电子商务的蓬勃发展,引发了对对网络安全认证服务的需求,在美国已有VeriSign,BBB Online,TRUSTe等多家机构提供不同种类的认证服务。 美国境内从事网站安全认证业务的机构相当多,其中最重要的就是VeriSign,BBB Online,TRUST。e等三个单位。 1、 VeriSign的安全认证服务
VeriSign公司是由RSA Security公司衍生出来的(spin-off),RSA Security公司是目前世界上最重要的资讯安全技术的开发公司,它所开发出来的RSA SecureID及RSABSAFE两套网路传输安全技术已被公认为世界性的标准。以RSA BSAFE为例,估计全球已有超过四亿五千万套安装在现存的网路浏览器,电子商务伺服器,系统,虚拟个人路(VPN)内回转支承选型计算
(1999年底的数据)。RSA Security公司负责底层技术的开发,VeriSign公司做加处理,两家公司维持著非常重要的伙伴关系。 VeriSign所提供的安全认证服务种类非常多,其中与网站安全认证有关的主要有两种:Global Si
te Service及Secure Site Service,这两中安全认证的主要差异在SSL的加密机制等级不同。Global Site Service提供的是128位元的加密,Secure Site Service则提供40位元的加密。根据RSA Security公司的实验室研究,128位元的SSL加密,如果使用目前的破解技术,需要花一兆年以上的时间才能破解,所以是十分安全的,主要用在金融相关行业的资料传输上;而40位元的SSL加密,实验室已传出在经过相当时间后,可以破解,但这需要最顶级的设备及人力来进行,所以一般而言仍算是十分安全的。
VeriSign公司可说是目前全世界最重要的网站安全认证机构,为了突显本身的高规格安全等级,并消除使用者的疑虑,该公司特别委请国际五大会计师事务所之一的KPMG对该公司安全服务进行查核。查核的过程根据美国会计师协会(AICPA)所发布的审计准则公报(SAS)第70号进行,该号准则专门规范会计师对提供信性服务的团体或机构进行认证(To certify trusted practice)。截至目前为止,网站安全认证机构中,只有VeriSign公司通过了SAS 70号的严格查核标准。VeriSign全球安全网站认证标章属于VeriSign® SSL服务的一部分。 SSL 可協助您提供一種既安全又方便的方法,讓客戶能夠透過網際網路與您互SSL可协助您提供一种既安全又方便的方法,让客户能够透过网际网路与您互动。 當您在網站上顯示VeriSign 全球安全網站認證標章時,客戶將會認可這個網際網路上最受信任的安全標記,從而獲得與您完成交易的信心。当您在网站上显示VeriSign全球安全网站认证标章时,客户将会认可这个网际网路上最受信任的安全标记,从而获得与您完成交易的信心。 2、 BBB Online的认证服务
BBB Online是由美国Better Business Bureau(BBB)竹粉这个全国性的中小企业组织所成立的网站安全认证机构,它所提供的认证服务有Reliability Seal, Privacy Seal, Kids' Privacy Seal等三种。
三种认证标章中,Reliability Seal是BBB Online最重要的服务项目,截至五月底,已经发出了近五千份。要取得Reliability Seal,电子商务网站必须至少已经运作一年以上,且必须加入地区性的BBB组织(由于BBB在名称上就强调Better Business所以加入该组织的企业已经经过了基本的筛选),asp程序符合该组织所规范的行销准则,提供快速的消费者申诉反应服务及商务仲裁约定。 Privacy Seal 及 Kids' Privacy Seal是比较晚推出的服务项目,这两种标章都是强调拥有该标章的网站对交易过程中所取得的消费者个人资料会尽到保密的义务。
BBB Online所提供的三种认证服务项目,都是属于安全宣示性质,不像VeriSign透过本身的资讯技术可实质提供资料传输过程的加密功能。
BBB Online是以法律(隐私权),技术(internet and intranet),财务(徵信)及三相异步电动机论文user friendly(交易安
全资讯透明化)为基础,参酌国际相关网路安全组织所订定之准则,研拟一套网路安全评鉴标准,授予加入且愿意遵守Secure Online规章及评鉴合格的网站。
3、 TRUST.e的认证服务
TRUST.e是一个以保护消费者在网路上的隐私权为宗旨的非营利机构,它所提供的认证服务有TRUST.e Program及Children's Privacy Seal Program两种这两种标章都是强调对消费者隐私权的保护,其中Children's Privacy Seal特别强调对1岁以下的儿童隐私权的保护。要取得TRUST.e的标章,网站必须完整揭露0集消费者个人资料的方式及其保护措施(须符合TRUST.e的标准);若网站是以儿童为诉求对象,须额外强调儿童输入资料须有父母同意的说明文字,并且须通知父母及取得父母的同意函(通常以email方式进行),才能进行资料的0集或交易行为,符合这些规定,才能取得Children's Privacy Seal。 因为TRUST.e是网路上第一个以保护隐私权为诉求的认证组织,而隐私权的保护又是网路上极重要的问题,因此TRUST.e的标章广受网站及消费者欢迎,maped截至本年底,已经发出了一千多个认证标章,比BBB Online的Privacy Seal要多的多。
TRUST.e的认证服务与BBB Online的认证服务一样都是宣示性质,消费者可透过网站上的标
章超连结到TRUST.e的认证伺服器,取得认证资料,但无实质的资料传输加密功能。
从eTrade网页上可看到该公司取得的认证标志不只一种,除了TRUST.e之外,还有後述的WebTrust认证标章。因为每一种认证标章的内涵并不相同,消费者对不同标章的认知也有异所以网站同时取得不同认证组织的标章,已经成为一种普遍的现象。
WebTrust的认证内涵:
WebTrust是一项相当完整的认证服务,它包含了对网站的资讯系统,资讯及交易安全,企经营实务的完整稽核,并且会发出一份稽核报告给管理当局。而前述的其他认证服务中,VeriSign只重视网站的确实存在及资料传输的加密,BBBOnline只重视网站的确实存及宣示性质的可靠性,TRUST.e只重视网站的确实存在及隐私权的保障,相较之下,由会计师所做的WebTrust廉洁修身论文认证服务过程就繁复,详尽多了。 WebTrust是一项植基於VeriSign的「伺服器数位凭证」服务之上的加值型认证务。AICPA,CICA与VeriSign公司策略结盟,利VeriSign公司的科技优势(目前市面上所使用的浏览器中98%均内建了VeriSign的根节点公开金钥(root key),能自动识别VeriSign签发的数位凭证),让会计师的稽核结果可透过VeriSign的「伺服器数位凭证」认证系统以超连结方式做线上即时认证。
网路安全认证业务,正随著电子企业家数的急速增加而不断加入争食大饼的竞争者。网站经营者在衡量成本效益后,多半认为购买认证标章的效益大于成本,所以有认证标章的网站也越来越普遍。 在众多的安全认证机构中,如何选择适合本身需求的认证机构及服务项目,是每个网站必须仔细评估的。在本文所列举的认证机构中,VeriSign是最重要的认证服务提供者,全球已经有超过265,000个网站伺服器购买了它的「伺服器数位凭证」服务,但它提供的安全认证广度及深度都不足,所以VeriSign公司也与许多相关机构结盟推出加值型的认证服务,其中最重要的就是WebTrust会计师认证服务。 基不同认证标章代表不同的消费者认知,许多网站在评估过成本效益后,选择购买两个或以上的认证服务,以强化网站在消费者心中的信心度。在这些被重复购买的认证服务中,VeriSign,BBB Online,TRUST.e等三者常以不同组合的方式同时出现在美国的电子商务网站上,显现它们彼此间既竞争又互补的态势。
三者的区别在于BBB Online及TRUST.e分别强调网站的可靠度(Reliability)及对隐(Privacy)的保护,但都是属于宣示的性质;VeriSign则透过资讯科技的运用,强调有VeriSign标章的网站,消费者在传输个人机密资料给网站伺服器时,传输过程可受到SSL(Secure SocketLayer)加密的保护,具有实质的安全防护功能,因此VeriSign的安全标章最受到消费者的肯定。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议