9. Quản lý truyền thông và vận hành
9.9.1. Thương mại điện tử
Biện pháp quản lý
Thông tin trong thương mại điện tử truyền qua các mạng công cộng cần được bảo vệ khỏi các hoạt động gian lận, các tranh cãi về giao kèo, sửa đổi và tiết lộ trái phép.
Hướng dẫn triển khai
Cần quan tâm đến vấn đề về an toàn sau trong thương mại điện tử:
a) xác định mức độ tin cậy mà mỗi bên yêu cầu bên kia, ví dụ thông qua xác thực;
b) quy trình cấp phép liên quan đến người được phép định giá, ban hành hoặc ký các văn bản thương mại quan trọng;
c) chắc chắn rằng các đối tác thương mại đã được thông báo đầy đủ về quyền của họ;
d) xác định và tuân theo các yêu cầu về bảo mật, toàn vẹn, xác minh việc gửi và nhận các tài liệu quan trọng, và không thể chối bỏ các bản hợp đồng, ví dụ các bản hợp đồng liên quan đến các quá trình bỏ thầu và ký hợp đồng;
e) mức tin cậy được yêu cầu về tính toàn vẹn của các bảng giá được công bố; f) tính bí mật của thông tin và dữ liệu nhạy cảm;
g) tính bí mật và tính toàn vẹn của các giao dịch đặt hàng, thông tin về thanh toán, chi tiết về địa chỉ giao hàng, và xác nhận của người nhận hàng;
i) lựa chọn hình thức thanh toán phù hợp nhất nhằm bảo vệ chống gian lận;
j) mức bảo vệ được yêu cầu nhằm duy trì tính bí mật và tính toàn vẹn của thông tin đặt hàng; k) tránh mất mát hoặc sao chép thông tin giao dịch;
l) trách nhiệm pháp lý liên quan đến các giao dịch lừa đảo; m) các yêu cầu về bảo hiểm
Rất nhiều trong số các vấn đề trên có thể được giải quyết nếu áp dụng các kỹ thuật mật mã (xem 11.3), lưu ý tuân thủ các yêu cầu pháp lý (xem 14.1, đặc biệt là 14.1.6 về luật mật mã hóa).
Các hoạt động thương mại điện tử giữa các bên cần được hỗ trợ bằng một văn bản thỏa thuận có các điều khoản thỏa thuận về thương mại ký giữa các bên, văn bản này chứa các chi tiết về cấp phép (xem ở trên), có thể cần thêm các thỏa thuận khác với các nhà cung cấp mạng giá trị gia tăng và dịch vụ thông tin.
Các hệ thống thương mại công cộng cần công khai các điều khoản về giao dịch với khách hàng. Cần lưu ý tới khả năng phục hồi sau tấn công của các máy chủ được sử dụng cho thương mại điện tử và các vấn đề an toàn của kết nối mạng được yêu cầu cho triển khai các dịch vụ thương mại điện tử (xem 10.4.6).
Thông tin khác
Thương mại điện tử thường bị đe dọa bởi những mối đe dọa từ các hoạt động gian lận, các tranh cãi về giao kèo, tiết lộ hoặc sửa đổi thông tin.
Thương mại điện tử có thể sử dụng các phương pháp xác thực an toàn, ví dụ sử dụng mật mã khóa công khai và chữ ký số (xem thêm 11.3) nhằm giảm các rủi ro. Ngoài ra, có thể sử dụng các bên thứ ba đủ tin cậy nếu có các yêu cầu về dịch vụ.