(由左至右) Google Cloud資訊安全專家 鄭家明、Elasticsearch區域銷售總監Fernand Cheng、Secure Vectors安律信息技術PCI DSS QSA審核員黃廷弘、CloudMile萬里雲解決方案架構團隊主管梁文典

日前金管會公告，將修改《金融機構作業委託他人處理內部作業制度及程序辦法》，最快 2023 年 9月放寬金融業上雲相關申請。此舉將有助金融業加速數位轉型及提升服務效率。然而相關業者後續該如何兼顧合法合規與資訊安全、保障客戶權益？

為了解決許多金融業相關人員的困惑，Secure Vectors 安律信息、Google Cloud、CloudMile 萬里雲及Elasticsearch, Inc. 於2023年6月，共同主辦了一場「金融資安 × 合規管理 × 雲端超強佈局」研討會，特別邀集業界資深顧問群，深入剖析金融及支付上雲的法律、合規及安全保護議題。

Visa 台灣區風險管理負責人沈玫芳

Visa 台灣區風險管理負責人沈玫芳表示，疫情加速金融創新，數位需求加劇，技術支持和風險管控也更顯重要。根據最新 Visa 消費者支付態度報告，超過 6 成台灣消費者，線上購物時會用數位錢包結帳；實體通路上，近 8 成消費者週週使用數位錢包。此外，更有 3 成以上的消費者，願意分享自己的支付行為資料，取得對應優惠。

另一方面，由於經濟緊縮，詐欺變成一門生意，金融犯罪創新高，網路支付詐欺、合成身份詐欺、身份盜竊、帳戶接管、深偽技術、生物識別詐欺、AI驅動攻擊向量……金融犯罪型態更變得日益複雜。

當詐騙集團用耐心和科技，努力要挖出更多寶藏（金融詐欺獲利）時，身為寶藏守門員的金融相關業者，要如何防守？有些企業因經濟緊縮而減少對資訊安全的投資，對相關攻擊不知不覺，卻因此付出更大的代價！這也是近年企業資訊外流事件層出不窮的根本原因。

更多便利帶來更多風險，Visa 秉持負責任的創新，持續投資資安風險管理，在過去五年間，就已投入高達 $100億美金，用於科技技術和創新以保護支付生態圈，包括制定生態圈規則及安全技術來面對可能風險、採取即時對策、情報蒐集及合規要求來面對持續的攻擊、隨著變化的格局不斷發展產品及流程的能力並進行客戶教育，也可以為了客戶的風險管理需求客製等，以達到遏止詐騙罪犯蹤跡、保護商家和消費者免受詐欺損失的目標。

Secure Vectors 安律信息技術 PCI DSS QSA 審核員黃廷弘

金融業者組織內通常會設立 CCO 合規長、CSO 資安長或 CIO 資訊長的職位，無論是哪種職稱，都必須達成企業合規義務，把合規資訊包括法令、規定、產業資訊、產業規律、自律規範等先做盤查，再落實風險評鑑，降低罰金的衝擊以及人力、預算的有效規劃管理。

近期許多金融與支付業者在評估雲端服務時，常常會問「雲端服務是否符合 PCI DSS v4.0 還是ISO27001 安全的規範？」Secure Vectors 安律信息技術 PCI DSS QSA 審核員黃廷弘說明，金融業上雲的合規，和二個改版都有關，二個標準都要通過，而 ISO 37301 是讓所有的合規管控都可符合的大傘。

做好合規管控就等於做好資安，如果沒有做到合規的要求，不但有潛在資安問題，還會有高額的罰金問題。以「個人資料保護法」為例，之前最高僅可罰新台幣 20 萬元，但今年五月初審通過「個人資料保護法修正案」後，最高將可罰到新台幣 1,500 萬元。

傳統模式做合規，通常是給工程師看一大本程序書，卻常造成「管理的人不了解，執行的人做不到」的窘境。金融業者若想做好合規，就勢必要走到監控，需要好用的工具，例如合規管理系統。其合規監控可以節省時間，同時掌控安全。雲端監控業者可以直接告訴你，目前不符合哪一條。更可透過「自動化資料收集」、「比對合規資料庫」以及「Trigger 後續合規作業」，運用可視化系統，方便管理，真正落實「做到、又能被主管了解」的合規監控。

以主機為例，不論是地端或雲端，都需要用到主機，如果今日有位工程師默默購買使用了境外雲主機服務，傳統模式下，公司通常要等收到帳單才會發現，一不小心就背上鉅額罰金；但在合規管理系統下，不到一小時之內就會發現問題，可即時採取相關行動。

Google Cloud 資訊安全專家 鄭家明強調，金融業者上雲最關注的三大議題：資安、個資防護、合規。全球高達63%的資安事件是外部人員或受害用戶進行通報，駭客發動攻擊的手法也越來越有效率及自動化，故建立具有防範未然效果的資安防護系統，透過即時監控和自動化回應來因應駭客攻擊，是許多企業的當務之急。

CloudMile 萬里雲解決方案架構團隊主管梁文典

CloudMile 萬里雲解決方案架構團隊主管梁文典進一步分析，當銀行服務在轉型成 Bank 4.0 的過程中，其 IT 技術務必也要跟著轉型。上雲，是金融業發展的重要方向，常見的金融業上雲發展路徑，包括：備份備援、系統搬遷及數據分析。如果金融業者想讓自家上雲發展可以更正確和更有效率，萬里雲都有相對應的解決方案和豐富的成功經驗，可協助金融業者順利透過上雲強化系統韌性，並妥善管理因地緣政治所引發的風險；更可強化金融業者使用雲端大數據分析的能力，進以提升其企業經營績效與獲利。

Elasticsearch 區域銷售總監 Fernand Cheng

Elasticsearch 區域銷售總監 Fernand Cheng 更是點出許多業者的上雲痛點：「市面上很多資安平台，但都只能協助用戶剖析一部分的環境，導致分析上出現盲點或誤判。」如何整合散落各端的海量資料、進而搜索出其企業的盲點與問題？是許多業者內心的最大問號之一。

Fernand 提醒，其實這個痛點有解，Elasticsearch 是一個可以協助金融業者收集、導入與讀取不同日誌（logs）、指標（metrics）和應用足跡（traces）的資料分析平台，能在企業的現有地端、端點與跨雲端的環境，整合各方的情資與數據，協助企業以一個統一的資料分析平台，做出偵查、分析與故障排除和阻擋，鞏固企業手上的不同資安系統與科技。

最後，黃廷弘也提醒，ISO 37301 是趨勢，結構上，PCI 往管理制度、管理系統靠攏，而各家合規標準各具長處，企業可發揮優勢，讓 PCI 更完善，建立資料安全標準架構，落實>政策>程式>執行>紀錄的管理程序，方能真正打造自家企業之 金融資安 × 合規管理 × 雲端 超強佈局。

出處：商業周刊