金管會推動PCI合規

PCI DSS 合規的後續來啦！先講結論：金管會民意信箱很有用。

正好一個月前我 po 了篇 PCI DSS 相關的貼文，懶人包就是我無意間發現接入藍新金流的商家就算沒有做 PCI DSS 合規，也能開啟幕後授權，直接拿到可以接收卡號的 API，而我覺得這有問題。

原因是，要碰到信用卡資料（卡號、到期日、CVV）本來就是個該嚴格要求合規的東西，不管你有沒有存都一樣。而我也參考了其他金流商的公開文件，都寫明了需要先做 PCI DSS 合規，才會開放 API，但藍新無論是文件上或是實務上，都不需要。

上篇文章 po 出來以後底下也有不少留言，有位讀者指出藍新其實是有提供 iframe 的，但還沒對外公開，很多接藍新的人也不知道有這東西，以為不想走跳轉的話就一定得走幕後授權。希望這個 iframe 的解法能早日正式對外公開，提供給商家更多選項。

而更重要的是，po 文的前幾天我其實就透過金管會的民意信箱去反映了，而金管會當時的回覆是會轉給信用卡收單機構查明，有結論後再回覆。

儘管留言有讀者指出這可能不關金管會的管轄範圍，也不一定關銀行局的事，但其實他們有在關注，而且是很關注這件事的。

據說銀行局之後群發給所有跟藍新有合作的銀行要他們去查查，而藍新之後也開始處理這件事。細節我也不太清楚，但是有在做事的。

今天也正式收到了銀行局的回函，説他們已經督促藍新要求商家應該要取得 PCI DSS 認證，或是改變串接方式，不碰到信用卡卡號。可能有些讀者任職的公司也有接到類似通知了，總之如果你們家後端有收卡號（有收就算，不存也一樣），要嘛去做合規，要嘛改個串接方式，否則會有問題。

總之呢，金管會的民意信箱出乎意料的有用，由上而下的要求也會比較有力量，能夠真的去改變些什麼。

不過督促歸督促，這個改變需要多久也不知道，太久的話就跟沒改差不多，因此年底我有空的話想來搞個致敬以前「我的密碼沒加密」這個網站，弄個「我的卡號怎麼在這」的網站，搜集所有接了幕後授權、有收卡號但是沒做合規的公司讓大家參考 😄。