网络营办商网络发卡机构.PPT

信用卡操作 及最近的CardSystems事件 大綱 信用卡系統概覽 CardSystems事件 對香港信用卡持有人的影響 財務損失的責任 金管局的跟進措施 影響評估 風險評估 系統概覽 網絡營辦商 (Visa、萬事達、 美國運通、大來、JCB、銀聯) 發卡機構 (主要為銀行) 收單機構 (主要為銀行) 商戶 持卡人 第三方服務供應商 第三方處理商 資訊科技處理商 授權流程 結算及交收流程 CardSystems事件 CardSystems為第三方處理商，代表商戶/收單機構提供授權及核實程序 授權程序完成後儲起持卡人資料，系統被黑客入侵 外泄資料可被不法分子利用進行交易 CardSystems事件 據報CardSystems違反了網絡營辦商設定的保安標準： 授權程序完成後 不可 保留敏感的持卡人資料 若因法律或監管目的而需保留有關資料，須將資料加密 對香港信用卡持有人的影響 在下述情況下，香港的信用卡持有人可能會受到影響 在美國的零售店舖購物 (在有關的銷售點或經互聯網) 及 美國的零售店舖經CardSystems提交交易資料予收單機構 約12,000張由香港認可機構發行的信用卡可能受到影響 在此次事件中，持卡人並未蒙受財務損失 財務損失的責任 發卡機構會承擔因下述情況所引致的全部損失： 若因終端機或其他系統故障引致持卡人蒙受直接損失 (《銀行營運守則》第30.1(c)條)； 及 以假卡進行交易 (第30.1(d)條) 金管局的跟進措施 - 影響評估 認可機構已與大部分可能受影響的客戶聯絡，並安排更換新卡 至於尚未取得聯絡的客戶，認可機構會密切留意以有關信用卡進行的交易 金管局的即時跟進措施 - 風險評估 香港發生類似事件的風險相對較低 已向認可機構發出全面指引，包括： 外判 科技風險管理 電子銀行監管 訂立外判合約前須先經金管局批准 所有主要認可機構均須每年向金管局提交資訊科技管控自我評估報告 金管局專家小組進行的資訊科技現場審查內容包括審查認可機構及其服務供應商的資訊科技管控措施 金管局的跟進措施 – 風險評估與加強保安系統 已去信認可機構及信用卡公司以及其他處理信用卡/扣帳卡資料的公司 要求認可機構重新評估其對客戶資料保安、儲存及保密的管控措施是否足夠及有關措施的成效 (包括認可機構及其服務供應商的措施) 要求信用卡公司、消費者信貸資料庫及扣帳卡營辦商評估對內部及外判的客戶及交易資料處理程序的保密管控措施，如有需要應加強其公司的保安系統 與私隱專員公署聯絡 完 香港金融管理局 2005年7月4日 商戶 第三方 處理商 收單機構 網絡營辦商 發卡機構 持卡人 (1) 交易 (2) 尋求授權 (3) 交易資料 (4) 交易資料 (5) 要求授權進行交易 (6) 授權進行交易 (7) 授權 (8)授權 (9)授權 (10) 交易完成 第三方網絡 網絡營辦商網絡 網絡 營辦商 網絡營辦商的結算銀行 收單機構 (1)交易詳情 (2)淨額結算 報告 網絡營辦商網絡 發卡機構 (3) 結算通知 結算 (通常在 1日內完成) 交收 (通常在3日內進行) 網絡營辦商的結算銀行 收單機構 發卡機構 經本地 即時支付結 算系統付款 商戶 (3) 記入商戶 戶口 (2) 經本地 即時支付結 算系統付款 向持卡人開發帳單