僅針對LINE Pay的安全規範以及風控作業,做出整體說明如下:
■ LINE Pay符合「支付卡產業資料安全標準(PCI DSS)」標章,同時也獲得「資訊安全管理系統標準(ISO/IEC 27001)」的認證,我們希望提供用戶安全且值得信賴的行動支付服務。
■ 針對蘋果日報於12月19日所報導之案件(相關連結), 案件發生當天LINE Pay團隊就已接到發卡行通報偽冒交易,依據內部風控作業原則,與該筆偽冒交易的相關資訊隨即列入LINE Pay黑名單,也對這個LINE Pay帳號做出停權處置。
■ LINE Pay團隊於今年8月23日收到地檢署來函,於8月31日針對地檢署所提之問題詳實回覆。地檢署來函時,僅提供信用卡卡號和手機門號,請LINE Pay協助查詢「有無顧客曾使用非LINE Pay會員信用卡的服務。」
在此釐清,線下場景如便利商店,並不允許沒有註冊LINE Pay的會員使用,因此來函所設定之「非LINE Pay會員信用卡服務」使用情境與事實不符,我們收受地檢署的函文內容也與新聞內容不符。此外,來函僅提供信用卡卡號和手機門號,LINE Pay無法僅從這兩項資料比對岀交易紀錄。
但若本案地檢署來函時有提供交易日期、金額、商店等更多資訊,我們還可以試著交叉比對調岀交易紀錄;我們也希望能儘早找出嫌疑人,讓事件儘早落幕。
■ 另,針對蘋果日報於12月19日之報導(相關連結),提及對LINE Pay安全性之疑慮,嚴重危害LINE Pay信譽,文中幾處錯誤在此一併澄清:
1. 根據卡片支付產業的規範(PCI DSS),支付業者不能儲存後三碼,因此LINE Pay不能儲存後三碼,LINE Pay也沒有儲存後三碼。
2. QR Code交易跟是否儲存卡號無關。
1. 綁卡:不論Apple Pay、Google Pay、LINE Pay註冊卡片,都要用戶輸入完整的卡號,再經過各自的加密處理。LINE Pay用戶註冊的卡片與其他業者相同,都會經過亂數及加密後,再儲存於LINE Pay。
2. QR Code交易:
2.1 在用戶掃描QR Code交易的情境中,這組QR Code跟卡號沒有任何關聯,QR Code僅是將用戶引導至要交易的網址。
2.2 另一種是出示條碼給商店掃描,用戶點選手機產生QR Code,讓商家掃碼,讓商家知道是哪一位用戶要進行交易。
2.3 LINE Pay在卡號加密端使用代碼化技術(Tokenization)與LINE Pay所保存的信用卡資訊其安全等級,與其他如Apple Pay、Google Pay等支付業者使用的加密技術,均屬國際組織規範下同等級的代碼化加密處理。
3. LINE Pay綁卡機制與其他行動支付服務相同。LINE Pay提供兩種綁卡機制,一為直聯銀行驗證用戶身分,二為國際標準3D驗證,用戶至少需經過一種才可成功綁卡至LINE Pay。
再次強調,LINE Pay致力完善安全防護措施,並盡力保護用戶隱私,皆以國際標準來建構相關防護,以期提供用戶安全且值得信賴的行動支付服務。