消费者隐私保护是我们工作的重中之重,信息泄漏可活动策划品牌能导致消费者受到恶意骚扰、欺诈、甚至引起人身安全风险。我们发现有些隐私信息泄漏是商家帐号泄露、设备中了木马、人员内鬼、日常管理不当等原因造成。作为商家,在数据安全方面同样需要负起应有的责任,希望商家与平台一起更好的保护店铺数据及消费者隐私数据安全,加强店铺日常安全运营,请仔细阅读学习以下内容。
为了更好保障消费者隐私信息,降低商家泄漏数据风险,淘宝网推出关于泄露他人信息新规。新规提出了会员在账号管理、内部管理、合作伙伴管理、系统安全等方面存在过失而导致他人信息泄露的场景,明确了商家端责任。对于商家的违规操作行为,平台也将予以相应处罚。
淘宝关于泄露他人信息规则:
https://rule.taobao.com/detail-515.htm?spm=a2177.7231205.0.0.550117eaoRjFqp&tag=self
天猫关于泄露他人信息规则:
https://rule.tmall.com/tdetail-11000245.htm?spm=a223k.10052707.0.0.671b496dWrc3zt&tag=self
案例1:假冒买家发送木马文件风险
某商家客服接到骗子旺旺消息,骗子伪装成正常买家和客服聊天,诱骗客服接收保存可疑文件(购买商品清单、调查表、报价表、库存表、商品图片、优惠条件包等),从而使商家电脑中木马病毒盗取用户交易信息,导致商家因泄露他人信息受平台处罚扣分。
案例2:QQ等社交群泄露风险
用户向商家反馈快递异常件信息,商家客服会私自通过快递网点QQ群等社交渠道咨询物流信息。由于QQ群名群号可被公开搜索,极易被黑产人员潜入。所以这类通过社交渠道沟通咨询相关异常件信息的行为,极易产生信息泄露。
案例3:商家员工内鬼泄露
1.恶意人员以利益诱惑商家员工“下水”,员工利用职务之便盗取订单信息(如订单查看、导出、三方应用等)出售获利;
小米掉包门危机公关
2.恶意人员通过上门应聘,应聘过程中或应聘成功后,作为“卧底”利用职务之便盗取订单信息或在商家电脑系统植入木马;
3.恶意人员以提供评价/售后服务名义,获取商家子帐号或应用权限,恶意获取订单信息;
4.商家合作的外包公司人员管理不善,存在内鬼人员恶意获取订单信息。
案例4:三方软件服务供应商等账号被盗用
1.商家或者三方软件服务供应商等账号密码设置有问题,比如密码过于简单、多个账号同密码等,导致账号被盗用,引起订单信息泄露;
2.员工之间借用和混用账户,或将账号给外包服务公司,导致账号被盗用,引起订单信息泄露;
3.员工离职后未删除其子账号,导致账号被恶意人员盗用,引起订单信息泄露。
-
不要接收任何陌生文件
-
使用官方聊天工具(旺旺/千牛),警惕买家要求使用QQ或其他官方之外的聊天工具进行沟通;
-
不要随意接收他人以购买商品清单、调查表、报价表、库存表、商品图片、优惠条件包等名义发送的压缩文件包。接收文件的电脑不登陆办公帐号及应用;
-
如果不小心接收了买家发来的文件,不要点击,比如陌生图片、表格、文档、压缩包文件等(提醒:图片文件绝对不可能是.EXE结尾),避免电脑或手机中木马;
-
请安装专业、正规的杀毒软件,安装千牛安全助手,保持杀毒软件自动更新,一旦出现有害信息,可以及时提醒和杀毒;
-
做好物流交易信息保护
-
疑似快递物流环节出现异常,联系快递公司反馈此事,同时通过淘宝网官方商家客服电话反馈此情况;
-
定期对运营、发货人员进行培训,在物流面单上,打印/填写的信息最小化,不要打印不必要的信息(比如淘宝订单编号、店铺名称、用户淘宝昵称、详细商品名称、商品型号等与订单相关的具体信息);
-
确保快递业务处理中(包括催单、改地址等)的用户隐私安全。禁止使用QQ群等社交群渠道,发送用户联系方式、地址等隐私信息。建议使用阿里官方工具及产品处理。
-
-
谨防“内鬼”和“假客服”
-
确保员工使用帐号,一人一帐号,独立电脑使用;
-
员工使用子帐号按实际工作需要,开启相关权限,特别是订单查看及导出权限(含订购三方应用帐号权限);
-
主帐号禁止多人共用,建议仅店铺负责人独立使用;
-
员工应聘须核实身份信息真实性,子帐号通过本人身份证实人认证后再给予使用电脑及帐号。新人如有需要使用电脑或帐号,须有人员监督;
-
员工使用电脑离开工位时要求锁屏;
-
因业务需要导出的订单信息文件,须妥善管理,用完删除;
-
选择外包公司慎重,不要选择不明人员主动联系提供的服务(慎选个人服务),建议在服务市场上选择服务优质、员工管理规范的外包公司。
-
密码设置安全加固
-
账户密码设置长度8到20位,使用英文字母大小写加数字加特殊字符的组合,不要有规律可循,例如Tdvt0586、84#5sDrj此类组合密码等;
-
不使用简易组合,并检查之前使用密码是否包含此类情况,例如将密码设置为888888,123456,aa123456等此类密码,此类密码切记请勿设置;
-
密码不与任何公开信息设置一致,例如淘宝账号为:taobao,请勿将密码设置为taobao;如果联系电话为:85020000,请勿将密码设置为:85020000;
-
主账号与子账号每周定期更改账户密码;密码设置须复杂组合,防止密码被盗;
-
不同的账户之间须设置不同的密码,避免一个账号密码被盗影响大量账号风险,千万不要将阿里旺旺、邮箱、QQ等工具密码设置成相同的组合;
-
账号内容为公司及个人的隐私资料,请勿泄露给他人,同时不要在电脑上以表格或文档存储账户、密码等隐私信息,以免电脑被入侵或他人在电脑上操作时,容易造成信息泄露。
-
账号安全加固
-
商家须建立店铺所有账户的权限管理机制,按照员工工作岗位职责配置对应的管理权限,特别注意在敏感信息方面须加强防控,员工赋予的账户权限不宜为最大权限,需按层级、岗位职责等维度合理分配;
-
商家须坚决杜绝员工之间借用账户和混用账户行为,分配子账户,做到一人一账户;
-
谨慎使用外包或者外包IT服务,请不要将子账户给予公司外部人员;否则一旦出现问题,将会造成牵连损失,如“导出订单”、“查看订单详情”、“淘客应用登录”、“物流发货管理”等权限必须使用,则需要针对对应子账号开通安全验证;
-
所有子账号使用前须先做实人认证,并确认已绑定手机再给到员工使用;
-
员工离职后立即删除其子账号,并对历史账号进行检查,如发现还有未删除子账号立即删除;员工转岗后删除原来的子账号权限,并根据新岗位赋予对应新权限;
-
慎用线下第三方软件(非官方服务市场应用),更谨慎将这类应用授权外部人员使用,如“打单发货软件”、“订单管理软件”,避免通过三方软件恶意获取订单信息。尽量使用官方推荐商家服务(https://fuwu.taobao.com) 。
-
办公电脑安全加固
-
检查千牛常更新,把千牛更新到最新版本,安全更有保障;
-
及时升级浏览器和操作系统,及时下载安装相应补丁程序;
-
安装正版的杀毒软件、防火墙,并及时更新杀毒软件、防火墙;
-
在安全的登录环境下上网,不使用公共免费WiFi;
-
不浏览不明网页,不使用不明软件,聊天时不透露会员隐私信息、订单及账户等相关信息;
-
勿接收不明文件,如日常工作有接收文件需要,将接收文件电脑与办公帐号登录及订单应用软件使用电脑分开。避免因接收文件中木马导致帐号及软件被恶意利用引起信息泄漏。
-
订单数据存储安全
-
订单数据涉及到买家隐私信息,请勿上传到各类网盘空间;
-
对于已上传到网盘上的订单数据,请及时删除或设置密码;
-
订单数据本地电脑存储建议对文件进行加密。
-
关注御城河商家数据保镖(h什么叫危机公关哪家好是什ttps://eco.alibaba.com/)
-
设置添加安全联系人,最多支持2个子帐号及主帐号登陆及风险接收,可设置短信、旺旺、邮件多渠道接收店铺整体风险整改;
-
及时处理风险整改项;
-
日常关注店铺订单访问情况,发现异常,及时调查处理;
-
日常关注店铺账号管理,对账号异常登录、高危权限帐号等,进行及时处理。
|