國內網購交易個資外洩問題嚴重,近期國外則是信用卡出了狀況。德國大眾銀行及萊夫艾森銀行聯邦協會(BVR)對外表示,因西班牙某公司企圖盜取德國客戶的個資,銀行緊急回收10 萬張信用卡,以杜絕資料被偷的危險。
為達成信用卡服務安全無虞的目標,VISA近期宣布針對收單金融機構的全球性規定,要求收單機構確保商店及其委外機構要符合支付卡產業(PCI,Payment Card Industry)的支付應用資料安全標準(PA-DSS,Payment Application Data Security Standard),內容包含不可儲存機密的卡片資料。
亞太地區的VISA金融機構必須在2012年7月1日以前,現有商店及其委外機構也使用符合規定的支付軟體程式。VISA台灣區總經理麻少華呼籲,網路商店採用多重網路安全機制,包括符合PCI DSS的應用軟體及「VISA驗證。「VISA驗證」是VISA與MasterCard國際組織所驗證的安全購物機制,藉購物時確認持卡人身份,來提高網路交易的安全性。目前國內已有多家銀行為防範網路個資外洩配合VISA提供民眾Verified by VISA註冊平台。
但據國內已經通過PCI認證的金流通路業者綠界科技(Green World)王總經理分析,目前市面上通過PCI的PA-DSS認證金流通路業者少之又少,即便是沒有通過的金流通路商也仍照常營運,他說:「台灣法規在這塊沒有硬性規定,無論有沒有通過認證的標準VISA也僅能對金融機構提罰,若發生信用卡個資外洩問題,基於發卡業績壓力金融機構很難再對商店要求,因此通常銀行端會自行吸收VISA罰款。」換言之,從發卡單位到金流通路商若沒有通過PCI安全認證,照樣可以用VISA,這之間的模糊地帶,有待主管機關正視。
PCI機構提出PA-DSS構建和維護安全網路的12點認證標準:
1.安裝並且維護防火牆以保護持卡人資料
2.避免使用供應商提供的默認系統口令和其他安全參數
3.保護存儲的持卡人資料
4.加密開放/公共網路上的持卡人資料傳輸
5.使用定期升級的防病毒軟體或電腦程式
6.開發並維護安全的系統和應用
7.根據業務需要限制對持卡人資料的訪問
8.為每一個具有電腦訪問許可權的用戶分配唯一的ID
9.限制對於持卡人資料的物理訪問
10.追蹤並監控對網路資源和持卡人資料的所有訪問
11.定期測試安全系統和流程
12.維護一個策略用以向員工和合同商傳達資訊安全