4號,日本 7–11獨自開發的行動支付系統(電子錢包)「7Pay」爆出資安危機,約有 900多名 7Pay用戶的帳號遭盜刷,背後疑似有跨國犯罪集團針對 7Pay設計上的缺失組織犯罪。(細節請參考前文《日本7–11行動支付上線不到一週就出包,背後疑似有跨國集團組織犯罪》)
本文將從 7Pay遭組織盜刷事件,討論 7Pay的資訊安全到底出了什麼問題。
電子商務分三種
以台灣為例,台灣的電子商務按法規可以分成:「電子票證」、「第三方支付」和「電子支付」等三種。
1. 電子票證
像悠遊卡、一卡通、icash這種電子錢包,使用前要加值(現在有些銀行或信用卡推出綁定銀行戶頭的自動加值功能,這種屬於後者),不一定要記名。
主管機關是金融監督管理委員會(金管會),適用《電子票證發行管理條例》。
2. 第三方支付(現在有超過 5,000家)
台灣的LINE Pay屬於這種,是以「使用者、付款方⇔第三方支付公司⇔商家」的C2B形式,個人用戶之間不能B2B直接進行金錢上的交易。
主管機關是經濟部,沒有法律位階的規範,適用經濟部法規命令〈第三方支付服務定型化契約應記載及不得記載事項〉及〈信用卡收單機構簽訂『提供代收代付服務平台業者』為特約商店自律規範〉。
3. 電子支付(目前只有橘子支付、國際連、歐付寶、智付寶、ezPay台灣支付和街口支付這六家)
如果完成第二階段銀行帳戶加國民身分證的身分驗證完成後,可以進行個人用戶間B2B轉帳,如果沒有完成第二階段驗證,功能同「第三方支付」的限制。
另外,要使用B2B轉帳功能,該用戶一定要先從銀行帳戶轉帳到電子支付的帳戶當中,不得使用信用卡轉帳、儲值電子支付帳戶內的餘額。
主管機關是金融監督管理委員會(金管會),適用《電子支付機構管理條例》。
