電商個資保護與資安
電商知識庫

客人資料放官網安全嗎?
2026 電商個資保護與資安檢查完整指南

2026-05-21 閱讀約 7 分鐘 資安 · 個資法 · ISO 27001
30 秒看懂核心答案

安全與否取決於三層防護:SSL(傳輸加密)、平台 ISO 27001(伺服器與流程)、你自己的權限管理(誰能進後台)。三層到位,比自架還安全。

「萬一被駭、資料外洩,我會不會被告?」這是品牌主要開官網前的常見憂慮。答案是:只要選對平台、做好基本設定,這個風險其實比想像中低。但有些事情你必須主動知道。

這篇文章把「個資法的要求、平台應該做什麼、你自己該做什麼」三層責任攤開來,照著做就能安心。

個資法對電商有哪些底線?

三件事必做:

  • 明確告知:收集前要說明用途(出貨、客服、行銷等)
  • 隱私權政策頁:官網必須有,內容須符合個資法第 8 條
  • 同意機制:行銷用途要單獨勾選,不能預設打勾

多數本土開店平台已內建合規模板,賣家只要填好品牌資訊就符合。

客人的信用卡資料到底放哪?

合規的電商平台會用「金流跳轉」或「Token 化」處理卡號:客人輸入卡號的瞬間,資料直接送到銀行或第三方金流(綠界、藍新等),完全不經過你的伺服器。你後台只看得到末四碼與授權結果。

這也是 PCI DSS(國際信用卡資料安全標準)的要求。一個合規的平台應該自帶這個機制,不需要你額外設定。

紅旗訊號: 如果某個平台讓你能在後台看到客戶完整卡號,那是極嚴重的合規問題,應該立即停止使用。正常的電商系統絕對不會這樣設計。

自架站與 SaaS 平台的資安差在哪?

資安項目 自架站 SaaS 平台
伺服器漏洞修補 自己處理 平台統一
SSL 憑證 自己申請 內建
防火牆與 WAF 自己設定 內建
入侵偵測 需第三方 平台監控
備份 自己排程 每日自動
ISO 27001 認證 需自費取得 平台已有
出事責任歸屬 完全自負 平台共同承擔

你自己該做哪些「最小保護」?

即使平台幫你做了大部分,賣家自己仍有三件事必須做:

  • 強密碼 + 二階段驗證:避免被暴力破解
  • 權限分級:員工不要全部給管理員權限
  • 離職員工帳號立即停用:這是內部資料外洩最常見原因

萬一真的不幸發生外洩怎麼辦?

四步驟處理(個資法第 12 條):

  • 立即查明事件範圍與影響當事人
  • 採取補救措施(停權、改密碼、強化監控)
  • 「適當方式」通知受影響的客人
  • 必要時通報主管機關
Shopto — ISO 27001 認證的本土電商平台
NT$24,800 / 年起
ISO 27001 資安管理認證
SSL 憑證、防火牆、WAF 全內建
PCI DSS 規範金流跳轉,卡號不留伺服器
個資法合規隱私權政策範本
每日自動備份、入侵偵測 24/7
管理員權限分級、二階段驗證

常見問題 FAQ

Q 開官網收客人資料合法嗎?
A 合法但要符合個資法。三必做:明確告知收集目的、提供隱私權政策、不得擅自移作他用。
Q 客人的信用卡資料會存我的官網嗎?
A 不會。合規平台會把卡號交由銀行或第三方金流處理,後台只看得到末四碼。
Q 資料外洩會有什麼後果?
A 個資法每位受害者可請求 500–20,000 元賠償,主管機關裁罰 5–50 萬元。最大損失是品牌信任的永久損傷。
Q 自架與 SaaS 哪個安全?
A 一般情況下 SaaS 更安全。除非有專屬資安團隊,否則 SaaS 是中小品牌的安全基本盤。
Q 我需要 ISO 27001 嗎?
A 小品牌不一定自己取得,但建議選擇已通過 ISO 27001 的平台,等於借用平台的安全防護。

給每一位重視客戶信任的品牌

資安不是自己扛,是選對平台。
14 天免費試用,不需要信用卡。

免費試用 14 天 預約顧問諮詢
回到電商知識庫
👋 需要幫忙嗎?歡迎線上諮詢!
×
線上客服 ×

請填寫以下資訊,以便我們為您服務。