政大金融科技研究中心要輔導TSP業者符合銀行在資安與法遵上的各類要求。(圖片來源/政大金融科技研究中心)

臺灣開放銀行(Open Banking)在2020年將邁入下一階段「消費者資訊查詢」,雖然正式上路時程還未定,但各方早已開始備戰。在4月14日一場線上活動中,負責TSP媒合的政大,首度揭露了第二階段自律規範部分樣貌,以及Open API技術與資安標準的概略架構,不過,正式的規範內容仍需待金管會核准後才會公開。

這場說明會聚焦在TSP如何符合銀行在資安與法遵的各種要求為主,以及政大日後將提供的TSP輔導內容。政大金融科技研究中心主任王儷玲在說明會直播中表示,TSP業者的參與將會是臺灣是否能成功推動開放銀行的重要關鍵。不過,她提到,首先得讓TSP業者達到開放銀行第二階段合規的各項要求。於是,在接下來的第二、第三階段,政大也將扮演輔導TSP的角色,協助TSP業者以有限資源符合銀行的資安與法遵要求,達到雙方介接技術的一致性和合規。

政大建議TSP先從法遵著手,再談業務與資訊調整

第一階段上路後,金管會曾提出,要以銀行級的資安標準來要求更敏感的資料開放行為。自去年10月開始,銀行公會和財金公司開始討論第二階段的相關技術與資安標準規範,並與十多家銀行討論,王儷玲表示,政大也參與這個過程,深入了解銀行端對於TSP業者的要求以及顧慮。同時,也把這些顧慮納入輔導範圍,讓新創公司能達到第二階段合規的要求。政大計畫在5月中另一場活動中,將進一步介紹介接一致性和合規的細節。

政大金融科技中心顧問謝焸憲點出,第二階段的挑戰是,有些TSP業者與銀行談妥業務面、資訊面議題後,最後卻在法遵面失利,比如後續稽核,過不了銀行那關。

所以,謝焸憲建議,TSP反而應從法遵面開始,先符合銀行要求的技術、營運與監理層面,再往下進行業務面的討論與資訊面的調整。「先求合規,再求合作。」讓TSP成為一個合規的第三方服務業者(Qualified TSP,QTSP),再來與銀行談業務上的合作,他說。

而在Open API的法令架構上,銀行與TSP合作須基於銀行公會訂定的自律規範,謝焸憲揭露,目前自律規範中提到,TSP必須與銀行簽訂合約、符合技術與資安標準、符合ISO 27001或相當認證。而在財金公司訂定的技術與資安標準中,銀行則要遵守Open API技術規格文件,以及業務安全控管作業規範。

謝焸憲強調,銀行公會有一份資安標準文件,列出了銀行與TSP合作時的規範。其中,第一個是安全控管要求,包括消費者註冊以及資訊查詢時的身分確認安全設計、網路型態與其安全設計、設計原則的共通要求與各類安全要求。二是資訊系統標準,要訂定組織、人員與設備安全的相關管理措施;應就機房、營運、網路、金鑰、系統生命週期、資安事故、營運持續管理等採取資訊安全維護措施。第三則是配套監理措施,需在業務申請時及其後每年由公正第三方進行檢視,提出資訊系統及安全控管作業評估報告。

對TSP而言,在合規上,合作前有三大重點工作,包括資格、技術、營運。在資格部分,得是合法登記公司,具備穩健經營的證明,並提供聲明書與相關文件,比如良民證等。在技術層面,包括連線安全、API檢驗等項目都要合規,TSP業者或其委託開發廠商所開發的應用程式介面,上線前要經安全性測試合格。而營運部分,TSP業者則須提供ISO 27001標準認證或相同等級的認證,以及資安防護能力經第三方驗證的證明。

與銀行合作後的合規重點則是稽核,包括TSP年度自行查核,以及銀行內稽抽查。在TSP內部稽核措施,政大建議,先由原ISO 27001驗證單位進行檢視,並提供報告。而對於銀行內稽抽查,政大則建議由銀行視必要性委任其他單位,對TSP做外部稽核檢視。比如,可委託配合的會計師事務所,也可參考IASME框架進行外部查核。

謝焸憲也揭露了第二階段Open API技術與資安架構示意圖,儘管這還不是金管會拍版定案的正式版本,但可一窺未來可能的規範方向。規範重點例如,連線標準採TLS 1.2的通訊協定。而使用者身分認證上,共有電子簽章、金融卡、信用卡、MobileID四種方式,而金融卡與信用卡這兩個是由銀行代驗,MobileID則由電信業者代驗。而消費者授權TSP業者去查詢在銀行的資料時,包括初次認證、再次認證,以及授權與授權期限,還有訊息安全性等,都是整個架構的環節。

政大將會推出一個約4到6個月的TSP輔導流程服務,包括了訓練課程(包括商業面、法令面、技術面和測試檢驗課程)、ISO輔導、介接標準介紹等,以及後續協助TSP進行ISO認證與介接自檢等。

特別在測試檢驗這部分,政大也與SI合作、建立了測試標準、標準版API範本、開發資料驗證小工具以及API測試小工具等工具,可供銀行與TSP參考。謝焸憲提到,5月中的說明會揭露更多資訊。文⊙李靜宜


Advertisement

更多 iThome相關內容