【多伦多泊车管理局】存在处理客户银行卡数据漏洞(图)

发布 : 2025-10-03  来源 : 明报即时新闻网 用微信扫描二维码，分享至好友和朋友圈

加关注 明声网温哥华 微信公众号

【明报专讯】多伦多市的公共泊车场的运营方，在保管顾客的银行卡数据时却粗疏大意，面临审计时又采取篡改内部记录的方法进行掩盖，如今市府已知晓此事，正在对相关公司开展调查。据信举报者是被试图掩盖问题的领导解雇。

这项针对多伦多泊车管理局（Toronto Parking Authority，TPA）信息安全做法的调查，源于其前网络安全分析师提交的一份举报。

TPA每年处理数以千万计的电子交易，服务对象包括使用路边泊车位、泊车场和车库的司机，以及使用共享单车的市民。

这位因指出漏洞而被解雇的网络安全分析师举报称，泊车管理局的信息安全团队故意跳过关键信息安全步骤，未能有效保护客户的支付卡信息免受数据泄露风险，并且长期未修补关键软件漏洞。

而且这个原本应保护客户安全的团队，竟然还通过「做假账」的方式，回溯内部文件日期，使其看似符合全球支付卡行业制定的最低安全标准。

市府方面表示「已知悉该情况，正会同第三方进行全面调查」。

泊车管理局的发言人梅扎诺特（Rita Mezzanotte）则拒绝回答任何问题，理由是调查正在进行当中。

如果这些指控属实，后果可能会十分严重。任何被发现未遵循数据安全标准的机构，不仅可能面临巨额罚款，还可能失去处理支付卡交易的资格。

这将对市政府财政造成打击。自2002年以来，TPA已通过净收入分成协议向市府贡献超过14亿加元，用于资助可负担住房、公共交通和公园建设。去年TPA处理的2600多万笔交易中，绝大多数是通过手机或信用卡支付完成的。

举报者是前网络安全分析师阿兹贝尔（Edmond Azbel）。他声称自己曾向主管指出问题，但随即便被「炒鱿鱼」，而他当时在该机构已工作5年。

在提交给市审计长办公室的投诉中阿兹贝尔称，「这无关个人恩怨，而是关乎公共诚信、监管违规以及对持卡人数据环境的风险。」

作为北美最大的市政泊车运营商，多伦多泊车管理局每年处理的持卡人数据不断增加，因无现金支付正逐渐成为常态。

根据支付卡行业数据安全标准（PCI DSS），TPA必须遵守一套技术和运营规则，以防范信息泄露、盗窃和网络攻击等安全威胁。

PCI DSS 适用于所有存储、处理或传输持卡人数据的实体，包括维萨卡（Visa）、万事达卡（MasterCard）、Discover、JCB International、运通卡（American Express）和中国的银联。上述卡组织通过自身的合规项目来强制实施标准。

2020年，TPA年处理交易量已超过600万笔，并采取措施认证为一级商户（Level 1 Merchant），这是最高级别的PCI合规标准。

作为一级商户，TPA每年必须接受一名合格安全评估师（Qualified Security Assessor）的正式审查，以确保其合规。

投诉称，问题始于2023年，当时吉尔（Gurvinder Gill）和利马（Jose Lima）开始负责TPA的信息安全。其中吉尔担任首席信息官，利马则是信息管理与安全副主管。

阿兹贝尔在投诉中称，利马经常在年度审计前几周才开始跟进PCI标准，之后再设法应付过关。

为了欺骗审计师，利马与IT管理层的其他高管提交回溯日期的变更请求文件（该流程要求记录所有可能影响系统安全的变更）。

阿兹贝尔说，「我拒绝参与，并在内部举报这种行为。这些造假行为在内部被称为『时光机流程』。吉尔曾承认有意操纵合规文件，并形容此行为就是『做假账』，同时承诺未来续约来安抚我的反对意见。」

据称团队重覆使用了无关系统的截图来模拟漏洞修补，以应付年度安全评估；同时他们还设置访问控制列表规则，限制审计师查看尚未修补的设备。

早在2009年，市审计长就在报告中要求TPA优先实现PCI合规。2017 年底，市审计长通过欺诈与浪费热线接到针对泊车管理局的投币泊车机供应商的投诉，涉及信用卡收入处理问题。

调查发现，该供应商未建立正式的内部控制报告机制，无法识别、评估、跟踪和报告内部控制缺陷。而内部控制是保护持卡人数据、确保PCI合规的重要环节。