【明報專訊】環聯網上查閱信貸報告服務去年被揭保安漏洞,金管局及銀行公會要求環聯遞交調查報告及改善,始能重開服務。事隔近半年,本報獲悉環聯早前已向銀行公會提交報告,證實部分網上登入環節屬嚴重(Critical)及高(High)風險。不過,銀行公會不滿報告內容,上月底向環聯發信,批評報告不完整、出錯及無任何結論,要求環聯重新修訂報告內容。
促加強安全改善監控
由第三方評估成效
銀行公會回覆,初步發現環聯網上信貸資料服務平台存在漏洞,須審視和加強網絡系統安全,改善監控流程和管理質素;環聯須提交專業且全面的獨立評估報告,有需要時要提供報告以外的補充資料,亦須委託獨立第三方機構評估措施執行的成效,在落實所有改善措施前,環聯仍會暫停有關服務。
消息:不排除再引入信貸機構
消息稱,公會已收到報告初稿,並向環聯發信提出問題,要求在合理時間回覆,目前不排除任何可保障客戶資料的可能性,包括引入多一間個人信貸資料機構。
金管局則回覆,已與銀行公會要求環聯委託獨立專家檢視保安及身分認證等程序,環聯完成全面保安檢視和在確認保安水平全面提升前,仍會暫停網上查閱服務。
個人資料私隱專員公署則稱,正就事件作循規調查,完成後會按法例決定是否公布結果。
環聯:會持續加強查詢程序
環聯回覆稱,會持續加強網上消費者信貸報告查詢程序,服務恢復後,將立即對外公布。撰寫報告的獨立顧問畢馬威(KPMG)則拒絕回應。
獨立顧問畢馬威撰報告
本報獲悉,被揭保安漏洞後,環聯聘用畢馬威調查,並於今年3月完成長25頁的報告,包括分析環聯網上個人查閱服務不同環節的風險,並將15項「調查發現(findings)」歸類為5個風險級別,當中有一項被歸類為嚴重(Critical),3項被歸類為高風險(High),其餘則為中(Medium)、低(low)和無風險(Informational)。
環聯於上月15日與銀行公會討論該份報告,惟銀行公會並不滿意報告內容。銀行公會上月25日向環聯發出5頁信件,本報得悉當中內容,信中批評報告並無就網上查閱系統的保安措施及整體保安情况,提出任何意見或下結論,形容報告並不完整(incomplete),又稱報告內容出現明顯不一致(discrepancies)的錯處,同一評估項目在不同章節被歸類為不同風險級別,要求環聯盡快重新修訂報告。
銀行公會又在信中提到,環聯須示範新保安措施如何保障客戶,而恢復網上服務至少一周前,須向公會提交計劃書(見表)。
事隔半年交報告
陳振英:兩三月可完成
金融界立法會議員陳振英稱,本報獲得的信件及報告內容與他所知一致,質疑報告已將部分網上查閱程序列為嚴重及高風險,環聯應立即補救,沒理由事隔半年仍未完成正式報告。他又表示,保安漏洞涉及公眾利益,正常應在兩三個月內完成,「至今應該無人覺得滿意(交報告)時間」。
陳振英指出,環聯提交的報告無提出確切可行的堵塞保安漏洞方法,肯定銀行公會有不滿,促請環聯盡快找出漏洞的關鍵,全面加強私隱保護系統,若環聯事件長時間未有進展,他考慮在立法會跟進。
