多市泊管局顧客資料零保障 高層涉造假掩飾解僱舉報者 前網絡安全分析師：拒絕參與即被炒

[2025.10.04] 發表

【明報專訊】多倫多泊車管理局在保管顧客的銀行卡數據時粗疏大意，面臨審計時又篡改內部紀錄進行掩蓋。市府現正在對公司展開調查，據信其前網絡安全分析師因舉報而被試圖掩飾問題的管理層解僱。

這項針對多倫多泊車管理局(Toronto Parking Authority，TPA)信息安全做法的調查，源於其前網絡安全分析師的舉報。TPA每年處理數以千萬計的電子交易，服務對象包括使用路邊泊車位、泊車場和車庫的司機，以及使用共享單車的市民。

信息安全團隊跳過關鍵步驟

這位因指出漏洞而被解僱的網絡安全分析師舉報稱，TPA的信息安全團隊故意跳過關鍵信息安全步驟，未能有效保護客戶的支付卡信息免受數據泄露風險，並且長期未修補關鍵軟件漏洞。這個原本應保護客戶安全的團隊，竟然還通過「做假帳」方式，回溯內部文件日期，使其看似符合全球支付卡行業制定的最低安全標準。

市府方面表示，「已知悉該情況，正會同第三方進行全面調查」。

TPA發言人梅紮諾特(Rita Mezzanotte)拒絕回答問題，理由是調查正在進行中。

任何被發現未遵循數據安全標準的機構，不僅可能面臨巨額罰款，還可能失去處理支付卡交易的資格。這將對市府財政造成打擊。自2002年以來，TPA已通過淨收入分成協議向市府貢獻逾14億元，用於資助可負擔住房、公共交通和公園建設。去年TPA處理的2,600多萬筆交易中，絕大多數通過手機或信用卡支付完成。

舉報者阿茲貝爾(Edmond Azbel)聲稱曾向主管指出問題，但隨即被炒，而他當時在該機構已工作5年。他在提交給市審計長辦公室的投訴中稱，「這無關私人恩怨，而是關乎公共誠信、監管違規及對持卡人數據環境的風險」。

作為北美最大的市政泊車營運商，TPA每年處理的持卡人數據不斷增加。根據支付卡行業數據安全標準(PCI DSS)，TPA必須遵守一套技術和營運規則，以防範信息泄露、盜竊和網絡攻擊等安全威脅。

2020年，TPA年處理交易量已超過600萬筆，並採取措施認證為一級商戶(Level 1 Merchant)，這是最高級別的PCI合規標準。作為一級商戶，TPA每年必須接受一名合格安全評估師(Qualified Security Assessor)的正式審查，以確保其合規。

投訴稱，問題始於2023年，當時吉爾(Gurvinder Gill)和利馬(Jose Lima)開始負責TPA的信息安全。其中吉爾擔任首席信息官，利馬則是信息管理與安全副主管。

阿茲貝爾在投訴中稱，利馬經常在年度審計前幾周才開始跟進PCI標準，之後再設法應付過關。為了欺騙審計師，利馬與IT管理層的其他高管提交回溯日期的變更請求文件(該流程要求記錄所有可能影響系統安全的變更)。

阿茲貝爾說：「我拒絕參與，並在內部舉報行為。這些造假行為在內部被稱為『時光機流程』。吉爾曾承認有意操縱合規文件，並形容此行為就是『做假帳』，同時承諾未來續約來安撫我的反對意見。」

更多要聞一