行動支付「嗶」出2157億元!金管會祭4面向、4規範 維護消費者資安風險

(示意圖/取自pixabay)

金管會主委顧立雄今天上午赴立法院財政委員會,以「我國推動行動支付的相關規範與面臨可能資訊安全風險的因應機制」,進行專題報告並備質詢。

根據金管會統計,隨著智慧型手機越來越普及,行動支付也逐漸改變消費者的支付習慣。而台灣金融機構已陸續推出行動信用卡、行動金融卡、行動電子票證、電子支付機構實體通路支付服務(Online To Offline,O2O)、行動收單 (mPOS)等不同類型的行動支付服務。

截至今年2月底,行動支付總交易金額已達2157億元,顯見「嗶」經濟潛力不容小覷。

不過在越來越便利的消費習慣背後,也隱藏了資安問題。如何在降低新興科技帶來的風險,並且建立一個安全的行動交易環境,絕對是每個金融主管機關必須面臨的一大挑戰。

為了強化金融機構辦理行動支付相關業務的資安防護,金管會與銀行公會已訂定4大資安規定及自律規範。

1.建立App發布程序

金管會要求金融機構建立App發布程序,當偵測到行動裝置疑似遭駭時,應提醒使用者相關風險,並限制辦理非約定轉帳服務。

另外,金融機構還必須建立偽冒應用程式偵測機制,每年委由專業機構完成安全檢測,以確保App安全、維護客戶權益。

2.提供QR Code掃描支付安全控管規範

金融機構應明訂QR Code掃描支付的安全控管規範,包括收款及付款不能只用同一組QR Code,以及付款客戶供收款單位掃描的QR Code,必須限定使用時效,而且最多只能使用一次,避免QR Code被攔截。

3.行動金融卡安全控管規範

針對行動支付須定金融卡,金管會規定,用戶在線上申辦行動金融卡時,金融機構須進行身份認證,並且明訂各類行動金融卡的應用範圍及交易限額。

另外,在下載個人化資料之前,金融機構也應確認使用的行動裝置,是否為申請人申辦時指定的行動裝置。

4.行動信用卡安全控管

針對行動信用卡安全設計,金管會要求發卡機構明訂訊息隱密性、訊息完整性、來源辨識性、不可重覆性等安全要求。

(示意圖/取自pixabay)

而對於金融機構可能面臨資訊安全風險的因應機制,金管會也針對不同面向,訂定了相關監理政策。

1.完善資安規範

金管會訂定《金融控股公司及銀行業內部控制及稽核制度實施辦法》第38條之1規定,包括設置資安專責單位級主管、提升董事長資安職能、推動資安人才培訓等。

2.強化金融資安聯防體系

金管會為了強化金融市場資訊安全的目的,成立了「金融資安資訊分析及分享中心(F-ISAC)」 ,包括銀行、票券、保險、 證券期貨等由金管會管轄的主要金融機構,都已全數加入F-ISAC。

希望藉此研究分析國內外金融資安情資,適時提出弱點公告、威脅警訊、資安威脅防護等資訊。

3.強化監理純網路銀行

金管會在去年7月30日,許可將來銀行、樂天國際商業銀行、LINE BANK設立,而這3家純網銀預計將於今年第3季後,陸續開業。

由於純網銀高度仰賴資訊科技,並無實體通路的特性,金管會將研擬「純網銀監理規劃及建置方案」,開發純網銀即時監理系統,透過該系統自動產出及申報監理報表,來因應新型態純網銀經營模式,並且有助於提升金融監理效率、降低監理成本。

而該系統預計將配合純網銀開業日正式上線。

4.違反資安規定的監理規範

由於資安管理仍屬於金融機構內部控制的一環,若金融機構發生資安缺失問題,金管會將依相關法規要求導正缺失或進行裁罰。

如果有不足之處,金管會也將提高作業風險資本計提,作為補強措施。