Những khuyến nghị của OTA trong tài liệu công bố kết quả đánh giá website của các ứng viên tranh cử tổng thống Hoa Kỳ có thể là những bài học kinh nghiệm rất tốt cho các wesite tại Việt Nam.
Trong một cuộc đánh giá về an toàn thông tin và bảo vệ quyền riêng tư do Online Trust Alliance (OTA) thực hiện năm 2016 (kết quả được công bố ngày 18/9/2015), 17/23 website của các ứng viên tranh cử tổng thống Hoa Kỳ không vượt qua ngưỡng trung bình. Tuy có kết quả tương đối tốt về mặt bảo mật nhưng các website đó đều có vấn đề trong việc bảo vệ quyền riêng tư của khách. 4 website không công bố chính sách về bảo vệ quyền riêng tư – điều này có thể vi phạm rất nhiều quy định của Liên bang và các bang. Nhiều website khác không công bố đủ chi tiết về chính sách bảo vệ quyền riêng tư (15 website). Một số website giữ quyền chia sẻ hay bán thông tin định danh cá nhân (bao gồm địa chỉ, số điện thoại, tên công ty nơi làm việc và thậm chí cả số hộ chiếu) của khách hàng và những người quyên góp tiền ủng hộ.
Tuy được đánh giá tốt về công tác an toàn thông tin nhưng website của các ứng viên vẫn còn nhiều thiếu sót. Gần một nửa trong số các website được đăng ký tên miền một cách bí mật. OTA khuyến nghị nên công bố rõ người sở hữu tên miền để đảm bảo tính minh bạch, tránh trường hợp tội phạm đăng ký những tên miền tương tự để lừa đảo.
Những khuyến nghị của OTA trong tài liệu công bố kết quả đánh giá website của các ứng viên tranh cử tổng thống Hoa Kỳ có thể là những bài học kinh nghiệm rất tốt cho các wesite tại Việt Nam.
Về bảo vệ tính riêng tư:
- Các website nên có chính sách bảo vệ quyền riêng tư ngắn gọn, viết bằng nhiều ngôn ngữ (tiếng Việt và tiếng Anh), chia mục để dễ đọc và viết một cách dễ hiểu;
- Chính sách bảo vệ quyền riêng tư cần được ghi rõ ngày và được lưu trữ các bản cũ sau khi cập nhật;
- Nên đặt liên kết tới chính sách bảo vệ quyền riêng tư ở phần cuối của mỗi trang;
- Hạn chế chia sẻ dữ liệu, chỉ chia sẻ với các bên thứ ba khi cần thiết;
- Cho phép người dùng huỷ đăng ký nhận thư và xoá dữ liệu của họ khỏi cơ sở dữ liệu;
- Tôn trọng thiết lập “Do Not Track” của trình duyệt. Sử dụng các giải pháp TMS/PS để quản lý các đối tác thứ ba và đảm bảo họ cũng tôn trọng thiết lập “Do Not Track”;
- Có kế hoạch ứng phó với các sự cố rò rỉ dữ liệu.
Vấn đề bảo vệ người dùng:
- Nên triển khai SPF (Sender Policy Framework) và DKIM (DomainKeys Identified Mail) cho các tên miền mức cao nhất và những tên miền con chính được nhìn thấy trên website hay được dùng cho thư điện tử, kể cả những tên miền được quản lý bởi nhà cung cấp dịch vụ thư điện tử bên ngoài;
- Nên triển khai DMARC (Domain-based Message Authentication, Reporting and Conformance) cho tất cả các tên miền thích hợp để bảo vệ người dùng và nhân viên;
- Nên áp dụng OpportunisticTLS để mã hoá thư điện tử trên đường truyền trong những trường hợp có thể được;
- Nên khoá tên miền để tránh bị thay đổi bởi những đối tượng không có thẩm quyền;
- Nên triển khai DNSSEC.
Vấn đề an toàn thông tin:
- Nên tối ưu hoá cách triển khai SSL cho máy chủ (kiểm tra điểm đánh giá của máy chủ qua tiện ích của trang Qualys SSL Labs để biết những điểm cần hoàn thiện).
- Nên sử dụng chứng chỉ EV SSL;
- Nên áp dụng Always On SSL (dùng giao thức HTTPS cho tất cả các trang của website thay vì chỉ dùng tại các trang đăng nhập, giao dịch) để bảo vệ người dùng tốt hơn và giúp tăng điểm của website trong hệ thống đánh giá của Google – khiến website dễ được người dùng tìm thấy hơn;
- Nên sử dụng Web Application Firewall để chặn những kiểu tấn công XSS và SQL injection phổ biến;
- Nên dò quét website và các nội dung do bên thứ ba cung cấp để phát hiện các liên kết độc hại, các kiểu lợi dụng iFrame, mã độc và quảng cáo độc hại.
