2016.04.17
新聞聯絡:立法會議員 葛珮帆女士(9031 7995)、香港資訊及系統保安專業人員協會顧問 龐博文先生 (3188 5750)
1. 信用卡保安風險
無論是在實體店鋪消費,還是網上交易,信用卡都已成為常見付款方式,但是它帶來方便之餘,亦隱含保安風險,去年10月金管局便發現多間銀行逾百萬張非接觸式信用卡隱藏資料外洩的風險,要求更換。立法會議員葛珮帆,聯同香港資訊及系統保安專業人員協會顧問龐博文視察商戶發現,上述事件可能只屬冰山一角,市民日常以信用卡消費,可能已不知不覺蒙受資料外洩的風險。
2. 零售系統未能支援晶片的安全等級
葛珮帆及龐博文指出,市面上的信用卡已普遍安裝晶片,如果商戶使用新型信用卡系統讀取信用卡晶片,晶片資料會直接傳送至信用卡公司,而不會儲存於商戶系統上,信用卡公司的資訊保安系統通常遠勝於商戶,所以用戶資料外洩的機會較低。然而,香港不少商戶,例如知名的書局、服裝店、戲院、快餐店、酒店、船務公司、保險公司等,仍然使用過時的信用卡系統,或者使用有欠安全的服務手法,協助客戶以信用卡付款,常見問題如下:
問題一 讀取信用卡磁帶
不少商戶仍然使用過時的信用卡系統,需要滑動信用卡磁帶,讀取磁帶上資料,才能完成交易,這種做法會令信用卡資料儲存於商戶系統上,萬一商戶系統被駭客入侵,用戶資料便可能外洩。國際上類似事件絕不罕見,由2011年至2016年,Sony PlayStation Network、Target、Sally Beauty、Goodwill、Forbes Staples、HomeDepot、凱悅酒店集團等知名商戶都曾被駭客攻擊而外洩大量客戶的信用卡資料,可見如果商戶的資訊系統有欠健全,客戶的信用卡資料是得不到充分保障的。
問題二 壓印信用卡
任何人只要有齊一張信用卡的信用卡號碼、到期日、持卡人姓名、安全驗證碼,就算不持有信用卡,都有機會能夠在網上以這張信用卡付款消費,而壓印信用卡正正提供了一個方式集齊這些資料,令客戶蒙受被盜用信用卡的風險。
問題三 在客戶視線範圍外「碌卡」
部分商戶職員收取客戶的信用卡後,會到客戶的視線範圍外「碌卡」,與壓印信用卡的問題一樣,這樣也提供了一個方式集齊信用卡的信用卡號碼、到期日、持卡人姓名、安全驗證碼等資料,令客戶蒙受被盜用信用卡的風險。
3. 改善建議
葛珮帆及龐博文表示不方便透露有問題商戶的名稱,但公眾日常消費只要留意上述問題,自然會發現該等商戶,為了讓消費者使用信用卡付款時,個人資料得到更佳保障,葛珮帆及龐博文建議如下:
市民方面
1.日常以信用卡消費時,留意上述問題,遇有懷疑即與職員溝通,並改以現金等其他方式 付款。
2.避免讓商戶職員將信用卡拿到視線範圍以外,遇有懷疑即與職員溝通,並改以現金等其 他方式付款。
3.避免讓商戶職員壓印信用卡,遇有懷疑即與職員溝通,並改以現金等其他方式付款。
4.以纖維膠布覆蓋信用卡磁帶,即可避免磁帶資料被讀取。
5.留意信用卡賬單有否未經授權交易。
6.在現行制度下,信用卡持有人毋須為未授權交易承擔損失,市民萬一發現被盜用信用 卡,應立即通知銀行及發卡機構,並向警方舉報。
商戶方面
1.儘快更新信用卡系統並培訓員工,以讀取信用卡晶片的方式協助客戶付款。
2.安裝妥善的資訊保安系統,並為員工制定資訊保安指引。
3.培訓及要求員工,不應將客戶信用卡拿到客戶視線範圍以外。
4.培訓及要求員工,不應壓印客戶的信用卡。
5.培訓及要求員工,不應以讀取信用卡磁帶的方式協助客戶付款。
6.從事網上交易的商戶,應為以信用卡付款的客戶制定「雙重認證」保障,例如以發送手 機信息的方式要求客戶確認交易。
7.萬一發現客戶資料外洩,應立即向當局舉報,並通知受影響客戶。
政府方面
1.要求商戶更新信用卡系統,以及培訓員工,以妥善方式協助客戶付款。
2.要求商戶採用妥善的資訊保安系統及指引,處理客戶資料。
3.加強宣傳,提升社會各界對信用卡的保安意識。
4.確保執法機關有足夠資源及人手,防範及偵查科技罪行。
5.密切留意最近犯案手法及相關科技發展,確保執法能力與時並進。