新聞稿

打造穩定安全共享環境 迎接台灣數位金融新藍海

勤業眾信:四大策略 實踐「開放金融」資料保護的第一步

①風險治理②安全實施③風險預警④威脅應變

【2019/12/30,台北訊】勤業眾信聯合會計師事務所今(30)發布《邁向開放金融 打造穩定安全的資料共享環境》報告,內容指出,金融資料開放不僅激發產業創新,更增加跨業合作或重組生態圈的機會,不過,網路安全與隱私保護風險亦隨之提升。勤業眾信提醒,網路安全與隱私保護已是開放銀行與開放金融商業模式的重要關鍵,面對資料開放所帶來的網路安全與隱私保護風險,建議企業以「風險治理、安全實施、風險預警、威脅應變」四大策略,思考各營運環節的防護機制,以建立完整點線面360度治理框架,落實金融機構與第三方服務業者(TSP)豐富金融科技創新應用場景之目標。

 

金融數據共享 翻轉產業態樣

勤業眾信聯合會計師事務所銀行與資本市場產業負責人陳盈州會計師指出,今年財金資訊股份有限公司所打造的金融開放API平台啟用是台灣開放金融的重要里程碑,在金融數據安全共享下,金融業者與科技新創業者在相互激盪與合作下,共同為消費者提供結合生活場景的創新、多元的金融服務,正式接軌國際。開放金融的核心價值為「資料共享」,金融資料在客戶同意之前提下安全共享,透過API授予第三方服務業者(Third-Party Service Providers, TSP)使用,金融機構也需「找盟友」與TSP業者建立「共享資料」(Data-Sharing)管道,開發讓使用者在未接觸銀行(Bank)、而能享受銀行金融的服務(Banking),以共創台灣數位金融生態圈。

目前,金管會規劃台灣開放銀行依「商品、客戶和交易」三大階段循序推進:一、公開資料查詢:以提供非交易面金融產品為主,使消費者能於TSP業者處取得利率、匯率、產品等資訊;二、消費者資訊查詢:需獲得消費者同意或授權才能存取個人資料與消費資料;三、交易面資訊:在消費者同意或授權下,於TSP業者的服務或APP上進行金融交易與支付,也是TSP業者最引頸期盼的階段。

儘管如此,開放銀行的發展仍存有許多風險及挑戰。Deloitte澳洲(Deloitte Australia)《2019年開放銀行大調查》報告發現,消費者較願意將涉及其隱私的資訊授權予可信任、會妥善保管資料的機構;其中,願意分享給大型銀行、區域銀行、公營銀行、退休基金等金融機構的比例較高,約占20%-50%;反觀,僅有5%-20%的民眾選擇數位銀行、科技公司、電信、航空、零售等業者。顯見,打造穩定安全的共享環境,是開放金融最重要的議題,TSP業者身為金融產業新進入者,須更加留意相關規範,以獲得信任感及忠誠度。

 

四大管理策略 完善風險治理框架

勤業眾信聯合會計師事務所風險諮詢服務副總經理林彥良表示,共享資料固然有其價值,但維護資料的隱私與機密性也是金融機構必須承擔的重要責任。目前台灣對於金融業Open API共享資料並無專屬法規,主要師法香港、新加坡自願自律的方式,由金管會責成銀行公會及財金公司,研議「業務合作自律規範」及「技術與資安標準」,並同時規範TSP業者應遵守洗錢防制法、資恐防制法、個人資料保護法、消費者保護法等既有法規。落實「大框架要求,範圍內自由發展」的概念,給予金融機構能自行挑選合作的TSP廠商,以及資料共享與制定標準的空間。

林彥良提醒,對金融機構與TSP業者而言,當前建議需急迫檢視八大構面,包括:一、資訊存取權限管控,特別是身份認證與權限授予;二、資料保存與保護機制;三、網際網路穩定性及備援機制;四、API間資料傳輸安全控管機制;五、重要機敏資料備份與還原能力;六、面對DDoS攻擊的防禦能力;七、主動掌握最新資安趨勢及事件,以即早進行防護準備;八、治理與管理階層對於網路安全與隱私保護意識。

 

勤業眾信彙整,企業可由「風險治理、安全實施、風險預警、威脅應變」四大策略著手,完善管理機制、降低開放資料所面臨的潛在威脅。

一、風險治理:企業應擬定新興商業模式、金融風險管理方式與網路安全政策,從組織固有風險自我檢視開始,建立風險治理作業規範,形塑以風險為導向的治理邏輯。

二、安全實施:金融機構應從流程、產品或服務設計的角度,評估、管理與監控資料保護的風險,確保符合法規要求,也預測資料生命週期可能產生之風險,並做出回應與優化,再者可參考國際對於逐漸成熟的「隱私強化技術」(Privacy Enhancing Technologies, PET)進行強化補強,讓企業維持在健康的範圍。

三、風險預警:為確保企業能即時掌握內外部的潛在風險,應藉由內部資訊環境的檢測與外部威脅情資的分析,在無法被看見的數位世界中,探勘任何威脅組織的風險。

四、威脅應變:由於金融機構為易受駭客攻擊的目標,金融產業網路安全防禦框架應符合營運策略,擬定網路安全政策、強化整體防禦能力,建立網路安全監控流程以及事件應變機制,以提升網路風險應變能力與處理速度。同時,應變機制應納入TSP業者與共享資料之單位;唯有完整的應變制度、充足的安全意識訓練,以及受專業訓練的跨組織應變團隊,才能夠於災難發生時產生最大的應變能力。

勤業眾信總結,網路風險應變能力與處理速度是台灣數位金融生態圈的決勝關鍵,網路安全與隱私保護之於開放金融不只是技術議題,金融機構應建置完整的網路安全防禦框架,從擬定新興商業模式策略、金融風管理方式與網路安全政策開始,以打造穩定安全的資料共享環境,邁向下一階段的開放金融。

Ø   附件一、共享資料的好處與潛在問題

 

勤業眾信聯合會計師事務所銀行與資本市場產業負責人陳盈州會計師
勤業眾信聯合會計師事務所風險諮詢服務副總經理林彥良
是否找到您要的資訊?