Hot News
擁抱FinTech新時代 金融上雲拚轉型
文章發表:2022/04/18
上雲,已成台灣金融業必然的發展方向,但如何安全上雲,是近年金融業最關注的議題。金融研訓院舉辦「金融上雲 轉型系列講座」,邀請專家齊聚一堂,盼能激盪出新火花。
隨著開放銀行(Open Banking)、純網銀時代來臨,金融業資料上雲端已是不可逆的趨勢,而金融業要如何善用雲端科技進一步整合數據應用、人工智慧等技術,達成金融數位轉型已是刻不容緩的議題。
為協助金融業者對於「資料上雲」有更深一層的了解,金融研訓院芬恩特創新聚落特別在2021年12月8日舉辦「金融上雲 轉型系列講座」,邀請產官學等相關領域專家齊聚一堂,從策略面、資料保護、法令遵循以及實務等層面進行剖析,盼能以此激盪出新火花,讓業者在銜接雲端之際,也能完善資料保護,合乎法令規範。
金融研訓院金融訓練發展中心副所長柯榮哲致詞時提到,金融科技發展在最近3到5年有很大轉變,尤其資料銜接雲端已經是趨勢,也因此金融從業人員必須對資料「上雲」有所了解,但資料上雲有法規得遵守,或許大家會覺得在法規遵循方面不是件輕鬆的事,但對於新世代、數位原住民來說,卻覺得很自然。換言之,金融業在力拚資料銜接雲端時,也要思考如何轉型,好因應下個世代,現在規劃導入上雲,除了有策略上的調整外,希望透過交流找出雲端時代的因應策略。
銘傳大學林盟翔:反思衍生風險與防範對策
銘傳大學金融科技學院副教授兼主任林盟翔以「金融上雲策略與準則」為題,從消費者保護的角度出發,探討金融業在發展「上雲」時的策略籌劃與原則建議。
林盟翔表示,過去金融科技主要著重在監理沙盒,像是業務上的跨越與創新,反倒是資安相對較不受重視,因此在金融科技教育部分,必須要全方面角度來看,以往金融科技聚焦重點都是以工具、載體或是平台為主,舉例來說,過去金融科技發展過程中最優先處理的議題就是支付,只要支付搞定,大概就把金融科技有關的問題也解決了。
而在建立資料上雲方面,首先就是建立資料庫,包括大小數據等,如何透過數據建立資料庫並且成為金融科技的基石,因此,過去在資料庫(Data Base)會訂有建立準則,儘管有依循準則,但還是以實體為基礎,例如將資料放在總行、分行等,當相關資料必須上傳到其他,或是自己無法掌控的硬體設備,甚至境外時,就會牽涉到很多法規與監理層面的衝突,這些都是業者推動上雲時要思考的問題。
林盟翔進一步指出,在推動金融資料上雲時,也要反思可能衍生的風險與防範對策,當中最關鍵的核心問題還是資安,尤其金融資料外洩時,到底該如何釐清責任,這點也是相關監理機關最重視的部分。簡單來說,推動上雲前,也要思考當消費者資料上雲時不慎遭駭外洩,相關的責任該由誰負責。
林盟翔說,過去就有一家保險公司因其所租用的雲端基礎設施(IASS),運用Google Cloud Platform(GCP),以雲端架構建置網路投保系統,但因沒有建立妥適的加密機制、緊急應變與退場機制等措施,加上主機系統日誌也沒有納入資訊部門集中控管,不符公司內部訂定規範,最後被主管機關認定「雲端服務控管機制有欠妥適」而遭裁罰。
台灣微軟林義評:合規、內控是重要基石
台灣微軟股份有限公司諮詢服務事業群總經理林義評,則以過去在金融業的經驗為例,他表示,在推動上雲的過程中,「合乎法規」可說是金融科技最重要的基石,不管要資料上雲端或是走向移動化的轉型發展,合規與內控可說是金融業每天都會被要求的基本。
林義評舉例,20、30年前包括公車的車票、支票、通行國道的回數票、機票等,舉凡與金融、你我生活息息相關的東西,如今都已全數「上雲」;再看1973年全球第一支手機問世,1994年IBM發明首支智慧型手機,到了2007年包括iOS、Android系統的智慧型手機上市,才真正將資料「上雲」,成為改變生活的重要轉折。
林義評表示,在2007年智慧型手機開始普及化後,大多數的資料都已存在雲端,當使用者透過App下載資料,其提供者可能是銀行或金融科技業者等,換言之,許多業者早就將資料儲存放置在雲端。雲端科技並非新科技,但仍必須防患未然,讓金融體系在使用雲端資料時更加安全,因此不論雲端或非雲,合規與內控才是處理金融資料最重要的核心關鍵。
他更舉例,當初在銀行負責系統轉型時,首要的任務就是合乎法規並落實內控,這是過去20多年來不曾改變的核心重點,包括檔案傳輸、電子郵件分享與外部溝通時,要防範如何避免檔案遭攔截竊取,這些都要先釐清後,雲端才能上線。
追求上雲的過程中,林義評強調,一定要思考如何避免資料外洩,台灣的金融機構目前在控制技術上沒有太大問題,主要關鍵在於治理,從目前主管機關所裁罰的案件來看,追根究柢還是治理。舉例來說,目前銀行委託外部機構列印客戶的帳單,而這些受託機構本身也受其他金融機構委託列印帳單,你可以將這個受託的第三方機構想像成一朵雲,萬一某天A客戶的帳單錯印成B客戶的資料,業者最後可能遭B客戶控訴個資外洩,這就是典型的流程管理、治理上有疏失的案例。
台灣微軟廖怡苓:委外服務須留意三大問題
台灣微軟公共暨法律事務部法務副總經理廖怡苓指出,金融機構資料上雲已經是一種趨勢,且快速發展成常態,但也衍生出新的法令遵循議題,目前金融業上雲不限定使用境外或境內的雲端服務,而主管機關金管會亦同意金融業發展上雲,目前規定是,做雲端委外服務時,業者就必須事先申請並取得金管會許可才能做。
廖怡苓進一步指出,在委外作業部分,目前金融業常見的問題包括:可以使用雲端服務嗎?是否可以將資料傳輸到台灣境外?公有雲端的服務是否安全?這些都是委外作業必須留意的問題。
KPMG:主管機關監理著眼四大重點
在上雲的計畫法規與實務部分,安侯法律事務所(KPMG)指出,主管機關監理項目重點包含雲端服務所在地、存放在雲端的資料、客戶資料保護以及資訊安全四大部分。安侯法律事務所說,以雲端服務來說,主要是檢視雲端服務業者將金融機構的資料存放位置地點;以及委託雲端服務的資料內容是否涉及個資或相關機敏資訊;而當雲端業者無法提供服務或是服務中斷時,銀行的應對措施;至於資訊安全部分,則是檢視雲端業者的資安控管是否符合國際標準或是金融法規要求。
在委外作業計畫書部分,主要涵蓋五大重點,包括必要性、適法性、內部風險管理機制、客戶資訊保護措施以及委託機構與範圍,其中必要性是指業者必須檢附相關文件向主管申請核准才能辦理。此外,業者也必須在計畫書載明專案內容的作業流程,對公司經營與客戶權益無不良影響。
為降低資安風險,計畫書也必須載明專責單位以及委外作業的相關風險;在客戶資料部分則必須確保提供資料與受託事項需符合個人資料保護法。
而雲端委外後仍有日常監理與持續性查核挑戰要面對,其中在雲端服務部分,雲端服務供應商的總機構、營運中心與客戶雲端運算服務所涉及的整體系統、網路架構與設備,不得限制實地查核的標的與範圍對象。
安侯法律事務所指出,根據主管機關目前態度,主要認為雲端業者所委託的第三人未必熟稔我國金融業資安規範,因此仍需由銀行本身委託第三方與其他金融機構聯合進行查核。
至於該如何進行雲端服務的查核作業?安侯指出,在金融業部分主要是扮演溝通協調角色,協助KPMG與雲端業者取得必要的受稽文件,而KPMG則是負責確認查核基準與方法,並提供查核需準備的資料清單與抽樣資訊;另外,雲端業者則是負責提供、佐證紀錄或相關評估報告,並接受訪談作業確認稽核人員對於現狀的認知。
資料來源
- 台灣銀行家,2022年4月號
