信用卡已经成为人们日常生活中不可或缺的一张卡,出门必带。然而,在最近的信用卡支付系统安全国际测试中,包括
加拿大税务局、
加拿大皇家骑警、
加拿大统计局在内的17个联邦部门及机构的信用卡支付安全性却未能达标。
总的来说,在银行系统授权接受公民和其他人的信用卡付款的34个联邦机构中,有一半的机构安全性不合规,这些不合格者可能会被罚款,甚至吊销他们接受信用卡和借记卡支付的能力。
据悉,这些机构都没有达到2006年推出的全球数据安全标准,该标准旨在阻止欺诈艺术家和犯罪黑客企图窃取信用卡和借记卡的名称,数字和代码。
6月7日的一份简报表示“部门数据库的安全违规将会对政府的声誉以及公众的信任造成严重影响,从而对政府的管理职能产生长期的影响。相关不达标部门可能会受到罚款,更换卡的费用或进行昂贵的司法审计。此外,支付处理商可能会暂停和撤销接受支付卡的特权,或增加交易处理费。”
另一方面,目前,这17个机构在Visa, MasterCard, Amex, Tokyo-based JCB以及中国银联卡的付款测试中尚未存在已知的违规行为。
主要的罪魁祸首究竟是谁
CBC根据Access to Information Act,从
加拿大公共服务和采购部(PSPC)副部长处获得了一份简报。
文件显示,主要的罪魁祸首是
加拿大共享服务公司(SSC)。SSC是成立于2011年的联邦IT机构,主要为17个不合规机构中的13个机构运营和维护数据系统。在13个未达到信用卡安全标准的SSC客户中,有11家表示该机构本身目前并没有解决安全问题。
公共服务部向SSC的IT安全性网络负责人的一封信中表示“根据最新消息,SSC支持的13个部门在信用卡支付安全方面都是不合规的,其中有11个部门表示SSC的IT系统方面的问题是最大的因素。因此,我们需要了解SSC打算如何帮助这些不合规的部门”。
未通过信用卡安全检查的机构有:
加拿大卫生部,RCMP,
加拿大工业部,
加拿大运输部,国家研究理事会,
加拿大边境服务局,
加拿大自然资源部,移民难民和公民部,
加拿大统计局,渔业和海洋部,
加拿大税务局,
加拿大食品检验局,
加拿大图书档案馆。所有这些部门全都依赖于SSC的IT。
另外不合规的4个部门:议会图书馆,国防部,
加拿大国家电影局,
加拿大职业健康与安全中心,则是靠自己内部的IT系统安全负责。
全球标准称为PCI DSS,全称为Payment Card Industry Data Security Standards(支付卡行业数据安全标准),由五家大型信用卡公司联合建立。联邦部门必须每年对标准进行自我评估。
PSPC发言人Rania Haddad说:“据我们所知,目前没有存在任何问题,也没有任何部门因不遵守规定而撤销其特权。如果独立安全评估员[TELUS]提出任何中度或高度隐私风险的担忧,PSPC将考虑撤销支付卡的特权。但迄今为止没有发出此类信号,也没有任何部门撤销其特权。”
SSC的一位发言人Monika Mazur则将部分责任归咎于其在2011年接手的700多个小型数据中心。Monika Mazur表示,SSC已经关闭了其中155个中心并建立了三个现代化数据中心,但仍在努力应对衰老和低效的传统数据处理系统。“我们已确定约有12%至15%的申请不符合安全标准,我们正在努力与客户解决问题。此外,
加拿大共享服务部门还在协调漏洞扫描和渗透测试,以进一步提高持卡人数据的合规性和安全性。”
数据泄露需要数月才能发现
电信公司Verizon在2018年发表的一份全球报告称,68%的数据泄露事件需要数个月才能发现,并且通常是由第三方首先报告的。
安省Kingston的皇后大学的数据专家将PCI DSS标准称为“有限工具”(limited instrument)和“钝工具”(blunt tool)。
计算机学院的一位教授David Skillicorn表示“这是一种介于有用和安全之间的标准之一,我认为政府部门应该遵守的标准要比这个高得多,所以没有理由不符合标准” 。