从台北智慧支付平台资安事件,看台湾支付体系的资安监管大漏洞
分类:C生活家

从台北智慧支付平台资安事件,看台湾支付体系的资安监管大漏洞

这个礼拜最大的新闻,应该在于集合了所有许多支付业者跟缴费资讯的台北智慧平台上路。上路的新闻不大,但 资安的漏洞 却掩盖掉了这个立意良好的平台原本可以发挥的功用。

台北智慧支付平台的标案有两大部分

据了解,这个平台分为两阶段执行。第一阶段系统标,第二阶度支付标。

第一阶段是蓝新科技以七百多万标得这个标案,负责建置相关系统。有人说,一个支付系统,只花七百万?政府太抠门了吧!

只有七百万,没有人能够做出一个支付系统,真正的关键却没有人去了解。其实,这个系统的主体是后端的整合资料库,跟相关 API 的资讯整合。换句话说,它根本不是个 Pay!它是个只是个查询平台。

而第二阶段,由支付业者投标,得标者才能进入平台。业者私下抱怨,代收一张停车单,只能赚 0.04 元的代收费用,如果透过超商缴费,超商却可以赚将近四块钱的代收费用,支付业者为了进入平台,利润微薄也只能咬牙苦撑,算一算甚至量不大的话根本是赔钱。这个阶段的得标业者有:玉山银行、台新银行、爱贝钱包、Pi 行动钱包、街口支付、欧付宝、橘子支、台湾支付。

所以,七百万去做一个这样的平台贵不贵?代收一张停车单只能赚 0.04 元好不好赚?公道自在人心!

台北市能,中央政府却不能?

大家可以看一下, 全国缴费网 是由谁建立的?然而这些缴费的管道是哪些?再来看看台北市的智慧支付平台,缴费的管道是哪些?

从台北智慧支付平台资安事件,看台湾支付体系的资安监管大漏洞

前者,全都是银行!后者,第三方支付业者居多!

也就是说,台北市政府在支付这端,选择了一个可以跟上嗡嗡嗡市长进度,可以跟随市场竞争而变动的新兴行业。这也符合他的个性。

而这件事情,台北市花了一年搞定,台湾要花多久时间?我们来看看,到现在连财金公司的台湾 Pay 已经上线两年了,都还在气喘吁吁的跟进、整合式的 QR CODE 只闻楼梯响。

这其实是为什幺嗡嗡嗡市长在记者会上面说,如果台北市成功了,中央可以整套拿去用。

中央政府逼台北智慧支付平台做自己的政绩

再看另一个引发民众抱怨的重点是:为什幺使用一个 App 要用另一个 App 来验证?

要使用智慧支付平台的 App,却要下载「群信行动数位科技」的「我的号码」这个电信身分验证?

从台北智慧支付平台资安事件,看台湾支付体系的资安监管大漏洞

原来,这就是当时典礼仪式上,那大拉拉的亚洲・硅谷四个大字之下的产物,「我的号码」第一次对外大规模使用。

从台北智慧支付平台资安事件,看台湾支付体系的资安监管大漏洞

既然是一个支付的中介平台,为什幺要使用这样的机制呢?

支付的本质,不管是谁帮谁缴费,政府只要收到费用,不就好了吗?为何要增加这个认证呢?是未来发展的考量?还是帮亚洲・硅谷做政绩?

蓝新科技难辞其咎,更提醒该检视电子支付与第三方支付厂商的资安专业度

回头来看,这次得标的系统建置商蓝新科技,除了是老字号的第三方支付红绿蓝三家之一以外,更是台湾第一批获得电子支付执照许可的专营电子支付机构。后续获得威盛旗下的全达以七亿的资金购买蓝新过半股份。

理论上而言,应当蓝新本质上就有开发的资安知识与能力,才能获得专营执照吧?但此次的开发案中,连一个最小的 SSL 凭证都没加密,就交付北市府使用。这样低落的资讯安全专业,难道不该了解一下吗?

三不管地带的支付安全,到底由谁来把关?

智慧支付平台结合了金流、资讯流,包含了银行、第三方支付、电子支付业者。

第三方支付业者目前一定是透过信用卡进行交易,这不也是金管会管辖的範围?电子支付机构的主管机关是金管会,银行的主管机关也是金管会,通通都是金管会管的。

难道没有人纳闷,在大家讨论台北智慧支付平台资安事件的此时,我们却完全看不到金管会跳出来呢?是当作没自己的事?还是不知道怎幺处理这件事?

李主委,你在立法院回答质询的时候说,连 ATM 转帐都算电子支付了,智慧支付更是电子支付的一部分,现在有问题,你不出来管管吗?

上一篇: 下一篇:
猜你喜欢
热门排行
精彩图文