【專訪】澳門生產力暨科技轉移中心昨日舉辦「個人資料保護法與PCI—DSS信用卡行業數據安全標準」研討會。信息安全專家及香港大學專業進修學院港大附屬學院講師龐博文提醒市民注意信用卡支付安全,舉例「攜程泄密」事件就是一個例子,他呼籲市民,若一商企違規保存客戶敏感信息如CVV碼等,肯定是不值得相信和進行消費的。
研討會昨日一三時舉行,由個人資料辦公室與龐博文主講。中心副理事長莫苑梨表示,電子用品及電子化服務的應用日漸廣泛和普及,所連帶引發活動和程序處理涉及大量的用戶個人資料。正如我們所知,個人資料須依法受到保護,資訊安全必須嚴正面對,並且採取有效的管理機制。
推行資訊安全系統,在風險管理方面,可更好地改善機構的安全環境及大大降低資訊交易發生問題的機率,與此同時,又可增強服務對象和合作夥伴對機構的信心及滿意度。為應對網絡安全風險激增,世界各國政府意識到網上交易的關鍵性,企業及銀行須不斷加強對電子資料的保障。PCI安全標準協會發表了PCI資料安全標準3.0,要求企業加強對授權人員的身份認證,令客戶資料得到更可靠的保障。PCI-DSS可作為推動保護個人資料的實務參考,對於不是處理支付卡產業或處理持卡人資料的企業而言,可以借用參照其要求規範,對應於個人資料保護法的要求,而得到基礎的保障。
龐博文歸納多數信用卡外洩發生原因,不外乎是企業員工缺乏安全意識、認證管理不良、業務環境中的其他管理方法仍然未能有效整合、缺乏有效率的自我檢測、惡意軟體仍然存在於企業的高風險操作環境中、缺乏一致性基準的安全評估方法等種種原因。
他指出,信用卡竊盜集團技術已日趨成熟、危害甚大,建議澳門企業需要保持長期抗戰的決心與具備信用卡安全的相關知識,如PCI DSS 3.0便是信用卡安全之國際標準。
PCI DSS是為了保護持卡人資料及交易安全所請定的支付卡資料安全標準,用來規範支付卡相關資料儲存、處理、交換等作業所需遵行的安全原則,不僅內容整合了目前國際各項ISO標準之外,更考慮到實務運作上的挑戰,因而一直推陳出新,如去年底才剛推出的PCI DSS 3.0版本就是更加著重在人員的安全意識等,不僅具有國際安全標準視野,更同時帶入了企業經驗。
龐博文補充,根據過往經驗,DDoS攻擊同時也是信用卡盜竊手法當中一的個重要徵兆,並且也容易被企業忽略,世界盃足球賽季即將到來,電子商務與娛樂產業正處於高風險時期。
據他所知,澳門博企和大型公司更有用相關設置,但仍應推廣,他呼籲市民留意新聞信息,如「攜程泄密」事件,當中的保存信用卡,CVV碼造成的危害。◇
留言