愛心協會服務商網軟遭駭事件有後續消息,資料庫信用卡卡號等個資未加密,也未符PCI DSS認證。
>>未符個資安維措施,難以個資法29條證明無過失,無法免責。
>>非公務機關個資保護安維辦法上路後,希望外洩事件可以逐年減少。
去年7月底到8月,國內爆發假冒多個愛心捐款協會的詐騙案,當時iThome首先追查到是背後的資訊服務商網軟遭駭,該公司在8月3日向客戶(愛心協會)表示遭駭,相隔一段時間後,他們也已發布資安公告,特別的是,最近這起事件有了後續消息,根據天下雜誌的報導,警方指出外洩的資料包括:捐款人姓名、住址、電子郵件、聯繫電話、捐款方案、財務狀況,且資料庫並未加密,甚至,該公司有接受紙本信用卡扣款授權書,並會登打到系統,但公司卻沒有遵循PCI DSS及認證,同時,公益團體使用該公司服務卻也不曾注意。目前,網軟已決定不儲存卡號與處理紙本刷卡授權書,但被駭範圍仍無法確定,已外洩的個資可能達6萬筆。此事件也突顯非營利組織(NGO)本身特性,可能與企業不同的狀況,政府、科技大廠如何提供幫助也將成為議題。
來源:
https://www.ithome.com.tw/news/148740
https://www.cw.com.tw/article/5119624
PCI DSS 概觀
支付卡行業 (PCI) 資料安全標準 (DSS) 是一個全球資訊安全性標準,旨在透過進一步控制信用卡資料來防止詐欺行為。 任何規模的組織在接受來自五大信用卡品牌 (Visa、MasterCard、American Express、Discover 及 Japan Credit Bureau (JCB)) 的付款卡時,都必須遵循 PCI DSS 標準。 任何儲存、處理或傳輸付款和持卡人資料的組織皆需符合 PCI DSS 規範。
https://docs.microsoft.com/zh-tw/compliance/regulatory/offering-pci-dss
沒有留言:
張貼留言