首頁 > 焦點新聞

以金融業為例,API潛在的資安風險及解決方法(上)

作者:資料來源: 中華民國期貨業商業同業公會 期貨人季刊 2020 第一季/ 作者: 資策會資安所技術合作組- 鄭婷方,顏思嘉,朱宇豐 -2020 / 08 / 12 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
Fintech趨勢下的Open Banking
近年來由於資訊科技的快速發展,及社會大眾對於電子商品的高度依賴性,透過電子化技術導入金融消費市場的Fintech成為金融業熱烈討論的議題。在資訊科技導入金融市場的過程中,必須針對金融產業、資訊產業、資安產業這三個獨立的產業進行整合,因此資訊技術以及資安問題日益受到重視。其中在2015年6月世界經濟論壇(World Economic Forum, WEF)報告中指出,金融科技將帶來前所未有的突破性創新,甚至金融服務業的風貌將被重塑。

截至2019年,金融科技全球投資額已突破30兆台幣,此數據更凸顯出金融業與資訊科技業整合的趨勢已成為必然,資安問題也會日益受到重視。但在過往社會大眾認知裡,由於資訊安全的問題往往被視為資訊產業的成本,因此金融業導入資安的難度相對較高。即便如此,Fintech的概念已經改變金融圈交易的生態,因應不同的交易模式所衍生出來的風險,迫使金融業不得不重視資安議題,以避免在金融服務創新的過程中產生無法承擔的交易風險。
 
Fintech的概念具體展現於開放銀行(Open Banking),而Open API(應用程式界面,Application Programming Interface)為主導開放銀行的實際執行層面。Open Banking其精神在於將金融數據的主導權還給消費者,藉由「消費者賦權」
來達成「消費者與社會利益的最大化」。而Open Banking的運作模式主要是在銀行取得消費者的授權後,以合法的方式將金融數據及相關資訊提供給第三方業者(Third Party Service Providers, TSP)進行共享使其加以整合並分析相關數據進而產生更有價值的訊息。
 
二、Open Banking關鍵驅動力- API
目前為止,世界各國政府對於Open Banking所採行的運作方式及相關規範也有所不同。2018年,歐盟推出第二版的支付指令(the Second Payment Services Directive, PSD2)以第一版的支付指令PSD1要求銀行建立數位及電子支付服務為基礎下,更近一步要求銀行必須提供Open API給外部機構使用,此支付指令除了使銀行資料更加透明化外,也進一步提升了消費者對自身財物的主控權。同年,歐盟針對個人身分、生物特徵,以及定位資料等,提出一般資料保護規範(General Data Protection Regulation, GDPR),顯示出金融機構對法遵科技(RegTech)的需求日益增長。

有別於歐盟針對Open Banking訂定相關的規範,台灣的開放銀行政策採用香港的不修法模式,主要由銀行與TSP以合作方式共同推動,並採三階段開放,依序從商品資訊、客戶資訊到交易資訊,透過漸進式手法改變傳統銀行的營運模式。2019年10月16日,台灣「開放API平台」正式啟用,首先針對第一階段的商品資訊進行提供,此階段以非金融交易資訊為主且不涉及消費者的個人資料,主要為TSP業者透過API介接各家銀行的商品資訊,使消費者可透過應用程式比較各銀行的相關產品服務。
 
1
推薦此文章
3
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…