觀點

以資訊風險管理,打造安全安心的電子支付新紀元

2014 / 06 / 06
李裕民
以資訊風險管理,打造安全安心的電子支付新紀元
隨著網路購物市場、電信加值服務日益成長以及金融業因應市場需求轉變,帶動了電子支付(含第三方支付與行動支付等)的相關需求。從在美國地區使用已久的PayPal,到最近幾年,中國大陸的阿里巴巴從電子商務跨足支付市場,甚至即將挑戰美國史上IPO最高金額,更容易理解支付服務型態的演變,對於傳統支付業者(例如:銀行)與各類型商店,都將產生莫大的衝擊與變化,甚至帶動了傳統銀行業者與新型態支付業者的競合關係。
台灣地區的第三方支付專法,繼2013年12月,經濟部擬訂了《非金融機構電子商務支付服務管理條例》草案,送交行政院審查後,為了兼顧消費者權益、更加貼近電子商務市場生態與業者需求,近期行政院將主管機關權責移轉給金管會,並於2014年5月擬訂了《電子支付機構管理條例》草案。
依據法令調整方向,甚至未來可能另外公布子法,不論是已取得主管機管核准從事網路交易代收或擔任信用卡特約商店平台的金融機構、電子票證發行機構、金流平台,或者積極創新電子商務支付平台的業者(例如:TSM服務平台-Trusted Service Manager)、國外業者欲進入此市場者,在取得核准或報備後,均能夠進入支付市場,讓支付服務範圍,更加延伸,並可跨境支付。上述各類型產業業者,在專法的規範下,勢必面臨新的衝擊與挑戰。
以下就業務策略、資訊安全風險與內部稽核與控制三個面向,來探討電子支付機構可能面臨的衝擊與因應策略。 

業務策略面
拜科技所賜,全球的支付應用,更趨多元化。全球電子支付服務、行動支付、電子錢包與儲值服務的整合,至少可以歸納為以下幾種模式:

圖1-常見的支付整合模式 (圖片來源:安侯企管提供)

行動支付將對於支付方式帶來革命性的變化,對於以傳統支付方式為主的金融業者,將有以下衝擊:
一、現金、支票使用率降低
二、對於實體ATM與分行的服務需求降低
三、實體信用卡,將轉化為虛擬方式或其他app方式取代
四、傳統的銀行帳戶,將被其他支付會員帳號,甚至手機門號取代
五、支付服務市場的佔有率,可能重新洗牌
我們觀察到許多金融業者,已經在支付服務進行佈局,提早因應。例如有的業者就與PayPal合作,可提領外幣;而有的業者,更瞄準觀光產業,提供兩岸購物跨境支付的服務;台灣民眾所熟悉的悠遊卡,也很有可能可以在海外地區使用,擴大小額支付的應用範圍。

對於以電子支付或經營小額支付為主的機構,在開放後,自然有許多新的市場機會,擴大支付服務的應用範圍。但首先要面對的,是業者以往並未受金融監理單位的高度監管,在面臨法令要求(例如洗錢防制)、同業公會的認定(牽涉到未來同業自律公約的訂定)等議題。總而言之,法令的要求事項與報備主管機關核准現行業務的考量,將是目前有意跨入支付服務市場的電子商務、線上遊戲、金流服務商與電信等業者的首要課題。
不論業者以何種角度進入市場,在策略面,可能有以下機會與挑戰:
一、虛實整合,擴大支付應用範圍。電子支付,可涵蓋線上支付與O2O(online-to-offline)線下支付服務。可以想見的是,電子商務業者不必再多花成本建置金流平台,而是透過電子支付,即可完成收款。同樣的,消費者只要拿出手機感應,即可在超商購物或夜市攤位付款消費。
二、目前法令仍要求實名認證機制,銀行可與異業結合扮演多重角色,包括支付、儲值、履約信託與實名認證,亦是吸收存款資金的管道。業者亦可透過與跨境金流對接,並擴大特約商店對於電子支付服務的使用量。
三、跨境支付,有匯率損益,是潛在獲利,也是風險。 

資訊安全風險面
不論是線上或線下,支付透過網路完成交易或預先購買商品再付費,應該是無可避免。根據台灣網路資訊中心調查,逾73%的上網台灣民眾擔心資訊安全問題造成個人資料、重要資料外洩;而中國互聯網路資訊中心(CNNIC)2012年調查,近半拒絕使用線上支付服務的大陸民眾是因擔心資訊安全問題造成資金被盜或帳戶訊息洩漏。上述民眾的疑慮,在新版的草案中,也規範了交易資料留存的最低年限,以及客戶申訴處理機制。對於個人資料的運用、交易資料的隱密性、安全性、傳輸與處理資料的正確性,亦明文要求。業者在評估第三方支付服務的資訊安全風險時,仍然不能輕忽,應考量的面向如下:

圖2-資訊安全考量面向 (圖片來源:安侯企管提供)

筆者觀察近期電子支付服務所發生的資安案例,包含了利用第三方支付、行動裝置技術,進行詐騙或造成個人資料外洩、利用信用卡溢付款套利等。業者在面對此類案件時,嚴重的情形,可能遭到暫停或撤銷營業資格,對於商譽與消費者信心影響甚鉅。目前雖然草案尚未明定資訊安全相關標準,不過,要求標準應該不會低於目前金融業或電子商務業者已有的各項安全基準。

不論是從技術面與管理面,業者都需要有一定的資訊安全與隱私保護成熟度,才能建立足夠的消費者信心、符合同業水準與主管機關的期待。要達到管理的成熟度,業者仍必須回歸經營電子支付業務所面臨的資訊安全風險管理。近年來由於業者對於資訊安全的重視與《個人資料保護法》實施後的遵循,普遍對於組織的風險,有較明確的評估做法。除此之外,目前國內外相關支付法規中,值得業者參考的資訊安全規範,歸納如下:

圖3-支付相關資安規範 (安侯企管提供)

另從服務的技術安全來看,以TSM服務作為各業者的公正認證平台為例,在設計支付鏈時,就必須將各項安全標準納入考量,並符合手機信用卡安控基準要求,至少包含:
一、安全設計通則:包含訊息隱密性、訊息完整性、來源辨識性、不可重覆性及金鑰管理之安全要求。
二、特殊安全設計:包含安全儲存媒介(SE)、空中傳輸(Over-the-Air, OTA)、行動交易手機透過OTA進行個人化作業(例如:開卡、設定、資料下載)、TSM維運安全(例如:網路與系統、資料安全、實體環境安全)。

歸納如下:

圖4-TSM支付平台服務安全 (安侯企管提供)

主管機關未來應也會要求業者在電子支付相關系統,在上線服務的各階段,必須進行系統安全檢測,以在互聯網金融相當發達的中國大陸為例,業者所必須遵循與進行的資安檢測與面向,至少包含以下圖示項目:

圖5-中國大陸支付產業資安檢測項目 (安侯企管提供)

內部稽核與控制
此次《電子支付機構管理條例》的訂定,對於內部稽核與內控制度的建立,也規範了訂定內部稽核與內控制度的目的、原則、政策、作業程序、內部稽核人員之資格與委託會計師辦理內部控制查核之要求,而主管機關,也將另外訂定內部稽核與控制之辦法。

業者若從服務評估、申請到營運與維護的過程來看,應該很容易瞭解到主管機關,對於內部控制要求的強度與審查,仍會參照金融檢查的相關規範方向辦理。不論是因應法令要求內部稽核與內控制度的建立,或者業者已有相當的管理成熟度,例如已經符合相關產業或國際標準認證(例如:ISO 27001、台灣個人資料保護與管理制度- TPIPAS、相關技術標準- PCI DSS、新法令由主管機關訂定的安控基準等),都會面臨到對於稽核活動的規劃、執行、矯正與持續改善與績效指標的衡量,業者在規劃與建立稽核與內部控制時,應該從組織管理綜效的角度,兼顧管理需求的範圍、廣度與深度,通盤考量並統籌規劃、避免重工,為組織的資源配置最佳化。若以電子支付作為管理範圍,就可以將不同的管理需求,規劃兼具廣度與深度的管理流程,舉例如下:

圖6-管理需求規劃範例 (安侯企管提供) 

結語
國內電子支付服務在業者的期待受到主管機關重視與管理專法即將上路的情形下,將邁向新的紀元。跨境的支付與金流,也將帶動更多的商機。台灣在電子商務與金流服務,一向有創新的領先契機,但也面臨淺碟市場無法形成規模經濟的挑戰。除了在策略面面臨許多成熟服務模式已被市場接受,必須尋求突破外,在區域跨境金融發展與資訊安全風險管理的面向,台灣的資訊安全風險管理,在資安認證的數量上、在全球的統計上,並不遜色。相信在管理的成熟度上,有絕佳的基礎與能力,因應電子支付服務新紀元。

本文作者任職KPMG安侯企業管理 資訊科技諮詢服務部經理