【大公報訊】記者楊州報道:電腦保安專家表示,「已停用客戶」的伺服器理應離線並銷毀。長期空置不處理非正常流程,尤其含有信用卡資料,亦受到支付卡行業資料安全標準(PCI-DSS)規範,包括商家有責任保護儲存的持卡人資料等,若處理失當,會被相關機構,如發卡機構、提訟求償。
資訊保安公司NCL行政總裁龐博文表示,當停用有關資料庫伺服器,須按照既定程序處理,即伺服器離線,將硬碟放置保險箱保管,再經第三方供應商銷毀資料,過程並非是一般刪除,而是安全性更高的DoD 5220-22.M方法。
商家處理不當或面臨罰款
龐博文稱,事件已展開調查,未知是外部或內部的未經授權入侵,故不可判斷當中有否處理失當,是否涉及人為錯誤,仍有待調查結果公布。
龐博文稱,確保持卡人資料得到妥善保護是商家的責任,如相關資料被盜,如未能遵守PCI-DSS規定,將有可能面臨罰款及處罰。
以美國零售業Target為例,於2013年系統遭駭,外泄大量信用卡資料,最終賠償7000多萬美元,並非致歉便可輕輕帶過。
