https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

旅行社信用卡盜刷事件後續

2010 / 09 / 02
張維君
旅行社信用卡盜刷事件後續

旅行社「信用卡交易刷卡確認單」資料安全問題存在已久,這次雖然是雄獅爆發出來,但業界人士坦言,走一趟旅行社密集的松江路,搞不好很多大樓樓梯間都有成疊的刷卡確認單隨意堆棄在角落。

 

這次雄獅被盜刷的客戶信用卡資料,是經由傳真刷卡所留下。根據媒體報導,雄獅有採用商務傳真機,從系統後台可依業務員權限來做消費者資料的存取控管。也有些旅行社是將信用卡刷卡的專線傳真機放在財會室,只有財會人員才看得到。然而更多旅行社沒有資訊安全觀念,這些有著消費者個資、信用卡號等敏感的紙本刷卡資料最後未經妥善銷毀就被隨意處置。

 

線上刷卡比較安全

其實問題可以被避免,就是不要使用傳真刷卡,改用線上刷卡。目前,出國旅遊使用線上刷卡的比例還是遠低於傳真刷卡。一方面是上了年紀的民眾沒有上網習慣,或者急於出國使用傳真較快速等原因。然而也有部分旅行社考量線上刷卡手續費成本較高,而不直接建議消費者使用線上刷卡。從事旅行社資訊系統的科威資訊董事長陳明熙分析,如果是實體刷卡,一般旅行社會有好幾家銀行的刷卡機,看消費者持哪家信用卡就用哪家銀行刷卡機以減少手續費,但如果是線上刷卡就只會選擇一家收單銀行系統,因此旅行社較難降低手續費成本。

 

但對消費者而言,採用線上刷卡比較可以減少旅行社經手紙本資料的外洩風險,尤其目前線上刷卡除了有SSL傳輸加密外,也可選擇有信用卡3D驗證服務的網站,以降低被盜刷的風險。陳明熙建議,比較安全的作法是信用卡交易資料直接導到收單銀行的後端系統,旅行社資料庫不要保留消費者信用卡交易資料。然而,許多旅行社為了便於處理信用卡刷退作業,通常自己的系統也會留一份資料,這樣就又會增加外洩風險。這時必須確保一、資料庫中重要欄位需要加密,就算資料外洩被看到也是亂碼;二、做好系統存取權限控制,就算營運人員有業務上需求會看到這些資料,但也只能依系統權限,例如只能看不能另作其他動作。

 

雄獅旅行社在事件爆發後已將問題員工移送法辦,並強化內部管理措施。總經理孫明台受訪時表示,除了傳真刷卡,雄獅也有線上刷卡機制,而消費者的刷卡資料並沒有另存在自己的資料庫中,如果客戶要辦理刷退,都會重新取得消費者刷卡資料再來處理。然而他也坦言,系統機制做的再多,要防止內部人員存心竊取資料,還是需要從管理面著手,包括要求一線主管的管理監督職責,與員工簽訂保密協定等。

 

所以,對消費者來說,下次出國旅遊刷卡時,謹慎選擇線上刷卡機制較完善的網站比較可靠。