https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

[專訪] NCL安全電子金流服務 為智慧城市打下運轉基礎

2015 / 09 / 02
編輯部
[專訪] NCL安全電子金流服務  為智慧城市打下運轉基礎
「智慧化」是近年來世界各國在推動城市建設時的共同方向,透過資通訊技術與智慧型行動裝置,為城市居民提供各種智慧服務,讓生活過得更便利與舒適。

目前智慧城市下的智慧服務有很多種類型,無論哪一種都與電子金融息息相關,像「Uber優步」線上叫車服務就是一個很好的例子,使用者可以透過簡訊或手機APP線上預約搭車,下車時不必從皮夾掏錢支付車資,而是直接從信用卡扣款,而這趟行程的行車路線與車資明細,都會以電子郵件的方式寄送至使用者的信箱中。

NCL執行長龐博文認為,像Uber這種透過網路連結信用卡自動扣款的交易模式,不只可以應用在搭計程車上,任何一種智慧化服務都適用,而這正是智慧城市的特色。

換句話說,在智慧城市下,支付形態正在朝電子化發展,以前人們是用現金或實體卡片(如:信用卡、悠遊卡等)進行交易,現在則是透過各種電子形式,如:手機NFC感應、手機讀取二維條碼、第三方支付平台、電子化銀行帳戶、線上刷卡…等。

結合業務流程與技術 全面控管資安風險
由此來看,電子金流顯然是智慧城市運轉的基礎,倘若沒有錢在背後流通轉動,智慧城市的各項服務將很難運作,然而現今提供電子金流服務的業者,卻又不一定是銀行,最明顯的例子就是第三方支付平台,目前提供服務的大多是電子商務業者或線上遊戲業者。

這些電子金流業者經手金錢交易,卻又不是銀行,不在現有銀行法的管理範圍內,而一般科技法規又管不到金融業務,成為政府在管理上的一大難題。對此,龐博文建議,主管機關可以參考由五大發卡組織所制定的支付卡產業資料安全標準(PCI-DSS),據此制定管理法規,如此一來,不僅能確保電子金流交易的安全性,也可以規範所有相關單位在同一個標準內,相對來說會比較容易管理。
 龐博文進一步指出,PCI-DSS乃是針對電子支付元件所設計,用來檢視軟體是否在安全的環境中運作,適用對象包括智慧服務提供者,也就是線上或實體商店,以及電子金流服務提供者,如:IDC、電信業者、元件開發者、硬體製造商…等。
而這些發卡組織在推出PCI-DSS後,便共同成立了支付卡產業安全標準協會(PCI SSC),用來負責PCI-DSS標準的發展與管理,同時推出支付應用程式資料安全標準(Payment Application Data Security Standard; PA-DSS),主要針對應用程式原始碼作檢測,確保應用程式本身是個安全、沒有漏洞的軟體。

目前,NCL除了提供PCI-DSS與PA-DSS的輔導與查核服務外,還提供安全測試與資安事件調查兩項服務,龐博文表示,一般資安服務公司在做安全測試時,通常只從技術角度出發,而NCL則是結合業務流程(也就是金流流向),應用更全面的角度來做檢測,因為就過往資安事件來看,駭客之所以能夠入侵成功,有時候並非電子支付元件本身的技術問題,而是業務流程上的缺失才讓駭客有機可乘,因此必項兩者結合才能真正做好安全防禦。

最後,龐博文強調,NCL目前全球員工總數約500人,其中80%為安全專家,安全專家中有60-70%已經取得相關認證,此外,NCL也是經過PCI SSC認可的安全評估機構(Qualified Security Assessors; QSA),其所出具的查核報告不僅能取得發卡組織認可,各國政府也多給予高度肯定,再加上為亞洲公司,比起歐美資安服務業者更了解在地文化差異與常見資安攻擊事件,更能強化電子金流業者的安全防禦能力。