关于美国信用卡资料外泄事件的分析及建议

发布时间：2005年10月26日点击数： 作者：《中国信用卡》 来源：本站原创

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:

一、事件的基本情况

2005年6月17日，万事达卡国际信用卡公司证实，一家美国的信用卡第三方服务公司（CardSystems Solutions ，Inc.,Tucson，Arizona）遭到黑客攻击，导致该公司存储的自2004年8月1日至2005年5月27日发生交易的约4000多万张信用卡账户信息可能被窃取。这是截止目前美国最大的信用卡资料外泄事件。

根据CardSystems公司公布的资料，黑客是通过一种类似于电脑病毒的脚本程序侵入CardSystems公司的电脑系统，使包括持卡人姓名、发卡机构和信用卡号在内的信用卡磁道信息以及卡片校验码2（CVC2） 受到威胁。美国联邦调查局已经介入事件调查，目前已有6.8万个账户信息可能被用于欺诈，多数为非面对面的欺诈交易，这些卡号多涉及美国的发卡银行，交易地点波及美国、英国、加拿大、直布罗陀等国家和地区的商户。

二、国际信用卡公司及国内商业银行对该事件采取的措施

万事达卡针对该事件采取的措施有：一是向成员机构发送风险提示，介绍事件基本情况，通报已采取的行动，报送涉案卡号及相关时间范围内的交易信息；二是要求相关发卡机构尽快联系可能已遭欺诈的持卡人，核查账户及交易记录；三是建议相关成员机构对涉案卡号进行标记；四是聘请数据安全公司负责对CardSystems公司电脑系统实地取证分析，敦促其实施补救系统缺陷的计划。接下来可能采取的措施包括：要求相关发卡机构对涉案账户换发新卡，对仍保留的信用卡账户进行监控；调查责任方数据信息管理是否存在违规情况，根据规定进行处罚；要求责任方承担换卡和账户监控费用；将责任方信息录入"Global Security Bulletin"以示警告。

VISA也采取了类似的措施。VISA和万事达卡均特别强调，"资料外泄"与"账户盗用"并无直接因果关系。因为VISA、万事达卡设置的许多其他防伪措施，可防范资料外泄事件后欺诈的发生。

事件发生后，国内主要商业银行迅速与从VISA、万事达卡等跨国信用卡公司索取可能受影响的持卡人名单，并采取以下具体措施：一是在第一时间联系持卡人，通报有关情况并免费换发新卡；二是通过对账单提醒持卡人注意防范；三是积极与国际信用卡公司沟通，跟踪事态进展，随时准备采取进一步措施。

三、此类事件对中国银行卡产业的影响及启示

鉴于此类事件的巨大影响，人们不禁要问：在中国使用银行卡是否安全？笔者认为，目前此类事件在中国大规模发生的可能性不大，其原因在于：首先，目前中国银行卡市场第三方收单服务刚刚开始，相关信息由主要的收单机构掌握，大大降低了信息外泄的风险。其次，中国的银行卡交易大部分是通过密码校验完成的，密码通过密文方式传输，可有效防止银行卡的盗用。最后，信息泄漏后往往通过非面对面交易实现欺诈，但中国目前网上交易等非面对面交易的规模不大，客观上也限制了大规模欺诈发生的可能性。总体来说，在中国使用银行卡的安全是有保障的。

尽管此次事件对国内银行卡的影响非常有限，但此类事件的教训及对防范措施的研究，对于国内银行卡产业不断强化与提升信息安全管理水平有着非常重要的意义。此类事件对中国银行卡产业的启示，可以从以下几个方面分析：

1.分析、评估银行卡交易环节的风险

本次信息泄漏事件实际上是美国银行卡交易体系内CardSystems公司这个交易环节上出现问题，导致了整个体系内交易信息的泄漏。而同样的情况是否会发生在国内呢？

我国银行卡交易体系参与方，包括银行卡组织、发卡机构、收单机构、第三方专业化服务机构等。具体说来是：

一是银行卡组织，指提供银行卡跨行信息交换和清算服务的组织；二是发卡机构，指通过银行卡网络开展银行卡发卡业务的金融机构，其业务范围包括发展持卡人、发行银行卡、交易处理及清分、为持卡人账户提供授权和结算、交易后的对账查询和差错处理等；三是收单机构，指与特约商户签约，并向商户承诺付款的金融机构，其业务范围包括发展商户、POS机具布放和维护、交易处理及交易单据清分、为商户受理银行卡提供授权和结算、交易后的对账查询和差错处理、监控收单交易等，其中特约商户是指加入银行卡交易支付网络、受理网络内银行卡，并向持卡人提供相应产品或服务的实体；四是第三方专业化服务机构，指接受发卡机构或收单机构委托，从事银行卡收单或发卡业务中，除信息交换业务以外非核心业务的自主经营、自负盈亏的法人企业。

上述各参与方以及各方之间的连接构成了整个银行卡交易网络，其中任何一个环节出现问题，都有可能造成交易信息的泄漏。因此，银行卡业界应根据国内银行卡交易网络特点，在制定账户信息及数据安全相关风险管理规则的基础上，加强落实相关安全管理规则，将交易信息的失密风险纳入银行卡风险管理体系，并且不断改进风险的识别、判断、评估和控制手段，构建完整、全面的银行卡账户信息及交易数据安全管理体系。

2.借鉴国际信用卡公司对相关责任方的处罚措施

在处理事件过程中，万事达卡、VISA等国际信用卡公司根据相应处罚机制，对造成信息泄漏的责任方以及对不遵守账户与交易数据安全管理要求的责任方进行了处罚。

根据万事达卡的相关规定，对违规操作的责任方应按所违反的条款处以高达10万美元/条的罚款；如果在此期间内，仍发现违反其他条款规定的情况，可征收最高50万美元的处罚；另外，如果责任方未按相关要求，履行事件发生后应承担的义务，应按每天2.5万美元的标准对其进行罚款，直到采取相应的措施。同时，万事达卡还赋予受害方（如涉嫌信息泄漏的发卡机构）要求补偿因此事件采取应急措施而额外产生相关费用的权利，具体是：按25美元/张的标准补偿换卡的费用，按5美元/账户的标准补偿账户监控的费用。当然，万事达卡也对受害方主张补偿权利的条件进行了规定。

建议银行卡业界借鉴国际信用卡公司经验，建立针对账户信息及交易数据泄漏的责任方处罚机制，对造成信息泄漏的责任方以及对不遵守账户与交易数据安全管理要求的责任方给予相应的处罚。

3.参考国际信用卡公司保护持卡人信心的做法

信用卡是建立在持卡人信心上的金融产品，充分保护持卡人的持卡消费信心至关重要。国内银行卡业界可借鉴跨国信用卡公司的做法，在发生类似事件时保护持卡人的信心。

VISA和万事达卡的"零责任条款 "可有效保护持卡人的利益。最新于2000年4月4日生效的VISA"零责任条款"比以前已有很大改进。以前的"零责任条款"要求持卡人在发现被盗用后的两个工作日内报告，否则会被追究最高50美元的责任。新条款不要求持卡人在发觉被盗用后的两个工作日内报告信用卡的盗用情况，也可免除持卡人对该卡项下欺诈交易的责任。但VISA"零责任条款"仅适用于美国境内发行并经VISA网络转接的 VISA贷记卡和借记卡的离线或在线交易，而商业卡、ATM卡和非VISA转接的密码检验卡片则不适用。万事达卡也有类似条款，此处不再详述。值得注意的是，"零责任条款"并不排除金融机构向持卡人追究因持卡人疏忽而造成欺诈的偿付责任，疏忽责任包括持卡人未在合理的时间内报告欺诈交易。而发卡机构的最终损失取决于该机构参与保险的程度。

4.学习国际信用卡公司的危机事件处理经验

实际上，在新闻媒体曝光本次事件之前，万事达卡就已派出相关团队处理本次危机事件，及时采取了一系列操作性很强的措施，迅速将危害降到最低。中国银行卡业界也应当建立危机事件应急处理机制，以便在出现危机时做出迅速和恰当的反应，将危机事件的负面影响降到最低，维护整个银行卡产业的利益。

四、对中国银行卡产业的建议

1.构建完整全面的银行卡账户信息及交易数据安全管理体系

可从以下几方面构建完整全面的银行卡账户信息及交易数据安全管理体系：第一，规定哪些参与方的主机系统有权保留跨行交易信息及持卡人信息，严格限制无权保留相关信息的参与方；第二，监控有权保留信息参与方的安全管理，如设置访问权限、审计日志、数据包过滤等；第三，确保各参与方之间信息传输的安全性，要与公用数据网络隔离，对敏感数据进行加密传输。

围绕以上目标，银行卡业界应制定完善的银行卡账户信息和交易数据安全管理规范，明确各参与方的工作职责。具体包括：一是制定银行卡交易信息的安全管理规范、规则；二是各参与方依照规范组织安全管理检查；三是汇总、整理自评结果，查找漏洞和安全隐患；四是对不符合规定进行整改；五是建立信息安全检查机制，监督银行卡交易信息安全管理工作的落实情况。

2.建立针对相关责任方的处罚机制

建议银行卡业界参照万事达卡经验，制定违反规范的罚则，追究信息泄漏相关责任方责任，补偿受害方损失。

对造成信息泄漏责任方的处罚。对账户信息泄漏，或发生泄漏事件不报告、不协助调查，而造成其他参与方损失的责任方将受到处罚。处罚的形式可以是：给予责任方警告处分，并视信息泄漏的严重程度向各参与方进行通报；责任方提交交易信息安全管理工作的改进措施，并接受检查；以"责任方向受害方赔偿"的原则，由信息泄漏责任方对遭受损失的一方进行相应的赔偿。

对不遵守账户与交易数据安全管理要求的处罚。对不遵守相关规范的参与方进行的处罚包括：信息安全检查中，对不符合规定或未达到相关规定要求的参与方，进行警告处分，并要求其提出具体的改进计划，并接受复查；对在复查中仍未达到整改要求的，或在首次检查后一定时间内仍未改进的，应处以罚款；对接到罚款通知一定时间内未缴纳罚金的，可直接取消其参与银行卡交易的资格。

3.建立类似美国"零责任条款"的持卡人补偿机制

国内银行卡业界也应建立持卡人补偿机制，营造良好的银行卡产业成长环境。在建立中国的持卡人补偿机制时，应注意：在参考国际信用卡公司保护持卡人利益条款的同时，应充分考虑中国的实际情况和信用卡发展阶段；如果难以在短时间内建立完全免除类似危机事件中持卡人责任的条款，可规定在一定条件下持卡人最高承担一定损失责任；建立完善的银行卡相关保险制度和社会征信体系，是相关保护条款保护持卡人及发卡机构利益的基础。

4.建立类似危机事件的应急处理机制

中国银行卡业界能否迅速而恰当的处理危机事件，是关系到银行卡产业能否持续发展的重要因素。因此，中国银行卡业界应参考和借鉴万事达卡的经验，建立类似事件的应急机制。机制的内容应包括：①信息泄漏的当事方在怀疑信息泄漏时应立即展开调查，并在确认信息已经泄漏后及时向银行卡组织进行通报；②当事方应继续跟进调查，不断把最新情况提供给银行卡组织；③当事方应及时采取补救措施，对系统缺陷进行修复和完善；④银行卡组织应发出"风险提示"，向相关成员机构通报事件，提出应对措施；⑤相关成员机构应尽快与涉案卡号的持卡人联系，提醒其注意并换发新卡；⑥相关各方应召开紧急会议，协商责任追索及相关事宜。