金融科技新趨勢 —— 如何面對行動支付安全風險

隨著金融科技 Fintech 的發展,行動商務及電子支付的發展與普及,行動支付提供相較於傳統支付方式更快速、便利的交易的方式。然而在提供便利快捷的交易同時,如何兼顧安全交易,防範並降低科技所帶來的風險,提供一個既便利又安全的行動交易環境,是行動支付產業要持續面對的管理挑戰。
評論
評論

本文作者為勤業眾信聯合會計師事務所企業風險管理部門溫紹群副總經理、林錦龍經理與張孟傑副理共筆,Inside 獲授權轉載。

前言

隨著金融科技 Fintech 的發展,行動商務及電子支付的發展與普及,行動支付提供相較於傳統支付方式更快速、便利的交易的方式。然而在提供便利快捷的交易同時,如何兼顧安全交易,防範並降低科技所帶來的風險,提供一個既便利又安全的行動交易環境,是行動支付產業要持續面對的管理挑戰。

行動支付支國內外趨勢

(一)行動浪潮下之電子商務

依據勤業眾信 2014 年 5 月 -- 7 月全球行動消費者調查 (如圖 1.),發現大部分的人把智慧型手機選為他們接下來一年中最有可能購買的電子設備,這部分人占大約三分之一。另外在 2015 年之前,手機極少透過某些技術 (例如 QR 碼或其他短程無線技術) 進行交易付款。只有很少一部分的手機用戶宣稱他們曾經使用手機在商店內進行過手機支付。2015 年將會是運用智慧型手機進行行動支付的轉捩點,因為這一年許多實行行動支付的先決條件都將為主流所接受,例如符合許可條件的金融機構、商家、消費者、技術廠商和營運商都已準備就緒。

勤業眾信「2015 高科技、媒體及電信產業趨勢預測報告」預測 2015 年度,在 6-6.5 億支裝載有近距離無線通訊技術 (NFC,又稱近場通訊) 設備的手機中,將有 5% 每月至少一次被用於行動支付,雖然 2015 年底行動支付仍不會成為電子支付的主流,但想對於前幾年近乎零成長的狀況,今年的發展趨勢將有很大的進步。展望未來,透過 NFC 設備進行店內支付的數量將有穩定成長。到發展中期時,消費者會越來越適應操作方式,也會有越來越多銀行和企業加入這種支付方式並使其應用於更多市場,可以預期未來行動支付的交易數量和交易範圍都會有穩定的成長。

(二)行動支付擴大支付機制的應用範疇

由於行動支付的發展日新月異,將消費支付與行動裝置整合的各項新技術相繼問世,包括:手機信用卡、行動 X 卡、行動刷卡機。(mobile POS)、QR Code、TSM 等,謹就國內市場發展現況說明如下:

1. 手機信用卡:

經由 TSM(Trusted Service Manager) 及利用空中傳輸 (Over the Air,簡稱 OTA) 技術或其他方式,將信用卡資料下載或儲存至手機或配件,取代實體卡片,以便持卡人在特約商店,利用手機 NFC 功能,進行感應式刷卡交易,已有 12 家金融機構發行手機信用卡。

2. 行動 X 卡:

客戶臨櫃申請連結存款或信用卡帳戶的行動 X 卡 (SD 卡),將行動 X 卡置入智慧型手機的記憶卡插槽內,取代實體卡片,經由行動商務平台所提供的服務軟體,透過網路於特約商店進行消費。

3. 行動刷卡機 (Mobile POS,簡稱 mPOS):

將行動裝置搭配簡單讀卡機,即可作為無線刷卡機,便利商家使用,可降低安裝傳統刷卡機的成本,已有至少 5 家金融機構提供 mPOS 服務。

4. QR Code(Quick response code):

以手機 APP 讀取特約商店所提供的 QR Code,進行網路刷卡交易,至少已有 19 家金融機構開辦該項業務。

行動支付之安全風險

綜觀上述行動支付的交易模式,相較於傳統交易方式,行動支付於交易過程不需提供個人帳號、信用卡號、有效期限、卡片背面末三碼等資料,但仍須考量資料安全、交易安全及行動裝置安全之安全風險議題 (如圖 2.):

圖 2:行動支付之安全風險議題

(一)資料安全

目前「信用卡業務機構辦理手機信用卡業務安全控管作業基準」及「電子支付機構資訊系統標準及安全控管作業基準」等法令法規都已針對資料安全要求服務平台應建立完善之資料安全防護機制,於提供各項服務功能時,應確保個人資料保護措施。

在行動支付生命週期的活動中,資料透過行動裝置、無線網路到支付平台,完成支付指令,到完成支付動作 (如圖 3.),行動支付交易過程經過多重關係人,資料安全環環相扣,資料傳輸、資料處理及資料儲存過程如果有任何一個環節控管不當,將造成資料外洩會影響到使用者權益,行動支付業者有義務設計適當保護機制以避免資料外洩,確保使用者資料及交易相關訊息安全。

圖 3. Flow of data throughout the mobile payment architecture。

(二)交易安全

行動支付依國內法令規定,採取小額方式進行管制,但是電子支付具有交易速度快、交易便利性、單筆金額較低、安全防禦程度較複雜等特性,因此以下幾個潛在風險應被適時關注:

1. 外部反洗錢/反套現

交易對象來自四面八方,因此如何透過身分驗證機制篩選出造假的使用者,或是經過審核的使用者進行虛假交易或信用卡套現等活動,都必須透過支付交易平台進行偵測與分析,而這中間包含對於交易紀錄的留存與保護,如何運用巨量資料分析技術進行外部詐欺行為偵測等。

2. 內部反詐欺

由於組織內部人員因為管理需求,往往具備比較大的權限或是能夠明瞭交易系統上的管控漏洞,組織如何有效防止內部人員詐欺或舞弊行為,不單單僅是透過內控制度要求,也應建立完整的偵測與應變機制,以維持消費者對整個組織及產業的信賴程度。

(三)行動裝置安全

感應式 (如 NFC) 手機支付的核心優勢在於擁有高度安全性,這一點對於所有手機支付方式都適用,無論是手機內建功能 (透過硬體或者軟體) 還是基於 Sim 卡的標記化功能。當使用者透過感應式支付設備進行付款,標記化設備會產生一個特殊的編碼。這個編碼會從設備傳輸到店家的感應式支付專用帳戶。信用卡卡號在行動支付過程並不會被轉移,這意味在傳統信用卡交易時才會產生卡片資訊被洩漏的情形發生並不會發生。信用卡資訊會被儲存在發行機構網路 (例如 VISA、萬事達卡)、雲端 (HCE) 或者手機上的安全元件。一個編碼僅限用於對應的該次交易,否則將會無效。如果金融犯罪者在交易途中進行攔截,也只能獲得該次交易的標記碼,而無法獲得信用卡的資訊。

目前 NFC 的支付系統平台主要有 TSM(Trusted Service Manager)、HCE(Host Card Emulation) 及 Apply pay,不同支付系統平台的安全性各有所不同,TSM 採用採用硬體式的「安全元件」,提供高度可靠的保護機制,防止卡片資料外洩或遭竄改;Google 主推的 HCE 技術採用軟體式安全元件與開放作業系統,將安全元件放到雲端模擬,手機裡不用再有安全元件;Apple 同為 TSM 和手機提供商,Apple pay 採用 Token 代碼服務技術,將交易卡號轉為 Token 代碼,特店在交易過程不會接觸到消費者的卡號,安全性相對較高。

雖然各種行動支付平台設計不同安全性機制,但不意味行動支付交易就沒有安全風險,例如行動支付應用程式設計是否符合行動應用 App 基本資安規範要求、使用者身分確認機制與安控機制是否完備、裝置遺失與失竊等,都是會影響行動支付的使用安全議題。

行動支付之安全風險因應之道

(一)資料安全方面

鑒於行動支付生命週期中,從資料傳輸、資料處理及資料儲存過程皆有資料外洩之風險,故建議可從網路基礎架構、資料儲存保護、系統安全、存取控制、網路安全幾個方面著手,如透過良善的網路架構設計,區隔作業環境及交易系統;除非交易需求,盡量避免儲存使用者資料及交易相關訊息,且機敏資料應加密儲存及傳輸;持續發掘系統弱點,並建立系統安全開發及維護程序,且定時/不定時進行稽核;基於 (need to know) 原則授予資料的存取權限,並建立身分驗證程序,且留存存取記錄;定期監控並測試網路安全,以發掘並修補網路弱點。

(二)交易安全

1. 外部反洗錢/反套現

為預防外部的詐欺行為,建議應建制良好的使用者身份驗證機制,並針對不同的使用者環境、交易場景、交易金額進行不同的風險評估及分析,以要求使用者進行不同強度的身分驗證機制。另外,建議應建置防偽冒與洗錢防制的偵測系統,建立風險分析模組與指標,針對使用者的交易行為,包含使用者的消費習慣、消費時間、消費額度、消費地點及常用連結金融機構帳戶等進行分析,並於有疑似異常的交易行為發生時能即時通知告警相關人員妥善處理。

2. 內部反詐欺

為預防內部反詐欺風險,可從下列幾項強化控管機制 (如圖 4.):

圖 4:強化內部反詐欺控管機制

(1) 強化交易平台資訊安全防禦程度

應遵循相關法令法規所訂定之安全基準,並定期執行各項資訊安全評估作業,即時發現資訊安全弱點及潛在威脅,並以技術面與管理面的角度實施管控措施,以強化交易平台之資訊安全防禦程度。

(2) 強化系統層面日誌的留存與證據保護能力

應規劃系統層面的日誌留存機制,將各應用系統、作業系統、資料庫、網路設備及資安設備之日誌及稽核軌跡集中管理。稽核軌跡應包含資料存取與異動、系統存取與異動等內容,並進行異常紀錄分析,藉由設定合適之告警指標,可隨時掌握企業之資訊安全。

(3) 建立完整的內控稽核制度

應建立完善的內部控制及稽核制度,並確保該制度能持續有效執行。除遵循相關法令法規之要求外,建議應規劃整體的企業經營策略及風險管理政策,擬定營運計畫及風險管理程序。並透過建立內部稽核及風險管理機制,維持有效的內部控制制度運作,以預防與監督內部詐欺行為。

(三)行動裝置安全

行動裝置安全之議題主要包含行動裝置作業系統之安全性、支付應用程式之安全性、及實體安全。除支付應用程式為企業應考量,須符合應用程式的安全開發準則及法令法規所要求之設計原則,應於布署前進行應用程式安全檢測。此外,行動裝置作業系統之安全性、及實體安全因涉及到使用者的行為而帶來資訊安全潛在風險,如 root、JB 等取得應用系統最高權限行為,或是行動裝置遺失與失竊等。然而企業應建立提醒之機制,如偵測到使用者的行動裝置疑似遭破解,應提示使用者注意風險。另外,也應建立行動裝置遺失與失竊之處理機制,並做好使用者身份確認機制,降低遺失與失竊所帶來的風險。

結語

行動支付對於使用者和企業來說都是一種高成本效益、極其便利的支付方案,政府亦提出要推動民眾的電子支付行為超過一半。因此,不論行動支付產業如何發展及變化,提供一個既便利又安全的行動交易環境依然為首要之目標。因此,如何在便利與安全之間取捨或取得平衡,如何建立並維護完善的風險管理機制,如何強化安全,將是行動支付產業需要持續面對的挑戰。

參考文獻 / 資料來源

(1) 勤業眾信「2015 高科技、媒體及電信產業趨勢預測報告」

(2) PCIDSS (https://www.pcisecuritystandards.org/security_standards/)

(3) Wikipedia (en.wikipedia.org)

 

歡迎加入「Inside」Line 官方帳號,關注最新創業、科技、網路、工作訊息

好友人數

Akamai 擁有最卓越的執行能力,獲《Critical Capabilities》肯定

Akamai 是全球最受信賴的數位體驗保護和遞送解決方案供應商,連續四年獲得《Magic Quadrant for Web Application and API Protection (WAAP)》評選為領導者。
評論
圖片來源:Akamai
評論

Akamai Technologies, Inc. 是全球最受信賴的數位體驗保護和遞送解決方案供應商,在 2021 年《Magic Quadrant for Web Application and API Protection (WAAP)》(網路應用程式與 API 保護 (WAAP) Magic Quadrant) 中,獲 Gartner 評選為領導者。

Gartner 分析師評鑑 11 家廠商,並依據各廠商願景之執行力和完整度給分。在採用新命名的報告中,Akamai 在執行能力方面獲得最高評價。這份報告是 Gartner《Magic Quadrant for Web Application Firewalls》(網路應用程式防火牆 Magic Quadrant) 的進化版本,而 Akamai 在過去四年連續獲 Gartner 於該報告中評選為領導者。

Gartner 也發表了 2021 年《Critical Capabilities for Cloud Web Application and API Protection》(雲端網路應用程式與 API 保護的關鍵功能) 報告。這是 Gartner《Magic Quadrant for Web Application and API Protection》(網路應用程式與 API 保護 Magic Quadrant) 的配合報告,此報告評估了 WAAP 產品保護網路應用程式與 API 的能力。在此報告內,Akamai 於四大使用案例的其中三項皆獲得最高分,包括 API 安全與 DevOps (3.60/5)、高安全性 (3.76/5),以及網頁規模的業務應用程式 (3.91/5)。

根據 Gartner《Hype Cycle for Application Security, 2021》(2021 年應用程式安全技術成熟度曲線) 指出:「雲端網路應用程式和 API 保護產品是雲端遞送式多功能網路應用程式安全產品,且須整合至少四項核心功能:網路應用程式防火牆、DDoS 保護、機器人程式管理和 API 保護。WAAP 是網路應用程式防火牆所扮演之角色的進化版,而此進化是因為企業需要更有效地防禦多種威脅手法,同時大幅增加對外公開的網路應用程式和 API。」

Akamai 親眼見證叫用 API 的幅度大幅增加。為了確保 API 安全,需要量身打造的解決方案,以因應深度 API 訊息檢查、API 規格管理、驗證與授權,以及反自動化等問題。

Gartner 表示:「安全與風險管理領導廠商所選用的 WAAP,應能夠提供容易使用的控制功能,並可針對先進機器人程式與日益進化的 API 攻擊,提供更為專門的保護。」根據 Gartner 指出:「到 2026 年時,40% 的組織會根據進階 API 保護及網路應用程式安全功能來選擇 WAAP 供應商。」

Akamai 相信,全方位的網路應用程式和 API 保護解決方案需包含相鄰安全功能,以涵蓋範圍不斷擴張的威脅。在 2020 年,Akamai 推出首款引進自動化 API 探查與分析功能的雲端 WAAP 解決方案。

Akamai 在今年推出調適性安全引擎,這是其網路應用程式安全產品組合的核心基礎,其設計可自動因應攻擊的複雜程度來調整防護,同時減少維護和調整規則的工作。另外亦包含機器人程式能見度與緩解能力,以針對機器人程式對數位資產的影響提供深入剖析。

Akamai 應用程式與網路安全產品管理副總裁 Amol Mathur 表示:「網路應用程式與 API 安全有一項不變的特質,那就是變化 Akamai 持續在 WAAP 產品中推動大幅進展,讓我們的客戶能更輕鬆跟上迅速加快與變動的威脅情勢,同時提高營運效率並增加開發人員工具。我們相信 WAAP 產品組合的這些重要進展,是讓我們在 Gartner《Magic Quadrant》報告中贏得領導廠商地位的功臣。」

Akamai 技術支援和管理服務,持續獲得客戶肯定

根據報告指出:「Akamai 的客戶在客戶支援體驗方面,給予該廠商極高評價,包括他們從技術支援和管理服務獲得的專業知識和協助。」

此外,Akamai 保護資料、網站和應用程式的能力,以及其網路安全解決方案的使用簡便性,均獲得客戶的認可。

根據 2021 年 9 月 20 日的 Gartner Peer Insights 評論,以下是 Akamai 客戶的意見:

  • 一位服務業的技術主管表示:「這套軟體 (Kona Site Defender) 擁有絕佳的功能,可保護企業資產和組織資源免受 DDoS 攻擊和各種網路威脅的影響。它在處理威脅時能提供高準確度。它能以更準確的方式保護網站和裝置,包括行動裝置在內。它能封鎖與廣告相關的惡意網站和內容,這些都可能損害企業安全。」
  • 一位零售業的軟體開發工程師表示:「適用於 DDoS 和網路應用程式攻擊的最佳安全產品。KSD 是我用過最好的安全工具。它簡單易用,而且具有出色的支援能力。KSD 提供可自訂的保護機制,這非常有用,且其功能都相當實用又切中要點。」
  • 一位金融業的網路自動化專家表示:「我們與 Akamai 合作以保護我們的核心資產,而每一分錢都值回票價。我們每年都會進行一次 DDoS 模擬演習,以測試 Akamai DDoS 和 WAF 的控制功能,而測試結果證明我們的投資是值得的。」
  • 一位金融業網路產品經理指出:「Kona 提供了顯著的安全改善,並且賦予我們過去無法獲得的可見度。它是我們的策略中的核心產品,以確保提供給客戶的應用程式安全無虞。」

歡迎於此處免費參閱 2021 年 9 月 20 日所發表的 Gartner《Magic Quadrant for Web Application and API Protection》(網路應用程式與 API 保護 Magic Quadrant) 完整報告,內含 Magic Quadrant 圖表。如需有關 Akamai WAAP 產品的額外資訊,請造訪此處

本文章內容由「猿聲串動」提供,經關鍵評論網媒體集團廣編企劃編審。