網頁開發公司時,必須留意的要點:

 

支付卡數據安全標準(PCI DSS)

金融機構的網站必須按規則和標準來規範數據的隱私,有關規範網上運作的相關業務領域的第一個準則是支付卡數據安全標準(PCI DSS)。這是一個有關多方面,包括存儲,處理或傳輸支付卡持卡人數據的任何業務的要求的安全標準。銀行、證券行、信貸公司必須遵循標準去製作網站。 PCI DSS標準旨在幫助組織企業主動保護其客戶的信用卡信息。

 

虛擬專用伺服器(VPS)

使用虛擬專用伺服器VPS系統,金融企業能夠立即將銀行和信用合作社網站從一台伺服器轉移到到另一台伺服器而無需停機。另外在架設網站同時,網頁開發公司應確保有PLAN B,設立災難恢復數據中心,其中包含運行其網站所需的所有軟件。金融機構網站在其各自的虛擬專用伺服器內集群上進行託管和維護 ,而不是一般網站使用的共享的伺服器。

 

DDoS防禦系統

除了防火牆,入侵防禦和入侵檢測系統等網絡安全工作外,DDoS防禦系統能夠進一步提升銀行網絡安全水平,以增強對分散式阻斷服務攻擊(DDoS),並且在發生攻擊的第一波時,網站可以立即轉移和過濾上游流量,只向網絡發送非攻擊性的流量。簡單地說 - 這項技術為互聯網上的任何銀行或信用合作社提供最佳保護。此外,Attack ByPass系統允許網站選擇性地將客戶重定向到銀行網站。銀行可以使用自己的維護通知指定自動或靜態頁面重定向,在幾分鐘內阻止任何規模的攻擊。

 

網站架構安全性設計

  • CMS必須能支援長而複雜的密碼

  • 強制更改密碼,以便用戶定期更改密碼

  • 審核每個成功或失敗的登入

  • 準確分配權限,只分配所需的權限給每位CMS用戶

  • 限制用戶的IP位置

  • 使用專門為金融機構而設的Hosting設計,盡量減低被黑客入侵的風險

  • 銀行和信貸公司的CMS平台,安全是最重要的部分。避免使用WordPress,Joomla或其他容易被黑客入侵的平台

 

開發完善的CMS功能

  • CMS介面和架構必須為所有網站CMS用戶也能輕易學習使用

  • CMS設計必須為靈活度高,能方便設計網頁開發公司準備開發出所需要設計和功能(好的CMS設計應是能方便日後的功能擴展,而不是成為對網站功能建設的障礙)

  • 自動追踪對網站的更改和版本紀錄,自動儲存網站備份,使之更容易對比修改前後分別,甚至回復到更改前的版本。

  • 具備完善的流程管理系統,按管理層或審核員所需,他們可以在網站不同流程中進行審核和批核

  • 完全客製化的網頁設計,讓你的網頁設計公司能開發出你想要的網站和設計

  • 自動按既定時間表開啟或關閉你網站上的推廣活動,以減少員工的工作量

 

著重介面設計和用戶體驗

  • 響應式網頁設計 Responsive Design,加強手機的用戶體驗

  • 所有宣傳媒體上應保持品牌一致性,以便現有客戶和新客戶在到訪你的網站時,能立即認出你的品牌

  • 把網頁設計的部分從你的數據庫和業務核心分開,使你之後能不斷更新網頁的設計,無需每隔幾年又重寫整個網站一遍

  • 盡可能把你的網頁自動化,以避免網頁的內容重複。例如,從中央數據庫提取數據如利率,避免在不同系統中手動更新數據,因為這樣會使數據重複,甚至出錯。

  • 追踪你網站的Conversion Rate,你便可以衡量網站的表現和準確追踪你的KPI。

 

用戶體驗優化

試想像如果有一個支付平台在每次有人進行交易時都不會要求信用卡資料或CVV號碼,它能存儲數據甚至乎是在線交易密碼,使交易流程快上10倍。用戶肯定會喜歡它,但這樣的設計使之成為網絡安全的噩夢。這就是為什麼網絡安全性和用戶體驗如何成為反比關係。雖然在現實生活中的情景未必會如此的反差,但應用程序編碼人員和服務商必須平衡有關的風險。

 

網絡保安管理和網頁設計專家都嘗試將網站和APP應用程序推向簡單化和更易使用,編碼人員更難以通過用戶體驗更改來維護最高級別的安全協議。話雖如此,網站流程簡易化並不一定扣成網絡安全問題,問題是網頁設計公司需要有技術通過智能用戶行為基準策略來應對網絡安全問題。

 

網絡保安相關人員的人事管理

要僱用以至管理網絡保安人員,特別是應用程序保安人員,需要嚴僅的考核和篩選。好的 網絡保安人員需要有不同的思維方式,以有效作資源分配管至,以及察覺到其他一些可能會在常規業務活動以外會出現的風險。

 

事實上將整個網站保安工作外判給第三方服務提供商並不理想。因為這會難以確保第三方保安服務商能夠清楚了解網站系統的風險。而他們所聘用的員工也超出你的控制範圍。理想的保安工作應是合營模式,第三方服務提供商與金融企業共同合作管理。

 


你知道嗎?每10間就有7間公司為隨便找網頁設計製作公司卻貨不對辦而後悔

正在準備為你的項目找尋合適的網頁設計製作公司來開展你的營銷大計嗎? 來讓2Easy為你推薦吧. 這是完全免費的!

 

免費取得多個網頁設計製作公司製作商報價

 

 

 

成功、有持續盈利的網店取決於成本的控制和營銷策略。然而有很多其它因素亦會影響網店的盈利表現。以下會簡略網店不營利的一些常見原因。
Learn More
Progressive Web App | Most Important Web Tech Trend in Asia
Learn More
【科技券計劃】10大FAQ懶人包(2019最新Update!)
Learn More
【Mobile APP and Medical Institutions】 How can the mobile care industry apply mobile app in Singapore & Hong Kong?
Learn More
如何開發一個像Airbnb般風行世界的【共享經濟平台網站】?
Wait! Would you like to have an assistant to collect relevant quotations and speed up your procurement work for free?
Provide your email and we will assist for FREE.
No. I don't want to save time and don't need assistance.