Fintech周報第265期：摩根大通集團資安長發布公開信，呼籲金融機構強化供應鏈安全控管

4/30-5/9金融科技精選新聞

#摩根大通 #軟體供應鏈安全

摩根大通集團資安長呼籲金融機構強化供應鏈安全控管

隨著軟體供應鏈帶來的風險越來越大，近日，摩根大通集團資安長Patrick Opet發布了一封公開信件，他呼籲軟體供應商推出功能時，應優先考慮安全性，而不是求快。另外，在信件中他也提到了金融機構，他提醒，金融機構必須開始針對軟體供應鏈安全議題建立新的安全原則，並實施強而有力的控制措施，在迅速採用雲端服務的同時，也要保護客戶免受供應商漏洞影響。例如，現有的網路分段分層，和協約終止等措施在當今的SaaS服務模式中可能不再可行。「相反，我們需要採用更複雜的授權方法、先進的偵測能力，和主動措施，來防止利用系統串聯進行的攻擊行為。」他說。

最後，Patrick Opet也強調，最有效的方法，是由金融機構開始拒絕沒有提供更好解決方案的整合服務。「我希望你們能和我一起認識到這項挑戰，並果斷、合作、立即做出反應。」他說。

#Bunq #加密貨幣服務

歐洲第二大純網銀Bunq推出加密貨幣服務，用戶能在App開通帳戶、兌換加密貨幣

歐洲第二大純網銀Bunq近日宣布推出加密貨幣服務，用戶能在銀行App上開設加密貨幣帳戶，並運用歐元換取比特幣、以太幣等300多種加密貨幣。Bunq表示，根據他們最新研究顯示，歐洲高達六成五的民眾希望能在單一平臺上使用所有金融服務，包括銀行提供的服務和投資加密貨幣。並且，超過一半的民眾渴望在現有平臺上投資加密貨幣。這是他們提供加密貨幣服務的主要原因。

目前，荷蘭、法國、西班牙、愛爾蘭、義大利和比利時的bunq用戶可以直接在App中使用加密貨幣服務。

Bunq近年來積極發展創新科技服務。2023年底，Bunq推出GenAI助理Finn，一個建置於App中的Chatbot，能夠回答帳戶使用者的消費問題，還能根據交易地點、時間回應問題。去年中他們的App更整合了萬事達卡的開放銀行平臺，能連接超過3,000家位於歐洲的銀行，不僅能讓用戶在App中查看Bunq以外的銀行帳戶支出，GenAI助理Finn也能根據用戶持有的各家銀行帳戶資訊，回答用戶問題。

#Capital One #金融併購

Capital One開始規畫美國信用卡發行商Discover的IT整合計畫

今年4月，美國聯邦儲備委員會和貨幣監理署核准美國金融巨頭Capital One收購美國信用卡發行商Discover，這是一項價值高達353億美元的金融機構併購案。交易完成後，Capital One也將會成為美國最大的信用卡發卡商。

近期，Capital One執行長Richard Fairbank在財報電話會議上表示，針對技術整合議題，他們已經制訂了將Discover信用卡業務轉移到Capital One的技術架構路線圖。他提到，Capital One歷經過12年的技術轉型，技術架構已十分成熟，非常適合進行公司併購，「尤其是對信用卡公司而言。」

其實，早在2020年，Capital One就關掉最後一個本地端資料中心，成為美國第一間100%上雲的金融業者。

不過，Richard Fairbank也承認，在整合支付網路上，他們較缺乏同樣完整的方案或路線圖，因此在這項工程上會充滿更多未知數。他表示，Capital One會在未來幾年內再次接觸資料中心技術，因為Discover還有部分業務運作在資料中心和大型主機上。

Richard Fairbank提到，他們已規畫對Discover建立支付網路的現代畫改造計畫，但將這項業務放入雲端仍需要一段時間衡量，「它不會是一項快速的轉變。」

#玉山金控 #金融無塵室

玉山金揭金融無塵室最新進展，第二階段要整合跨業資訊、提升軟硬體架構

玉山金控近日揭露金融無塵室計畫最新進展。除了在今年二月和中信金控、中華郵政完成金融無塵室第一階段POC，驗證警示帳戶偵測的技術可行性。接下來，金融無塵室第二階段目標是要透過結合多元跨業資訊，捕捉更多潛在被害人，並且運用更好的演算法和硬體架構，進一步提升警示精準度。

此外，玉山金控也對外展示金融無塵室空間，他們提到，所有人員進出這個管制室，都需要移除自有裝置，例如不能攜帶手機或自有3C裝置。並且，這個空間也嚴禁任何資料攜出，管制室內部也會有個人專屬使用的對應裝置。(詳全文)

#中信銀行 #金融資安韌性

中信銀首揭金融資安韌性三大對策

中國信託銀行資安長吳佑文在今年臺灣資安大會上表示，他們過去幾年在建立資安韌性上投入許多心力，而在金融資安論壇中，中信銀首次對外公開自家三大資安韌性對策。第一，是建立縱深防禦工程，根據MITRE ATT&CK TTP手法來設置防禦對策。例如，針對社交工程攻擊，設置電子郵件的資安機制。

第二，是落實穿透測試，驗證每項資安控制措施的有效性。例如，針對檔案監控機制，中信銀的測試方法是放置無關檔案至受測伺服器，並預期系統偵測到異常檔案時需告警，且相關人員得在時效內處理問題。

最後，是確認資安作業有效性。吳佑文說明，他們的作法有三步驟，第一步是盤點關鍵資安作業，依據作業重要性及驗證可行性等條件，來排序優先驗證項目。再來是分析資安控制的有效性要件，最後則是設計有效性的驗證機制，並設計監控KPI，每月定期追蹤，確保資安作業被落實。

#台新銀行 #金融裁罰

台新銀行信用卡資料錯置缺失致個資外洩風險，遭金管會開罰600萬元

近日，台新銀行因信用卡帳單資料錯置和催收信函寄送地址異常缺失，遭金管會開罰600萬元。金管會在例行記者會中表示，台新銀過去兩次調整信用卡系統地址欄位時，未同步調整催收系統。並且，在一次調整行動銀行地址變更功能時，寫入臺幣核心系統的規則設計錯誤，導致催收系統產出之簽帳金融卡、信用卡及消金產品催收信函地址異常，產生個資外洩風險，影響客戶數共1089人。

另外，由於台新銀委外廠商辦理信用卡帳單列印及封裝過程中，發生讀取異常問題，導致客戶資訊錯置，受影響客戶數共358人。

綜合以上缺失，金管會認為台新銀未完善建立資訊系統異動之測試及檢覈機制，針對委外機構，台新銀對內未確實執行測試和驗收的作業規範，對外亦未有效督導，因此根據銀行法、內控內稽辦法，和委外辦法開罰600萬元罰鍰。

#凱基人壽 #金融創新試辦

凱基人壽和玉山銀行合作試辦導入高齡錄音輔助系統

為確保高齡族群權益，保險業務員銷售保險商品給65歲以上客戶時，保險業者必須全程錄音或錄影保留對話紀錄。近期，凱基人壽與玉山銀行合作試辦導入高齡錄音輔助系統，讓玉山銀行行銷人員在銷售商品時，可透過自家銀行系統平臺，直接進入、使用凱基人壽的高齡錄音輔助系統。這套系統可以依據客戶需求，調整系統宣讀語速和進行重複宣讀，同時搭配業務員或行銷人員在旁輔助說明，確保客戶充分理解投保內容以保障自身權益。

其他重要Fintech新聞：

• 美國超過1300間金融公司加入美國政府發行的即時支付服務FedNow
• 澳洲ANZ銀行取消密碼登入App形式，僅提供生物辨識、行動裝置密碼驗證，和經過專屬APP驗證等登入方式
• 倫敦證券交易所集團宣布和AWS延長簽約，持續運用AI和推動上雲計畫

責任編輯／李昀璇

資料來源：iThome整理，2025年5月