1、1,信用卡操作 及最近的CardSystems事件,香港金融管理局,2005年7月4日,2,大綱,信用卡系統概覽CardSystems事件對香港信用卡持有人的影響財務損失的責任金管局的跟進措施影響評估風險評估,3,系統概覽,網絡營辦商 (Visa、萬事達、 美國運通、大來、JCB、銀聯)發卡機構 (主要為銀行)收單機構 (主要為銀行)商戶持卡人第三方服務供應商 第三方處理商資訊科技處理商,4,授權流程,商戶,第三方處理商,收單機構,網絡營辦商,發卡機構,持卡人,(1) 交易,(2) 尋求授權,(3) 交易資料,(4) 交易資料,(5) 要求授權進行交易,(6) 授權進行交易,(7) 授權,(8
2、)授權,(9)授權,(10) 交易完成,第三方網絡,網絡營辦商網絡,5,結算及交收流程,網絡營辦商,網絡營辦商的結算銀行,收單機構,(1)交易詳情,(2)淨額結算報告,網絡營辦商網絡,發卡機構,(3) 結算通知,結算 (通常在 1日內完成),交收 (通常在3日內進行),網絡營辦商的結算銀行,收單機構,發卡機構,經本地即時支付結算系統付款,商戶,(3) 記入商戶戶口,(2) 經本地即時支付結算系統付款,向持卡人開發帳單,6,CardSystems事件,CardSystems為第三方處理商,代表商戶/收單機構提供授權及核實程序授權程序完成後儲起持卡人資料,系統被黑客入侵外泄資料可被不法分子利用進行
3、交易,7,CardSystems事件,據報CardSystems違反了網絡營辦商設定的保安標準:授權程序完成後 不可 保留敏感的持卡人資料若因法律或監管目的而需保留有關資料,須將資料加密,8,對香港信用卡持有人的影響,在下述情況下,香港的信用卡持有人可能會受到影響在美國的零售店舖購物 (在有關的銷售點或經互聯網) 及美國的零售店舖經CardSystems提交交易資料予收單機構約12,000張由香港認可機構發行的信用卡可能受到影響在此次事件中,持卡人並未蒙受財務損失,9,財務損失的責任,發卡機構會承擔因下述情況所引致的全部損失:若因終端機或其他系統故障引致持卡人蒙受直接損失 (銀行營運守則第30
4、.1(c)條); 及以假卡進行交易 (第30.1(d)條),10,金管局的跟進措施 - 影響評估,認可機構已與大部分可能受影響的客戶聯絡,並安排更換新卡至於尚未取得聯絡的客戶,認可機構會密切留意以有關信用卡進行的交易,11,金管局的即時跟進措施 - 風險評估,香港發生類似事件的風險相對較低已向認可機構發出全面指引,包括: 外判 科技風險管理 電子銀行監管 訂立外判合約前須先經金管局批准所有主要認可機構均須每年向金管局提交資訊科技管控自我評估報告金管局專家小組進行的資訊科技現場審查內容包括審查認可機構及其服務供應商的資訊科技管控措施,12,金管局的跟進措施 風險評估與加強保安系統,已去信認可機構及信用卡公司以及其他處理信用卡/扣帳卡資料的公司要求認可機構重新評估其對客戶資料保安、儲存及保密的管控措施是否足夠及有關措施的成效 (包括認可機構及其服務供應商的措施)要求信用卡公司、消費者信貸資料庫及扣帳卡營辦商評估對內部及外判的客戶及交易資料處理程序的保密管控措施,如有需要應加強其公司的保安系統與私隱專員公署聯絡,13,完,
