客戶資訊處理業務外包,是當下的流行。這些珍貴、私密的資料以往如何被處理?流向何方?是少數電腦房裡技術人員要關心的事。
今年開始,愈來愈多人覺得不安。六月中,萬事達卡全球四千萬客戶資料被竊的大新聞,讓美國國會都驚動起來,六月底無異議通過新版「個人資料隱私與安全法案」(Personal Data Privacy & Security Act)。不僅限制企業未來向客戶要求身分證字號,更加重洩漏客戶資料的企業負責人刑責。
「每個星期都有個人資料被竊的大新聞,」自己身分資料年初被美國銀行(BOA)外洩的美國民主黨參議員查爾斯舒墨忍不住疾呼,「國會必需儘速禁止企業洩漏、轉讓客戶資料。」
從這個新法看來,未來各國政府將不僅限制企業取得客戶資料的範圍,更將嚴格要求企業保護客戶資料安全的刑責。不僅外包處理客戶資訊的廠商、發包的業務廠商也有連帶責任。
如何防止類似的事件?交給資訊部處理就夠了嗎?
翻開萬事達卡資料被竊事件背後,電腦、網路安全都非重點。
通常銀行、金融機構、經銷商外包處理客戶資料的廠商,都是中小企業,因此也沒有能力負擔最嚴密的資訊安全系統。
儘管發包業務的企業,代表的是尊榮、顯赫的客戶,但這些企業管理外包廠商的能力、熱情也不足。資料處理鏈的真正痛處
根據《紐約時報》六月底的報導,萬事達卡客戶資料被竊的承包商CardSystems Solution,就是員工只有一百人的中小型企業,雖然處理四千萬個客戶的交易資料,卻只佔萬事達卡客戶量的一○%。
這家公司的網路系統是十幾年前寫的,當時沒有網路駭客威脅。因資金有限,直到去年他們才大幅加強網路安全,卻仍然沒能力將客戶資料加上解碼系統,而讓資料駭客可直接閱讀、使用竊取的資料。
過程中,萬事達卡雖然持續要求外包廠商提升對資料安全的保護,但也不得不承認,「需要給他們改善的時間。」
「事實上,萬事達卡、威士卡對這些外包業者沒什麼控制力,」《信用卡產業新聞報》(The Nilson Report)發行人大衛羅伯森指出,「這才是整個資料處理鏈的真正痛處。」
未來,資訊安全保護的工具、服務,一定會更進步。但類似資料處理鏈的結構性弱點,卻會讓這些新科技完全使不上力。
天下新聞室精選最具時效性、最重要的深度內容,每週五發送
精選當週熱文,週五寄送
請查看您的信箱,我們將寄送驗證信給您,確保未來信件會送到您的信箱
