安全架構及保障私隱由設計做起 – 網上應用程式的關鍵

香港電腦保安事故協調中心注意到一些敏感資料可以通過某體育賽事的網上申請系統被公開訪問。個人資料包括申請人姓名，部分的香港身份證號碼，地址及電話號碼已被洩露。

雖然在發現資料洩露後，有漏洞的網上系統已即時停止運作並得到修復，但這件事再次警示所有企業和網上應用程式開發人員保護網上應用程式及保護私隱的重要性。本中心再一次敦促所有企業應在其系統發展生命周期 (SDLC) 內採取「安全架構及保障私隱由設計做起 (Security and Privacy by Design)」措施，並遵循個人資料私隱專員公署<<六項保障資料原則>> 中的 原則四- 資料保安原則。

從這次事件中汲取經驗教訓，定期和早期的安全評估，識別和糾正安全漏洞，尤其是在系統發布之前，可以及早發現系統設計上的缺陷。數據加密並將敏感資料存儲在內部服務器中也是對任何網上應用程式的基本保護措施。

體育賽事申請者應小心留意可能出現的騙案，如發現個人資料被盜用及涉及詐騙等刑事罪行，應盡快報警求助。

如想了解更多有關網絡伺服器、網上應用程式和數據庫的伺服器保安方法，請參閱本中心發布的「網上應用程式安全指南」保安指引。

其他參考資料：

個人資料私隱專員公署的六項保障資料原則