安全信任是發展金融新加值服務的第一要點

「開放銀行(Open Banking)時代的來臨,許多業者開始組合、串接 Open API,以發展體驗更佳、精準或是更加值的金融服務,但若只專注於技術開發而忽略了資訊安全,創新的服務終將難以推展。」麻布記帳(Moneybook)技術長彭耀慶開門見山點出今日第三方服務業者(Third Service Provider, TSP)在 Open API 發展與運用上最可能陷入的盲點。

「開放銀行(Open Banking)時代的來臨,許多業者開始組合、串接 Open API,以發展體驗更佳、精準或是更加值的金融服務,但若只專注於技術開發而忽略了資訊安全,創新的服務終將難以推展。」麻布記帳(Moneybook)技術長彭耀慶開門見山點出今日第三方服務業者(Third Service Provider, TSP)在 Open API 發展與運用上最可能陷入的盲點。

所謂第三方服務業者,是指提供金融服務的業者為第一方,終端客戶為第二方,除此二者外的另一服務業者為第三方。而應用程式介面(Application Program Interface, API),扮演應用程式和應用程式之間的橋樑,可視為服務業者間的連線管道。

以資訊安全為前提開發創新服務 贏得客戶心中專業能力的肯定

在 Open Banking 的第一階段,TSP 業者可透過 Open API 與「財金資訊公司」的平台進行即時連線,取得國內各銀行金融商品的利率、匯率… 等公開資訊。未來,隨著第二、三階段的開放,業者能創造出更多元的金融服務。例如,貸款利率比較、跨銀行間的活儲餘額加總… 等,更多有價值的變化組合仍待探索。也由於跨金融業者的商品變化搭組具有極大的發揮與想像,去年(2019)10 月財金資訊公司開放首波 Open API 後即有六家 TSP 業者投入,麻布記帳即是其一。

以資訊安全為前提來開發新服務,說來容易,但對麻布記帳而言卻是一大挑戰。彭耀慶表示,與過往開發經驗比較,以往與合作方確認相關技術規格後就會一邊開發一邊測試可行性,資訊安全往往是排在最後的驗證流程,但這樣也衍生許多合規性的問題,最後又必須退回到原點。進入 Open Banking 時代後,麻布記帳面對的是財金資訊公司與銀行業者,為了符合金融業的標準,新的服務與議題也隨著產生。透過導入新的技術框架、建立格式化、標準化開發流程讓麻布記帳在技術面、管理面與安全合規面上都能達到要求,而且可以同時且快速和多個合作方進行技術對接,在時間效率上大幅邁進。

隨著相關法規的嚴苛要求和面對層出不窮的資訊安全威脅,例如,駭客入侵、社交工程攻擊、電腦病毒、資料外洩… 等,麻布記帳從最底層開始逐層向上擬定資訊安全政策,,由內而外、從系統到個員逐一把關。過去部分的人認為自有機房的資安掌握度高,必然比公有雲安全。隨著企業將資料中心移轉使用 GCP、AWS、Azure… 等國際大廠的公有雲,其資安標準相對也制定更高標準,在公有雲上佈建資訊系統也開始讓合作夥伴安心。麻布記帳也將服務建構於公有雲環境而非自有機房。

服務落腳於公有雲後,麻布記帳也啟用公有雲上的資安防護機制,可防止跨網站指令碼(Cross-Site Scripting, XSS)、注入攻擊(Injection)與分散式阻斷服務攻擊(DDoS)… 等。進一步的,麻布記帳的系統與財金資訊公司連線之後,其 API 溝通、傳遞… 等運作均遵照財金資訊公司制定的規範實施實作,也讓 21 家銀行業者願意主動合作串接。

從零信任把關資安防護沒有終點

在內部管理方面,麻布記帳是台灣首家通過 ISO/IEC 27001 資訊安全管理系統驗證的新創 TSP 業者;並每年定期排定各種情境演練,公司內的個員也必須通過防社交工程(Social Engineering)… 等資安意識課程,並制定每年的上課時數,和外部資安顧問團隊的訓練。

「資訊安全是沒有終點的」彭耀慶表示,麻布記帳雖已透過財金資訊公司的連線,與多家銀行進行 Open API 介接,從而讓終端使用者以更自動、便利的方式獲取更全面的金融資訊,但這只是第一步。除了銀行,還有證券、保險… 等資訊。麻布記帳已著手與證券業者合作,如何讓新的服務具備高度防護,從而獲得證券業者的信賴,並且順利串接,將是麻布記帳一項新的挑戰。

台灣金融科技正在加速發展中,對於 TSP 業者來說,協同合作開發(業者之間的協作或者業者和金融機構的協作)的廣度和深度都會快速升級。但是金融科技始終是以安全和信用為基石的一個產業,我們在思考創新的同時也務必謹慎處理安全議題。