傳真刷卡惹的禍！ 雄獅員工盜刷客戶信用卡

現代社會講求方便快速，愈來愈多交易接受傳真刷卡的付款方式，但企業控管程序若不夠嚴謹，客戶個人資料隨時有外洩的風險。

日前，雄獅旅行社爆發員工盜刷客戶信用卡事件，某宮姓員工利用職務之便與內部控管的疏忽，盜取客戶傳真至公司的「信用卡交易刷卡確認單」資料，取得發卡銀行、卡別、信用卡卡號、有效日期、及卡片背面3位數授權碼，在網路上盜刷客戶卡片，再將所購得的商品轉賣牟利。

根據媒體報導，雄獅原本的傳真刷卡機制是，透過商務傳真機，消費者傳真刷卡確認單後，資料會直接進到電腦系統中各業務員的專屬資料夾，該資料夾已加密、有權限者才能存取。然而，部份業務員沒有嚴格執行此機制，導致客戶刷卡單進到沒有加密的公用資料夾，也讓宮姓員工有機可乘。

對此，雄獅旅行社表示已將該名員工報警送辦，並嚴格要求員工與客戶之間必須多輸入一組密碼，也就是客戶必須輸入欲傳真的分機號碼才能傳送資料，以免相同的情況再次發生。但除了增加輸入密碼的機制外，雄獅應該思考的還有兩件事：

第一、如何落實安全控管機制：

雄獅發言人提及，部份業務員沒有確切落實安全機制才導致事件發生，這代表著無論安全機制設計的好或不好，有沒有藉助IT工具的力量來落實，才是重點。畢竟一個好的機制仍然要有IT工具輔助落實才能發揮效果，像日本NTT Data經歷二次資料外事件後，最大體認就是光有好的資安政策還不夠，必須搭配IT工具才能強制落實。

第二、做好員工管理：

據指出，宮姓嫌犯乃是因為負債百萬才鋌而走險，檢視歷年來員工偷竊公司資料的新聞事件，當中不乏因為自身財務困境而犯案，因此，企業如何做好員工管理，如何掌握員工生活的異常狀況，給予關切及協助，進而降低內部員工竊取資料的風險，或許是人資部門應該思考的課題。

其實，許多人都以為駭客一直在網路上伺機而動，採用線上刷卡來付款，資料很可能落入駭客手裡，與之相比，傳真刷卡似乎比較沒有風險，但實際上卻非如此，某線上刷卡公司指出，線上刷卡資料經過SSL加密直接傳送到銀行後台，駭客其實不容易破解，但是傳真刷卡資料卻沒有嚴格的加密機制，人人看得到、人人都有可能成為資料竊取者。當然，這不代表線上刷卡機制沒有內賊風險，針對擁有最高權限的系統管理者，企業也得規劃一套稽核制度，才能避免其藉職務之便竊取客戶個資。

最後，提醒所有提供傳真刷卡機制的企業，應該重新檢視作業流程，避免控管疏忽，新版個資法通過，俟其正式上路後，企業要面對的不再只是與銀行協商免除客戶盜刷損失，可能還有來自消費者的提告與民刑事罰責，企業主不可不慎。