觀點

第三方支付準備起跑 資安只是入門票

2014 / 06 / 12
張維君
第三方支付準備起跑 資安只是入門票
根據統計,台灣近年來電子商務市場規模每年以20%的成長率快速成長,2014年更可望達到新台幣7,000億元。也難怪台積電董事長張忠謀日前提到,台灣未來產業將會是網際網路、服務業當道。

為了促進電子商務產業發展,解決金流、支付問題,金管會日前已將「電子支付機構管理條例」草案送行政院審查,接著進入立法院三讀。法規名稱所指的「電子支付」是將行動支付、第三方支付、電子票證發行機構如悠遊卡等全部納入管轄,因此有心經營電子支付如電信業、第三方支付平台、銀行、電子商務等業者在內,都需符合該法規範。

關於該法條草案的內容,金管會銀行局目前僅公告8點主要調整內容,其中要求電子支付機構「應建立內部控制及稽核制度」,並「納入公會組織協助建立自律規範」。然而不管是行動支付、第三方支付等各種支付工具,都是在電子商務環境中扮演金流角色、儲存民眾敏感個資的平台,今(2014)年以來,國外已陸續發生金融機構外洩信用卡個資的重大新聞事件,包括1月韓國信用局外洩2000萬筆信用卡持卡人個資,以及5月eBay疑似外洩1億筆用戶姓名、電子郵件、住址等個資。支付平台的安全機制是否已做好準備、相關防舞弊措施是否已建立等,以及主管機關將如何監理,都令人關注。

歐付寶總經理林一泓認為取得PCI DSS、ISO 27001證書,都只是拿到進入支付市場的門票而已。

第三方支付的資安規範

網購市場蓬勃發展,然而安全以及詐騙問題仍是阻礙網購發展的因素之一。於是扮演起買賣雙方仲裁以及履約保證角色的第三方支付,因而備受期待。由於大陸支付寶的成功,目前有意經營支付平台的除了電信業、銀行業之外,包括電子商務、遊戲業也都興致勃勃。比起電信業、銀行業的資安防護水準,電子商務及遊戲業者的資安環境仍難讓大眾安心,尤其各家在草創初期多半全力拼業績,有誰真正願意先投資看不見的資安?就算通過資安認證取得證書,就代表真正安全嗎?

關於資安機制,早先在經濟部的「資料處理服務業者受託處理跨境網路交易評鑑要點」有清楚明訂資料處理服務業者應建立資安機制、通過ISO 27001或PCI DSS、遵守個資法等,而安侯企管資訊科技諮詢服務部經理李裕民也指出,「目前(電子支付機構管理條例)草案雖尚未明定資安標準,但要求標準應不會低於目前金融業或電子商務業者已有的各項安全基準。」

Verizon台灣首席安全顧問麥孟生表示,從去(2013)年下半年開始,企業對PCI DSS驗證的詢問度開始增加,主要以電子商務及遊戲業者居多。他指出,PCI DSS 2.0版共有289個控制項,去年11月公告的PCI DSS 3.0版更新增20多個控制項,主要將近期造成重大信用卡資料外洩事件的新威脅納進來,例如POS設備的安全等。他認為,對企業來說PCI相較於ISO 27001是較為具體的資安管理規範。

對此勤業眾信企業風險服務部執行副總萬幼筠則有不同看法,他認為第三方支付範圍大,除線上之外還包括線下交易、現金等等,信用卡只是其中一部份,而PCI DSS只驗證有信用卡資料的系統,涵蓋範圍可能不夠全面。ISO 27001 (ISMS)可規範的範疇較大,同時還可整合個資管理來建立整體的資安機制,他強調不管哪種資安標準,重點在於建置範圍以及做了哪些控管。也就是說即使是導ISO 27001但導入範圍小,也不會有太大成效。此外,對於已經取得ISO 27001:2005驗證的支付業者,他強烈建議應去參考ISO 27001:2013版,新版特別針對智慧手機訂定規範,若只有ISO 27001:2005對行動裝置的管理恐怕不足。

不管是何種資安規範,必定有其值得參考之處。李裕民認為企業可將不同的管理需求,規劃兼具廣度與深度的管理流程。Nexusguard Consulting顧問也認為企業可將PCI DSS與ISO 27001整合在統一架構下,截長補短。可見資安標準不是問題,資安輔導顧問是否兼具管理與技術的實務經驗,能協助企業發現資安架構上的缺失,並真正落實資安才是關鍵。尤其對電子支付平台來說,常常需要與外部合作廠商進行資料存取與交換,如何設計安全的資料交換機制就很重要,別再發生直接開放防火牆通訊埠讓外部廠商進來存取重要資料的離譜事件。

風控防弊 消費糾紛處理機制應健全

支付平台除了基本應做好資安外,萬幼筠認為,也應重視防洗錢與防弊機制、消費者糾紛的處理機制,以及對消費者身分隱私的保護。關於內稽內控,企業可參考「上市上櫃公司治理實務守則」,至於 防舞弊機制,業者可以參考銀行公會依洗錢防制法訂定的「銀行防制洗錢注意事項範本」,其中對於確認客戶身分、帳戶及交易監控均有要求。畢竟現今詐騙手法千變萬化,身為仲裁方的支付平台可別反被買賣雙方給詐騙。

PayPal的風險管理經驗也許值得參考,PayPal主管接受媒體採訪曾指出他們有一套風控模型,負責的團隊需要即時掌握監控各種詐騙手法,並建立有效的pattern,因此透過此模型機制的放鬆或緊縮調整可降低詐騙同時兼顧營收。在網路銀行也有類似的機制在監控可疑的帳號行為,而遊戲業的經驗則是在監控虛擬寶物的盜領詐騙。

從遊戲業跨足到支付平台,於2011年成立的歐付寶在收購金流公司綠界後,提供多樣金流服務。總經理林一泓認為,目前的規定是完全走實名制,且儲值的上限是新台幣3萬元,因此洗錢的機率應該不高。但也由於實名制要做到Know Your Customer,支付平台也需辨別註冊會員身分的真偽,但在這部分內政部及聯合徵信中心就曾以「違反個資法」為由拒絕提供資料,林一泓認為平台業者只是希望能驗證會員所提供資料(身分證字號/信用卡資料)的真偽,相關單位只要回應資料的正確與否即可,若需使用查詢者付費,平台業者也願意配合。

對於台灣即將開放的支付市場,目前競爭者眾,雖然從PayPal、支付寶的成功經驗來看,都是由電子商務平台延伸做支付平台,但林一泓認為歐付寶不需綁網購平台有其優勢,目前已有1萬多家的賣家會員使用歐付寶的傳統金流服務,待法令通過可以開始儲值後,賣家會員將漸漸接受儲值支付帳戶。因此,他不擔心競爭的問題,而是希望主管機關能制定完善的法規,以防止結構上可能造成的餘額、舞弊等問題。萬幼筠則呼籲,儲值業務對銀行業者來說只是一小部份,但可能是第三方支付平台業者的全部,因此主管機關在監督治理上,應追求立足點的平等,而非齊頭式平等,以促進產業成長發展。

台灣雖然已經起步晚,但在電子商務產業的發展上,台灣業者仍有許多優勢,就如同林一泓所言,電子商務產業不需要政府像投資其他兩兆雙星計畫一樣投入巨資扶植產業,而只要法規制定好,產業即可自然發展。未來,台灣能不能有幾家與大陸足以匹敵的網際網路服務業,令人期待。