張原紘 綜合報導 / 台北市
日前爆發LINE Pay盜刷案,當時檢調人員向LINE Pay調閱用戶資料,當時LINE Pay公司以「帳號資料由日本總公司管理,無法提供給檢警」拒絕。金管會主委顧立雄指出,未來LINE Pay要申請純網銀,將會被扣分。
立委徐永明今(24)日質詢時,質疑日前LINE Pay盜刷案,當時檢調人員為了調查案件,而向LINE Pay公司要求用戶資料,但LINE Pay回應,帳戶資料由日本總公司管理,無法提供;徐永明質疑,像LINE這樣的態度,若要申請純網銀,在「管理機制妥適性」這項評分,金管會給幾分?
對此,顧立雄回應,目前還不能確定LINE是否刻意不給資料,或是在一定的條件下可以提供資料,但若是確定刻意不給資料,顧立雄批評,這樣是不對的,檢調要求的話不可以不提供;且顧立雄坦言,若LINE不給資料,對於未來想要申請純網銀時,一定會有不利影響。
顧立雄補充,這一次LINE Pay盜刷案,揭露出客戶資料存放海外的問題,對於雲端資料的存取權,一定要嚴格把關,未來金管會也會要求,相關資料都要放在銀行端,讓金管會查核。
對此Line官方也發出聲明稿,內容如下:
■ LINE Pay符合「支付卡產業資料安全標準(PCI DSS)」標章,同時也獲得「資訊安全管理系統標準(ISO/IEC 27001)」的認證,我們希望提供用戶安全且值得信賴的行動支付服務。
■ 相關案件發生當天LINE Pay團隊就已接到發卡行通報偽冒交易,依據內部風控作業原則,與該筆偽冒交易的相關資訊隨即列入LINE Pay黑名單,也對這個LINE Pay帳號做出停權處置。
■ LINE Pay團隊於今年8月23日收到地檢署來函,於8月31日針對地檢署所提之問題詳實回覆。地檢署來函時,僅提供信用卡卡號和手機門號,請LINE Pay協助查詢「有無顧客曾使用非LINE Pay會員信用卡的服務。」
在此釐清,線下場景如便利商店,並不允許沒有註冊LINE Pay的會員使用,因此來函所設定之「非LINE Pay會員信用卡服務」使用情境與事實不符,我們收受地檢署的函文內容也與新聞內容不符。此外,來函僅提供信用卡卡號和手機門號,LINE Pay無法僅從這兩項資料比對岀交易紀錄。
但若本案地檢署來函時有提供交易日期、金額、商店等更多資訊,我們還可以試著交叉比對調岀交易紀錄;我們也希望能儘早找出嫌疑人,讓事件儘早落幕。
■ 相關報導提及對LINE Pay安全性之疑慮,嚴重危害LINE Pay信譽,文中幾處錯誤在此一併澄清:
一、 根據卡片支付產業的規範(PCI DSS),支付業者不能儲存後三碼,因此LINE Pay不能儲存後三碼,LINE Pay也沒有儲存後三碼。
二、QR Code交易跟是否儲存卡號無關。
1. 綁卡:不論Apple Pay、Google Pay、LINE Pay註冊卡片,都要用戶輸入完整的卡號,再經過各自的加密處理。LINE Pay用戶註冊的卡片與其他業者相同,都會經過亂數及加密後,再儲存於LINE Pay。
2. QR Code交易:
(1) 在用戶掃描QR Code交易的情境中,這組QR Code跟卡號沒有任何關聯,QR Code僅是將用戶引導至要交易的網址。
(2) 另一種是出示條碼給商店掃描,用戶點選手機產生QR Code,讓商家掃碼,讓商家知道是哪一位用戶要進行交易。
(3)LINE Pay在卡號加密端使用代碼化技術(Tokenization)與LINE Pay所保存的信用卡資訊其安全等級,與其他如Apple Pay、Google Pay等支付業者使用的加密技術,均屬國際組織規範下同等級的代碼化加密處理。
3. LINE Pay綁卡機制與其他行動支付服務相同。LINE Pay提供兩種綁卡機制,一為直聯銀行驗證用戶身分,二為國際標準3D驗證,用戶至少需經過一種才可成功綁卡至LINE Pay。
再次強調,LINE Pay致力完善安全防護措施,並盡力保護用戶隱私,皆以國際標準來建構相關防護,以期提供用戶安全且值得信賴的行動支付服務。
新聞來源:華視新聞
讀者迴響