旅行社信用卡盜刷事件後續

旅行社「信用卡交易刷卡確認單」資料安全問題存在已久，這次雖然是雄獅爆發出來，但業界人士坦言，走一趟旅行社密集的松江路，搞不好很多大樓樓梯間都有成疊的刷卡確認單隨意堆棄在角落。

這次雄獅被盜刷的客戶信用卡資料，是經由傳真刷卡所留下。根據媒體報導，雄獅有採用商務傳真機，從系統後台可依業務員權限來做消費者資料的存取控管。也有些旅行社是將信用卡刷卡的專線傳真機放在財會室，只有財會人員才看得到。然而更多旅行社沒有資訊安全觀念，這些有著消費者個資、信用卡號等敏感的紙本刷卡資料最後未經妥善銷毀就被隨意處置。

線上刷卡比較安全

其實問題可以被避免，就是不要使用傳真刷卡，改用線上刷卡。目前，出國旅遊使用線上刷卡的比例還是遠低於傳真刷卡。一方面是上了年紀的民眾沒有上網習慣，或者急於出國使用傳真較快速等原因。然而也有部分旅行社考量線上刷卡手續費成本較高，而不直接建議消費者使用線上刷卡。從事旅行社資訊系統的科威資訊董事長陳明熙分析，如果是實體刷卡，一般旅行社會有好幾家銀行的刷卡機，看消費者持哪家信用卡就用哪家銀行刷卡機以減少手續費，但如果是線上刷卡就只會選擇一家收單銀行系統，因此旅行社較難降低手續費成本。

但對消費者而言，採用線上刷卡比較可以減少旅行社經手紙本資料的外洩風險，尤其目前線上刷卡除了有SSL傳輸加密外，也可選擇有信用卡3D驗證服務的網站，以降低被盜刷的風險。陳明熙建議，比較安全的作法是信用卡交易資料直接導到收單銀行的後端系統，旅行社資料庫不要保留消費者信用卡交易資料。然而，許多旅行社為了便於處理信用卡刷退作業，通常自己的系統也會留一份資料，這樣就又會增加外洩風險。這時必須確保一、資料庫中重要欄位需要加密，就算資料外洩被看到也是亂碼；二、做好系統存取權限控制，就算營運人員有業務上需求會看到這些資料，但也只能依系統權限，例如只能看不能另作其他動作。

雄獅旅行社在事件爆發後已將問題員工移送法辦，並強化內部管理措施。總經理孫明台受訪時表示，除了傳真刷卡，雄獅也有線上刷卡機制，而消費者的刷卡資料並沒有另存在自己的資料庫中，如果客戶要辦理刷退，都會重新取得消費者刷卡資料再來處理。然而他也坦言，系統機制做的再多，要防止內部人員存心竊取資料，還是需要從管理面著手，包括要求一線主管的管理監督職責，與員工簽訂保密協定等。