暗网潜航——保护信用卡(上)
庞博文
2021-09-06 04:17 HKT
字体大小
笔者近日收到不少朋友讯息,想了解日常生活中应如何保护信用卡免被盗取。这两期会向大家解说作为支付卡安全审计师进行审计时,怎样查找收卡商户可能出现的信用卡被盗取风险。根据信用卡安全法规PCI DSS把收卡商户情况分成两类,分别是「实体卡支付」及「非实体卡支付」。
「实体卡支付」是当持卡人出示物理信用卡供收卡商户当面进行交易。绝大部份情况是商户只使用读卡机把晶片插进或无线读取,要保护自己的信用卡免被盗取先要理解信用卡上的资料。信用卡正面的资料包括信用卡号码、持有人姓名、信用卡到期日子,收卡商户可以收集这些资料,但16位元的信用卡号码只可以收集前6后4的号码,若商户收集整个信用卡号码便属违规。此外,商户如以电子方法储存的商户POS机必须要加密。
信用卡背面最重要资料是CVV2的密码,常用于网上交易认证授权,所有实体商户基本上完全用不上这个密码。获得这个密码便可以在任何电子系统上授权使用这张信用卡,所以绝对不容许收卡商户储存。如果商户透过电话或电邮要求持卡人透露CVV2,甚至以笔录或商户的系统记录信用卡的任何资料都是违规。正确程序是商户使用银行提供的读卡机在持卡人面前,进行晶片插进或无线读取进行授权交易,商户员工绝对不可以把信用卡带离持卡人视线范围,以避免信用卡号码、磁带及CVV2被人复制。
下星期再跟大家说说「非实体卡支付」注意事项。
TOZ联合创办人
庞博文
「实体卡支付」是当持卡人出示物理信用卡供收卡商户当面进行交易。绝大部份情况是商户只使用读卡机把晶片插进或无线读取,要保护自己的信用卡免被盗取先要理解信用卡上的资料。信用卡正面的资料包括信用卡号码、持有人姓名、信用卡到期日子,收卡商户可以收集这些资料,但16位元的信用卡号码只可以收集前6后4的号码,若商户收集整个信用卡号码便属违规。此外,商户如以电子方法储存的商户POS机必须要加密。
信用卡背面最重要资料是CVV2的密码,常用于网上交易认证授权,所有实体商户基本上完全用不上这个密码。获得这个密码便可以在任何电子系统上授权使用这张信用卡,所以绝对不容许收卡商户储存。如果商户透过电话或电邮要求持卡人透露CVV2,甚至以笔录或商户的系统记录信用卡的任何资料都是违规。正确程序是商户使用银行提供的读卡机在持卡人面前,进行晶片插进或无线读取进行授权交易,商户员工绝对不可以把信用卡带离持卡人视线范围,以避免信用卡号码、磁带及CVV2被人复制。
下星期再跟大家说说「非实体卡支付」注意事项。
TOZ联合创办人
庞博文
最Hit
更多文章