現代社會講求方便快速,愈來愈多交易接受傳真刷卡的付款方式,但企業控管程序若不夠嚴謹,客戶個人資料隨時有外洩的風險。
日前,雄獅旅行社爆發員工盜刷客戶信用卡事件,某宮姓員工利用職務之便與內部控管的疏忽,盜取客戶傳真至公司的「信用卡交易刷卡確認單」資料,取得發卡銀行、卡別、信用卡卡號、有效日期、及卡片背面3位數授權碼,在網路上盜刷客戶卡片,再將所購得的商品轉賣牟利。
根據媒體報導,雄獅原本的傳真刷卡機制是,透過商務傳真機,消費者傳真刷卡確認單後,資料會直接進到電腦系統中各業務員的專屬資料夾,該資料夾已加密、有權限者才能存取。然而,部份業務員沒有嚴格執行此機制,導致客戶刷卡單進到沒有加密的公用資料夾,也讓宮姓員工有機可乘。
對此,雄獅旅行社表示已將該名員工報警送辦,並嚴格要求員工與客戶之間必須多輸入一組密碼,也就是客戶必須輸入欲傳真的分機號碼才能傳送資料,以免相同的情況再次發生。但除了增加輸入密碼的機制外,雄獅應該思考的還有兩件事:
第一、如何落實安全控管機制:
雄獅發言人提及,部份業務員沒有確切落實安全機制才導致事件發生,這代表著無論安全機制設計的好或不好,有沒有藉助IT工具的力量來落實,才是重點。畢竟一個好的機制仍然要有IT工具輔助落實才能發揮效果,像日本NTT Data經歷二次資料外事件後,最大體認就是光有好的資安政策還不夠,必須搭配IT工具才能強制落實。
第二、做好員工管理:
據指出,宮姓嫌犯乃是因為負債百萬才鋌而走險,檢視歷年來員工偷竊公司資料的新聞事件,當中不乏因為自身財務困境而犯案,因此,企業如何做好員工管理,如何掌握員工生活的異常狀況,給予關切及協助,進而降低內部員工竊取資料的風險,或許是人資部門應該思考的課題。
其實,許多人都以為駭客一直在網路上伺機而動,採用線上刷卡來付款,資料很可能落入駭客手裡,與之相比,傳真刷卡似乎比較沒有風險,但實際上卻非如此,某線上刷卡公司指出,線上刷卡資料經過SSL加密直接傳送到銀行後台,駭客其實不容易破解,但是傳真刷卡資料卻沒有嚴格的加密機制,人人看得到、人人都有可能成為資料竊取者。當然,這不代表線上刷卡機制沒有內賊風險,針對擁有最高權限的系統管理者,企業也得規劃一套稽核制度,才能避免其藉職務之便竊取客戶個資。
最後,提醒所有提供傳真刷卡機制的企業,應該重新檢視作業流程,避免控管疏忽,新版個資法通過,俟其正式上路後,企業要面對的不再只是與銀行協商免除客戶盜刷損失,可能還有來自消費者的提告與民刑事罰責,企業主不可不慎。
資安人科技網