網站被黑客入侵和並面臨信用卡數據洩漏應該怎麼處理?
縱橫遊被黑客入侵,你可能覺得事不關己。但如果是你的網站被黑客入侵,導致客戶信用卡資料被盜,你又應該如何處理?你的客戶又應該如何處理?
信用卡機制
信用卡 (如 Visa, Master) 有一個龐大網絡,主要是包括信用卡用戶的發卡銀行和接受信用卡簽帳的商戶來往銀行。假設沒有 Visa, Master 的網絡, Citi 信用用戶仍然可以以 Citi 自己發行的記帳卡到使用 Citi 作來往銀行的商戶消費。因為扣帳和付帳都是同一家銀行,只要利用內部電腦系統就可以完成整個交易。但如果 Citi 信用卡要在使用恒生作來往銀行的商戶消費,就涉及不同的銀行,不同的交易系統。沒有了 Visa, Master 作為中間人,交易無法有效進行。
有了 Visa, Master, 簽帳商戶的來銀行將信用卡號碼、過帳金額、卡主姓名、有效日期、保安編碼發送到 Visa, Master 主機系統,要求扣帳。主機系統驗證資料沒有問題,例如信用卡不是在黑名單、不是失效 (例如已報失),就會根據信用卡前 6 個數字 (稱為 BIN, 銀行生份號碼) 找出該信用卡的發卡銀行,將扣帳要求轉發給發卡銀行。發卡銀行收到扣帳要求後,查找帳戶是否有足夠信用額完成交易。如果是,就會發用一個授權碼 Authorization code 給 Visa, Master,如果帳戶沒有足夠信用,所謂碌爆卡,就顯示授權失敗。 Visa, Master 將授權確認碼轉發到商戶的來往銀行,如此類推。當商戶的讀卡機收到確認碼表示扣帳成功。電子交易的信用卡道理亦如是,只是讀卡機沒有了,變成完全電子化交易。
黑客入侵的店主的風險
作為網店店主,如果客戶因為你的疏忽而導致實際損失,你是有可能被追究索償。何為疏忽?可以是隨便處理管理員密碼 (例如以 123456 為密碼),無提供合理的防駭客機制,例如無安裝防火牆,無病毒掃描等等。當然民事索償舉証較困難,所以外國成功索償的例子多是歐美對大企業的集體索償。
作為店主你發現被入侵後應該:
- 第一時間報警。
- 評估受影響的客戶並第一時通知對方由於信用卡資料外洩可能引致的風險,讓對方提高警戒,可以即時通知發卡銀行處理。
這兩個動作令你在被索償下將風險減到最低亦不構成事後因疏忽。事前的疏忽如果是有已經是事實固然無法改變。事前可能會降低您風險的工作包括:
- 選擇網頁寄存公司需要有防火牆、防毒掃瞄等。
- 支援備份和還原。自動每天備份。
- 網站應該要使用安全連線並且當非安全連 HTTP 線訪問時自動切換為安全連線 HTTPS。這樣就算在公開網絡管理後台時登入密碼亦不容易被駭客偷聽到。
- 管理員密碼應只有需要的員工才知道。當該員工離職,應該盡快更改密碼。一個好的做法是定期更改密碼。
- 密碼強度要夠,最好是包含數字、字母、符號、大寫小寫。
- 加入防止以蠻力測試密碼機制。例如連續輸入幾次錯誤後將 IP 銷死一段時間。
卡主的風險
作為卡主你是無需太擔心。信用卡不是新鮮事物,已經有大半世紀歷史。信用卡公司,發卡銀行對信用卡被盜用都有一套防禦方法令消費者放心使用。例如,美國聯邦法例為卡主設定最高負責金額 (上限為 50 美元。如果您的信用卡號碼被盜用,但不是該卡,您不承擔未經授權的使用)。如果你發現帳單有未經授權交易,你應該立即向發卡銀行反影。一般發卡銀行是傾向保護卡主而不是店主,會先將交易取消。由於消費金額一般是 30 天或更長才過帳,損失多數是被騙的店主或是由保險公司承擔。但作為卡主你是有責任在一定時間內 (如 60 天) 檢查月結單並上報未經授權的交易,否則你是可能要負責。更保險的做法是向發卡銀行登記使用交易短信,當信用卡消費時銀行發短信到你的手機。如果懷疑信用卡資料外洩,可要求發卡銀行作失卡處理,重發新卡。
了解更多網頁設計套餐。