暗网潜航——「赏你住」现安全隐忧
庞博文
2021-04-19 04:16 HKT
字体大小
旅发局推出的「赏你住」酒店住宿优惠反应非常踊跃,本是一件好事,但笔者却听到一个令人感到不安的状况。
于正常情况下,客人预订酒店需要登记个人资料和信用卡,但有部份人收到酒店电邮,除了收集订房个人资料外,也要求客人交付保证金,同时需要客人在电邮内填上信用卡「持卡者姓名」、「卡号」、「到期日」及「安全认证码」,作为交付保证金依据。
问题是信用卡背面的「安全认证码」,是用作证实付款人在付款时,使用该信用卡避免被盗窃或诈骗发生,只有持卡人可知晓,任何接受信用卡付款的商户,都不应该对这个「安全认证码」储存。
而且不但「安全认证码」不应被储存,任何信用卡资料也不应在没有「点对点加密」的情况下进行传输。这些酒店不但违反信用卡安全标准要求,同时把客户财务及私隐资料,放置于一个不安全的传输及储存环境下。
笔者强烈建议旅发局应关注参与计划酒店,是否有设置适当客户财务及私隐数据安全保护,而酒店的收单机构或在香港区域的发卡机构,亦应注意以免发生大规模信用卡被盗或资料泄漏。
酒店管理人员应该向收单机构及发卡机构,查询或到支付卡产业安全标准协会阅读信用卡安全标准规定。笔者建议一般市民在交付保证金时,千万不要在电邮内填上「安全认证码」,以保障信用卡安全。
TOZ联合创办人
庞博文
于正常情况下,客人预订酒店需要登记个人资料和信用卡,但有部份人收到酒店电邮,除了收集订房个人资料外,也要求客人交付保证金,同时需要客人在电邮内填上信用卡「持卡者姓名」、「卡号」、「到期日」及「安全认证码」,作为交付保证金依据。
问题是信用卡背面的「安全认证码」,是用作证实付款人在付款时,使用该信用卡避免被盗窃或诈骗发生,只有持卡人可知晓,任何接受信用卡付款的商户,都不应该对这个「安全认证码」储存。
而且不但「安全认证码」不应被储存,任何信用卡资料也不应在没有「点对点加密」的情况下进行传输。这些酒店不但违反信用卡安全标准要求,同时把客户财务及私隐资料,放置于一个不安全的传输及储存环境下。
笔者强烈建议旅发局应关注参与计划酒店,是否有设置适当客户财务及私隐数据安全保护,而酒店的收单机构或在香港区域的发卡机构,亦应注意以免发生大规模信用卡被盗或资料泄漏。
酒店管理人员应该向收单机构及发卡机构,查询或到支付卡产业安全标准协会阅读信用卡安全标准规定。笔者建议一般市民在交付保证金时,千万不要在电邮内填上「安全认证码」,以保障信用卡安全。
TOZ联合创办人
庞博文
更多文章