6　■ 財金資訊季刊 / No.86 / 2016.04

本期企劃〡金融科技 (FinTech) 之資訊安全議題－金融創新破浪勝出的贏家

金融科技 (FinTech) 之資訊安全議題－金融創新破浪勝出的贏家

溫紹群 / 勤業眾信聯合會計師事務所企業風險管理副總經理陳威棋 / 勤業眾信聯合會計師事務所企業風險管理經理陳鴻棋 / 勤業眾信聯合會計師事務所企業風險管理經理

生存的第一定律是「沒有什麼比昨天的成

功更加危險。」

－阿爾文•托夫勒 (Alvin Toffler)

一、 前言

數位科技創新改變人們的生活型態，金融

科技 (FinTech)、數位化金融、P2P (Person

to Person) 金融、行動支付、O2O (Online

to Offline)、數位貨幣、區塊鏈 (Blockchain)

技術、獨角獸公司 (市值估計超過 10億美

元之新創公司 )、加速器、API (Application

Programming Interface)、生物辨識與物聯網

(Internet of Things，簡稱 IoT) 不再只是報章

雜誌上的名詞，這些日新月異的技術發展已經

促使金融服務產生巨大變革，尤其金融科技服

務創造許多嶄新機會，新創企業可經由提供更

優質的服務，搶攻傳統金融服務市場。

企業在應用新興科技，掌握潮流脈動的同

時，實務上也將面臨許多資訊安全風險議題，例

如：使用者身分識別機制不夠完善，有心人士可

利用欺詐或洗錢等行為投機獲利；又如：金融科

技服務提供者多非傳統金融業者，風險管理之成

熟度普遍不高，在資金安全或資訊安全等方面亦

欠缺適當之管理機制；最重要的，使用者權益與

個人隱私保護更是必須強化的面向。

二、 各國最佳實務分享

(一 ) 美國

美國聯邦金融機構檢查委員會 (Federal

Financial Institutions Examination Council，

簡稱 FFIEC) 負責管理金融機構之網路安

全，為管理資訊環境網路安全威脅不斷增

加的風險，發展出一套網路安全評估工具

(Cybersecurity Assessment Tool)，針對資訊

安全風險管理、威脅情資管理、資訊安全控

管、委外及依賴關係管理、資安事件管理與回

應等面向，提供可以重複衡量網路安全防護狀

www.fisc.com.tw ■　7

金融科技 (FinTech) 之資訊安全議題－金融創新破浪勝出的贏家〡本期企劃

態之評估準則，協助金融機構辨識其網路安全

風險，並採行對應之防範措施。

(二 ) 中國大陸

中國大陸政府於「中華人民共和國國民經

濟和社會發展第十三個五年規劃綱要」(簡稱

「十三五規劃」) 揭示，將實施「互聯網＋」

行動計畫，發展互聯網 (Internet) 技術與應用

及互聯網經濟，並於西元2015年8月提出「關

於促進互聯網金融健康發展的指導意見」，鼓

勵互聯網金融平臺、產品及服務之支援與創

新，並針對互聯網金融領域目前主要的行業型

態提出相關監管原則，包含：互聯網支付、網

路借貸、股權眾籌、互聯網基金銷售、互聯網

保險、互聯網信託與互聯網消費金融等。

中國大陸支付業務發展較早，也面臨不少

問題與風險，中國人民銀行預定 2016年 7月

起施行「非銀行支付機構網路支付業務管理辦

法」，針對網路支付、預付卡之發行與受理、

銀行卡收單等支付服務訂定規範，建立相關安

全基礎，以因應快速發展的電子商務及網際網

路金融服務。

(三 ) 新加坡

新加坡金融管理局 (Monetary Authority of

Singapore，簡稱MAS) 於 2015年 8月成立金

融科技創新組織 (FinTech & Innovation Group，

簡稱 FTIG)，負責金融科技政策之發展與監管。

FTIG設置支付與技術方案辦公室 (Payments

and Technology Solutions Office)、技術基礎建

設辦公室 (Technology Infrastructure Office) 及

技術創新實驗室 (Technology Innovation Lab)

三個辦公室，將行動支付、身分驗證及生物識

別、區塊鏈、雲端運算、海量資料及機器學習

列為重點推動領域。

新加坡金融管理局分別於 2015年 8月

與 10 月 提 出 Circular on Early Detection

of Cyber Intrusion 與 Circular on Risk and

Cyber Security Training For Board，針對網路

入侵攻擊之提早偵測、管理階層之科技風險及

資訊安全教育訓練提出相關規範，期望企業強

化早期偵測網路入侵與事件鑑識調查之能力。

(四 ) 香港

香港於 2015年 11月正式成立創新及科技

局 (Innovation and Technology Bureau，簡稱

ITB)，專責香港創新科技及資訊科技之發展政

策，加強運用科技，以推動金融服務之發展。

香港金融管理局 (Hong Kong Monetary

Authority，簡稱 HKMA) 於 2015年 9月提出

Cyber Security Risk Management，針對確立

資安風險管理權責、定期評估網路安全控制、

管理網路威脅情資、定期獨立評估及滲透測試

等面向，提供資訊安全評估準則。

(五 ) 我國

金融監督管理委員會 (以下簡稱金管會 )

於 2015年 9月設立「金融科技辦公室」，擘

劃推動金融業運用科技創新服務之策略藍圖，

研發金融科技創新服務及培育金融科技人才，

並建立金融大數據共通平台 (如：信用卡大數

據平台 )，整合金融業之資源，以發揮最大的

綜效。

金管會為確保電子支付機構之交易資訊安

全及業務健全運作，避免因資訊系統運作、傳

8　■ 財金資訊季刊 / No.86 / 2016.04

本期企劃〡金融科技 (FinTech) 之資訊安全議題－金融創新破浪勝出的贏家

輸或處理發生錯誤，而影響服務之穩定與安

全，於 2015年 4月訂定「電子支付機構資訊

系統標準及安全控管作業基準辦法」，以維護

交易資料之隱密性及安全性，並維持資料傳

輸、交換或處理之正確性。

三、 整體性資訊安全框架

隨著金融科技蓬勃發展，如何防範並降低

科技所帶來的風險，提供既便利又安全的金融

活動環境，是金融科技業者必須持續面對的資

訊安全管理挑戰。

(一 ) 身分識別與生物辨識安全

使用者身分識別是金融科技關鍵技術之

一，生物特徵辨識技術 (例如：指紋、臉部、

虹膜、聲音、掌紋、靜脈等 ) 則是新一代之身

分識別發展趨勢，可經由行動裝置或穿戴式裝

置進行身分識別。企業擷取生物特徵並掃描存

檔，以供後續比對與應用時，應依據其風險承

擔能力，調整生物特徵之錯誤可接受度，以有

效識別使用者身分。對於生物特徵資料之儲存

與使用等議題，亦須考量使用者之隱私權保護

與安全管理。

(二 ) 雲端與隱私安全管理

金融科技運用新興科技改變金融業務模

式，面對雲端服務快速崛起，個人資料於雲

端使用之安全性，包含法律議題、雲端服務管

理、機敏資料存取、資料移轉與傳輸等各種面

向，早已顛覆傳統資訊架構下的管理思維。完

整的雲端資訊安全機制必須兼顧產業特性、法

令法規、內部組織作業特性及配套技術解決方

案等，才能有效降低潛在的資訊安全風險。

企業規劃雲端與隱私安全管理機制時，可

以參考 ISO 27017、ISO 27018與 ISO 29100

等國際標準所提示之最佳實務。ISO 27017標

準提供雲端安全相關實務規範，包含：雲端服

務人員之職責區隔、虛擬環境之隔離、強化與

管理、系統管理者之操作安全、雲端服務之監

控機制等。而 ISO 27018標準則針對公有雲

(Public Cloud) 服務之個人資料保護，提供最

佳實務規範。企業可搭配 ISO 29100 (我國對

應之國家標準為 CNS 29100) 等個人資料管理

之重要指導原則，綜合考量組織、技術及程序

等層面，建立隱私安全保護之資通訊技術系統

整體管理框架。

(三 ) 數位貨幣與區塊鏈技術安全應用

比特幣 (Bitcoin) 創始人於 2015年 11月

被提名為諾貝爾經濟學獎候選人，雖然我國

主管機關尚未將比特幣視為貨幣，但比特幣的

「區塊鏈」核心技術已成為各國研究的顯學，

摩根大通、道富銀行與瑞士聯合銀行等全球 9

家金融機構並協議共同開發區塊鏈技術，建立

一致的管理標準與協定。

區塊鏈是一串使用密碼學方法關聯產生的

資料區塊 (block)，每一個區塊包含一次數位

貨幣網路交易的資訊。區塊鏈技術利用複雜的

公鑰 (Public key) 及私鑰 (Private key) 運算機

制，驗證交易資訊之有效性 (防偽 ) 及產生下

一個區塊。區塊鏈可以將整個金融網路的所有

交易資訊分發到每一個使用者端，並確保每個

人只能修改自己的財產。區塊鏈技術可廣泛應

用於各種金融與支付業務之金流交易活動。

www.fisc.com.tw ■　9

金融科技 (FinTech) 之資訊安全議題－金融創新破浪勝出的贏家〡本期企劃

(四 ) Web應用與行動應用程式安全

金融科技高度依賴 Web 應用系統與

行 動 應 用 程 式 (Mobile Application， 亦 稱

Mobile App)，以創造客戶之使用者體驗 (User

Experience，簡稱 UX)，但惡意程式及個人資

料侵害等威脅已影響行動應用程式的發展。由

於行動應用程式的開發時程較短，為了支援快

速變化之業務需求，開發團隊多採用敏捷開發

(Agile development) 方式，開發人員之思維

以功能為優先導向，經常會忽略資訊安全相關

管控機制，對企業造成負面影響。

為防範行動應用程式淪為惡意人士利用之

工具，企業可以參考經濟部工業局於 2015年

7月公告之「行動應用 App基本資安檢測基

準」，分別就行動應用程式發布安全、敏感性

資料保護、付費資源控管安全、身分認證授權

與連線管理安全及行動應用程式碼安全五個面

向，針對企業自行開發或委外廠商開發之行動

應用程式，進行風險識別與檢測活動。

四、 結語

資訊單位在企業組織中之定位，已從過去

較為被動與後勤支援的角色，逐步成為引領業

務創新不可或缺的要角。大數據與新興科技之

發展，資訊作業架構之改變，可能產生新的風

險議題，必須仰賴資訊、法令遵循、業務行銷

與經營管理等各部門之通力合作。

金融科技的發展同時撼動金融與科技產

業，科技的快速變遷考驗企業組織之彈性與

創新應變能力。擁有數位金融創新之差異化策

略、可執行的行動藍圖、可與時俱進的預測風

險模型與可衡量投資效益方法的行動領先者，

將是能從這片藍海破浪勝出的贏家。

※參考文獻 /資料來源：1. 行動應用 App 基本資安檢測基準

V1.0，經濟部工業局，2015年 7月。

首先，感謝您撥冗閱讀「財金資訊季刊」！

請您提供我們寶貴的意見或建議，給我們一個攜手共進的機會，我們

將儘可能符合您的需求，也豐富季刊的內容，提升對您的服務。

敬請 不吝賜教，並請您將寶貴的意見或建議以電子郵件傳送至財金

資訊公司管理部文書組張小姐 laura_chang@mail.fisc.com.tw。

讀者心聲