在多伦多停车简直是灾难,稍不留神就会吃罚单,所以停车管理部门成为最令民众反感的机构。最近,多伦多停车管理机构TPA,还爆出了丑闻,看来他们真不是好东西。
据多伦多星报报道。多伦多市政府已对一起严重指控展开调查:运营 Green P 停车系统 的多伦多停车局(Toronto Parking Authority,简称TPA)涉嫌篡改内部记录,以掩盖其在保护客户支付卡信息方面的失败。
这项调查由市府联合第三方机构进行,起因是一名前TPA网络安全分析师的正式投诉。
作为北美最大的市政停车运营商,Green P 每年处理数千万笔来自街边停车场、地库、以及共享单车用户的电子交易。随着无现金支付的普及,TPA所掌握的持卡人数据量持续增长。
投诉内容:跳过安全步骤,事后伪造合规
根据《星报》查阅的投诉文件,这名前分析师称,TPA信息安全团队刻意跳过原本必须执行的关键环节,未能修补严重的软件漏洞,还为了掩盖问题,事后回溯性地修改文档,制造出符合全球支付卡行业安全标准(PCI DSS)的假象。
投诉人表示,这种伪造在内部甚至被称为“时间机器”(Time Machine)流程。TPA首席信息官 Gurvinder Gill 和信息安全副主任 Jose Lima 被点名为相关负责人。
投诉人艾德蒙·阿兹贝尔(Edmond Azbel)称,他因内部举报此问题而被解雇。他在递交给市审计长办公室的投诉中写道:
“这不是个人恩怨,而是涉及公共诚信、合规违规以及持卡人数据风险的严重问题。”
若指控属实,后果严重
市府发言人证实:“我们已知晓此事,正与第三方合作展开全面调查。”
TPA则以调查正在进行为由拒绝回应。
如果投诉属实,TPA可能面临巨额罚款,甚至失去信用卡交易处理资格——这将严重打击市府财政。自2002年以来,TPA已向市府贡献超过14亿加元净收益,用于资助住房、交通和公园项目。
过往合规难题
TPA此前就曾在支付安全合规上栽过跟头。早在2009年,市审计长就要求TPA优先满足PCI标准。2014年,TPA曾庆祝实现合规,并将其视为“服务成就”。
但近年来,问题再次浮现。2021年的审计报告就要求TPA加强其供应商对停车机刷卡收入的内部控制,以避免资金处理风险。
投诉细节:造假、伪造截图、限制审计
- 文档造假:投诉称,Lima等人常在年度审计前数周突击“补漏洞”,并提交带有回溯日期的合规文档。
- 截图造假:团队据称还曾使用无关系统的旧截图来“模拟”漏洞修补。
- 限制审计:更有甚者,他们启用访问控制限制,阻止审计员查看仍未修补的设备。
阿兹贝尔在投诉中写道,他在2024年10月被要求签署标注为当年6月的“补丁”文档,“我对所见感到不安和失望”。
PCI DSS标准与风险
PCI DSS 是全球支付卡行业的强制性安全框架,适用于所有存储、处理或传输Visa、MasterCard、Amex等持卡人数据的机构。
TPA自2020年起被认证为 一级商户(Level 1 Merchant),需每年接受独立安全审计。
网络安全专家卡里姆·加纳姆表示:“每一次信用卡交易,如果数据被保存,就存在被盗风险。PCI的目标就是保护用户。”
一份2025年的PCI官方文件也警告称,安全松懈会使犯罪分子更容易窃取消费者的财务信息。
📌 小编总结
这起投诉再次引发人们对TPA数据安全的担忧。随着移动支付与信用卡支付在多伦多的普及,如果TPA确被查出违规,不仅会动摇公众信任,也可能对市府财政和城市基础服务造成冲击。
