台湾开放银行第二阶段技术与信息安全规范架构曝光

向梦想前进2020年5月13日

台湾开放银行(Open Banking)在2020年将迈入下一阶段「消费者信息查询」,虽然正式上路时程还未定,但各方早已开始备战。在4月14日一场线上活动中,负责TSP媒合的政大,首度揭露了第二阶段自律规范部分样貌,以及Open API技术与信息安全标准的概略架构,不过,正式的规范内容仍需待金管会核准后才会公开。

这场说明会聚焦在TSP如何符合银行在信息安全与法遵的各种要求为主,以及政大日后将提供的TSP辅导内容。政大金融科技研究中心主任王俪玲在说明会直播中表示,TSP业者的参与将会是台湾是否能成功推动开放银行的重要关键。不过,她提到,首先得让TSP业者达到开放银行第二阶段合规的各项要求。于是,在接下来的第二、第三阶段,政大也将扮演辅导TSP的角色,协助TSP业者以有限资源符合银行的信息安全与法遵要求,达到双方介接技术的一致性和合规。

政大建议TSP先从法遵着手,再谈业务与信息调整

第一阶段上路后,金管会曾提出,要以银行级的信息安全标准来要求更敏感的资料开放行为。自去年10月开始,银行公会和财金公司开始讨论第二阶段的相关技术与信息安全标准规范,并与十多家银行讨论,王俪玲表示,政大也参与这个过程,深入了解银行端对于TSP业者的要求以及顾虑。同时,也把这些顾虑纳入辅导范围,让新创公司能达到第二阶段合规的要求。政大计划在5月中另一场活动中,将进一步介绍介接一致性和合规的细节。

政大金融科技中心顾问谢焸宪点出,第二阶段的挑战是,有些TSP业者与银行谈妥业务面、信息面议题后,最后却在法遵面失利,比如后续稽核,过不了银行那关。

所以,谢焸宪建议,TSP反而应从法遵面开始,先符合银行要求的技术、营运与监管层面,再往下进行业务面的讨论与信息面的调整。「先求合规,再求合作。」让TSP成为一个合规的第三方服务业者(Qualified TSP,QTSP),再来与银行谈业务上的合作,他说。

而在Open API的法令架构上,银行与TSP合作须基于银行公会订定的自律规范,谢焸宪揭露,目前自律规范中提到,TSP必须与银行签订合约、符合技术与信息安全标准、符合ISO 27001或相当认证。而在财金公司订定的技术与信息安全标准中,银行则要遵守Open API技术规格文件,以及业务安全控管系统规范。

谢焸宪强调,银行公会有一份信息安全标准文件,列出了银行与TSP合作时的规范。其中,第一个是安全控管要求,包括消费者注册以及信息查询时的身份确认安全设计、网络型态与其安全设计、设计原则的共通要求与各类安全要求。二是信息系统标准,要订定组织、人员与设备安全的相关管理措施;应就机房、营运、网路、金钥、系统生命周期、信息安全事故、营运持续管理等采取信息安全维护措施。第三则是配套监理措施,需在业务申请时及其后每年由公正第三方进行检视,提出信息系统及安全控管系统评估报告。

对TSP而言,在合规上,合作前有三大重点工作,包括资格、技术、营运。在资格部分,得是合法登记公司,具备稳健经营的证明,并提供声明书与相关文件。在技术层面,包括连线安全、API检验等项目都要合规,TSP业者或其委託开发厂商所开发的应用程序界面,上线前要经安全性测试合格。而营运部分,TSP业者则须提供ISO 27001标准认证或相同等级的认证,以及信息安全防护能力经第三方验证的证明。

与银行合作后的合规重点则是稽核,包括TSP年度自行查核,以及银行内稽抽查。在TSP内部稽核措施,政大建议,先由原ISO 27001验证单位进行检视,并提供报告。而对于银行内稽抽查,政大则建议由银行视必要性委任其他单位,对TSP做外部稽核检视。比如,可委託配合的会计师事务所,也可参考IASME框架进行外部查核。

谢焸宪也揭露了第二阶段Open API技术与信息安全架构示意图,尽管这还不是金管会拍版定案的正式版本,但可一窥未来可能的规范方向。规范重点例如,连线标准採TLS 1.2的通讯协定。而使用者身份认证上,共有电子签章、金融卡、信用卡、MobileID四种方式,而金融卡与信用卡这两个是由银行代验,MobileID则由电信业者代验。而消费者授权TSP业者去查询在银行的资料时,包括初次认证、再次认证,以及授权与授权期限,还有讯息安全性等,都是整个架构的环节。

政大将会推出一个约4到6个月的TSP辅导流程服务,包括了训练课程(包括商业面、法令面、技术面和测试检验课程)、ISO辅导、介接标准介绍等,以及后续协助TSP进行ISO认证与介接自检等。

特别在测试检验这部分,政大也与SI合作、建立了测试标准、标准版API范本、开发资料验证小工具以及API测试小工具等工具,可供银行与TSP参考。谢焸宪提到,5月中的说明会揭露更多信息。


0
热门文章
最新文章
0个评论
支付通道大全-公众号支付通道大全-官方唯一指定QQ群-939963332
免责声明
X