金融科技新趨勢 —— 如何面對行動支付安全風險

隨著金融科技 Fintech 的發展,行動商務及電子支付的發展與普及,行動支付提供相較於傳統支付方式更快速、便利的交易的方式。然而在提供便利快捷的交易同時,如何兼顧安全交易,防範並降低科技所帶來的風險,提供一個既便利又安全的行動交易環境,是行動支付產業要持續面對的管理挑戰。
評論
評論

本文作者為勤業眾信聯合會計師事務所企業風險管理部門溫紹群副總經理、林錦龍經理與張孟傑副理共筆,Inside 獲授權轉載。

前言

隨著金融科技 Fintech 的發展,行動商務及電子支付的發展與普及,行動支付提供相較於傳統支付方式更快速、便利的交易的方式。然而在提供便利快捷的交易同時,如何兼顧安全交易,防範並降低科技所帶來的風險,提供一個既便利又安全的行動交易環境,是行動支付產業要持續面對的管理挑戰。

行動支付支國內外趨勢

(一)行動浪潮下之電子商務

依據勤業眾信 2014 年 5 月 -- 7 月全球行動消費者調查 (如圖 1.),發現大部分的人把智慧型手機選為他們接下來一年中最有可能購買的電子設備,這部分人占大約三分之一。另外在 2015 年之前,手機極少透過某些技術 (例如 QR 碼或其他短程無線技術) 進行交易付款。只有很少一部分的手機用戶宣稱他們曾經使用手機在商店內進行過手機支付。2015 年將會是運用智慧型手機進行行動支付的轉捩點,因為這一年許多實行行動支付的先決條件都將為主流所接受,例如符合許可條件的金融機構、商家、消費者、技術廠商和營運商都已準備就緒。

勤業眾信「2015 高科技、媒體及電信產業趨勢預測報告」預測 2015 年度,在 6-6.5 億支裝載有近距離無線通訊技術 (NFC,又稱近場通訊) 設備的手機中,將有 5% 每月至少一次被用於行動支付,雖然 2015 年底行動支付仍不會成為電子支付的主流,但想對於前幾年近乎零成長的狀況,今年的發展趨勢將有很大的進步。展望未來,透過 NFC 設備進行店內支付的數量將有穩定成長。到發展中期時,消費者會越來越適應操作方式,也會有越來越多銀行和企業加入這種支付方式並使其應用於更多市場,可以預期未來行動支付的交易數量和交易範圍都會有穩定的成長。

(二)行動支付擴大支付機制的應用範疇

由於行動支付的發展日新月異,將消費支付與行動裝置整合的各項新技術相繼問世,包括:手機信用卡、行動 X 卡、行動刷卡機。(mobile POS)、QR Code、TSM 等,謹就國內市場發展現況說明如下:

1. 手機信用卡:

經由 TSM(Trusted Service Manager) 及利用空中傳輸 (Over the Air,簡稱 OTA) 技術或其他方式,將信用卡資料下載或儲存至手機或配件,取代實體卡片,以便持卡人在特約商店,利用手機 NFC 功能,進行感應式刷卡交易,已有 12 家金融機構發行手機信用卡。

2. 行動 X 卡:

客戶臨櫃申請連結存款或信用卡帳戶的行動 X 卡 (SD 卡),將行動 X 卡置入智慧型手機的記憶卡插槽內,取代實體卡片,經由行動商務平台所提供的服務軟體,透過網路於特約商店進行消費。

3. 行動刷卡機 (Mobile POS,簡稱 mPOS):

將行動裝置搭配簡單讀卡機,即可作為無線刷卡機,便利商家使用,可降低安裝傳統刷卡機的成本,已有至少 5 家金融機構提供 mPOS 服務。

4. QR Code(Quick response code):

以手機 APP 讀取特約商店所提供的 QR Code,進行網路刷卡交易,至少已有 19 家金融機構開辦該項業務。

行動支付之安全風險

綜觀上述行動支付的交易模式,相較於傳統交易方式,行動支付於交易過程不需提供個人帳號、信用卡號、有效期限、卡片背面末三碼等資料,但仍須考量資料安全、交易安全及行動裝置安全之安全風險議題 (如圖 2.):

圖 2:行動支付之安全風險議題

(一)資料安全

目前「信用卡業務機構辦理手機信用卡業務安全控管作業基準」及「電子支付機構資訊系統標準及安全控管作業基準」等法令法規都已針對資料安全要求服務平台應建立完善之資料安全防護機制,於提供各項服務功能時,應確保個人資料保護措施。

在行動支付生命週期的活動中,資料透過行動裝置、無線網路到支付平台,完成支付指令,到完成支付動作 (如圖 3.),行動支付交易過程經過多重關係人,資料安全環環相扣,資料傳輸、資料處理及資料儲存過程如果有任何一個環節控管不當,將造成資料外洩會影響到使用者權益,行動支付業者有義務設計適當保護機制以避免資料外洩,確保使用者資料及交易相關訊息安全。

圖 3. Flow of data throughout the mobile payment architecture。

(二)交易安全

行動支付依國內法令規定,採取小額方式進行管制,但是電子支付具有交易速度快、交易便利性、單筆金額較低、安全防禦程度較複雜等特性,因此以下幾個潛在風險應被適時關注:

1. 外部反洗錢/反套現

交易對象來自四面八方,因此如何透過身分驗證機制篩選出造假的使用者,或是經過審核的使用者進行虛假交易或信用卡套現等活動,都必須透過支付交易平台進行偵測與分析,而這中間包含對於交易紀錄的留存與保護,如何運用巨量資料分析技術進行外部詐欺行為偵測等。

2. 內部反詐欺

由於組織內部人員因為管理需求,往往具備比較大的權限或是能夠明瞭交易系統上的管控漏洞,組織如何有效防止內部人員詐欺或舞弊行為,不單單僅是透過內控制度要求,也應建立完整的偵測與應變機制,以維持消費者對整個組織及產業的信賴程度。

(三)行動裝置安全

感應式 (如 NFC) 手機支付的核心優勢在於擁有高度安全性,這一點對於所有手機支付方式都適用,無論是手機內建功能 (透過硬體或者軟體) 還是基於 Sim 卡的標記化功能。當使用者透過感應式支付設備進行付款,標記化設備會產生一個特殊的編碼。這個編碼會從設備傳輸到店家的感應式支付專用帳戶。信用卡卡號在行動支付過程並不會被轉移,這意味在傳統信用卡交易時才會產生卡片資訊被洩漏的情形發生並不會發生。信用卡資訊會被儲存在發行機構網路 (例如 VISA、萬事達卡)、雲端 (HCE) 或者手機上的安全元件。一個編碼僅限用於對應的該次交易,否則將會無效。如果金融犯罪者在交易途中進行攔截,也只能獲得該次交易的標記碼,而無法獲得信用卡的資訊。

目前 NFC 的支付系統平台主要有 TSM(Trusted Service Manager)、HCE(Host Card Emulation) 及 Apply pay,不同支付系統平台的安全性各有所不同,TSM 採用採用硬體式的「安全元件」,提供高度可靠的保護機制,防止卡片資料外洩或遭竄改;Google 主推的 HCE 技術採用軟體式安全元件與開放作業系統,將安全元件放到雲端模擬,手機裡不用再有安全元件;Apple 同為 TSM 和手機提供商,Apple pay 採用 Token 代碼服務技術,將交易卡號轉為 Token 代碼,特店在交易過程不會接觸到消費者的卡號,安全性相對較高。

雖然各種行動支付平台設計不同安全性機制,但不意味行動支付交易就沒有安全風險,例如行動支付應用程式設計是否符合行動應用 App 基本資安規範要求、使用者身分確認機制與安控機制是否完備、裝置遺失與失竊等,都是會影響行動支付的使用安全議題。

行動支付之安全風險因應之道

(一)資料安全方面

鑒於行動支付生命週期中,從資料傳輸、資料處理及資料儲存過程皆有資料外洩之風險,故建議可從網路基礎架構、資料儲存保護、系統安全、存取控制、網路安全幾個方面著手,如透過良善的網路架構設計,區隔作業環境及交易系統;除非交易需求,盡量避免儲存使用者資料及交易相關訊息,且機敏資料應加密儲存及傳輸;持續發掘系統弱點,並建立系統安全開發及維護程序,且定時/不定時進行稽核;基於 (need to know) 原則授予資料的存取權限,並建立身分驗證程序,且留存存取記錄;定期監控並測試網路安全,以發掘並修補網路弱點。

(二)交易安全

1. 外部反洗錢/反套現

為預防外部的詐欺行為,建議應建制良好的使用者身份驗證機制,並針對不同的使用者環境、交易場景、交易金額進行不同的風險評估及分析,以要求使用者進行不同強度的身分驗證機制。另外,建議應建置防偽冒與洗錢防制的偵測系統,建立風險分析模組與指標,針對使用者的交易行為,包含使用者的消費習慣、消費時間、消費額度、消費地點及常用連結金融機構帳戶等進行分析,並於有疑似異常的交易行為發生時能即時通知告警相關人員妥善處理。

2. 內部反詐欺

為預防內部反詐欺風險,可從下列幾項強化控管機制 (如圖 4.):

圖 4:強化內部反詐欺控管機制

(1) 強化交易平台資訊安全防禦程度

應遵循相關法令法規所訂定之安全基準,並定期執行各項資訊安全評估作業,即時發現資訊安全弱點及潛在威脅,並以技術面與管理面的角度實施管控措施,以強化交易平台之資訊安全防禦程度。

(2) 強化系統層面日誌的留存與證據保護能力

應規劃系統層面的日誌留存機制,將各應用系統、作業系統、資料庫、網路設備及資安設備之日誌及稽核軌跡集中管理。稽核軌跡應包含資料存取與異動、系統存取與異動等內容,並進行異常紀錄分析,藉由設定合適之告警指標,可隨時掌握企業之資訊安全。

(3) 建立完整的內控稽核制度

應建立完善的內部控制及稽核制度,並確保該制度能持續有效執行。除遵循相關法令法規之要求外,建議應規劃整體的企業經營策略及風險管理政策,擬定營運計畫及風險管理程序。並透過建立內部稽核及風險管理機制,維持有效的內部控制制度運作,以預防與監督內部詐欺行為。

(三)行動裝置安全

行動裝置安全之議題主要包含行動裝置作業系統之安全性、支付應用程式之安全性、及實體安全。除支付應用程式為企業應考量,須符合應用程式的安全開發準則及法令法規所要求之設計原則,應於布署前進行應用程式安全檢測。此外,行動裝置作業系統之安全性、及實體安全因涉及到使用者的行為而帶來資訊安全潛在風險,如 root、JB 等取得應用系統最高權限行為,或是行動裝置遺失與失竊等。然而企業應建立提醒之機制,如偵測到使用者的行動裝置疑似遭破解,應提示使用者注意風險。另外,也應建立行動裝置遺失與失竊之處理機制,並做好使用者身份確認機制,降低遺失與失竊所帶來的風險。

結語

行動支付對於使用者和企業來說都是一種高成本效益、極其便利的支付方案,政府亦提出要推動民眾的電子支付行為超過一半。因此,不論行動支付產業如何發展及變化,提供一個既便利又安全的行動交易環境依然為首要之目標。因此,如何在便利與安全之間取捨或取得平衡,如何建立並維護完善的風險管理機制,如何強化安全,將是行動支付產業需要持續面對的挑戰。

參考文獻 / 資料來源

(1) 勤業眾信「2015 高科技、媒體及電信產業趨勢預測報告」

(2) PCIDSS (https://www.pcisecuritystandards.org/security_standards/)

(3) Wikipedia (en.wikipedia.org)

 

歡迎加入「Inside」Line 官方帳號,關注最新創業、科技、網路、工作訊息

好友人數

台新 Richart 數位工具降低理財門檻,小資族也能小額投資為自己加薪

市場上理財商品眾多,曉姿雖有基礎金融知識,但對於如何開始投資,仍覺得眼花撩亂。台新銀行 Richart 瞄準「理財小白」的投資痛點,推出低門檻的銅板基金、百元投資以及 500 元即可申購的 ETF 連結基金,讓小資族輕鬆踏上財富自由之路。

評論
評論

曉姿與老公在台北市蛋黃區租房,重視生活品質的他們,時常會利用休假期間到外縣市旅遊,因而興起買車念頭。然而,他們每個月的房租開銷大,能夠存下來的錢已經不多,又不願犧牲生活品質,存錢買車是現階段的難題。為此,他們求助理財專家。理財專家建議,曉姿夫妻可以先將自己的理財規劃區分成短、中、長期目標,再根據自己各階段的目標,將手中現有的資源,作合理的分配。

小資族設定目標,找對工具輕鬆滾出第一桶金

「其實你們可以考慮降低房租,提高可支配所得。」理財專家說,蛋黃區與蛋白區房子的租金落差大,每月相差 1 萬多元,用來買兩人的大眾運輸月票,還能剩下不少,雖然通勤時間拉長一些,但每個月多存下來的錢,就可以透過投資理財方式,加速累積購車金。

理財專家說,低利率時代無法透過「定存」快速累積資產,還容易被通貨膨脹稀釋,因此必須尋求更高報酬的可能性,而投資基金就是一種方式。

「但投資基金是不是要先準備一大筆錢?」曉姿問。理財專家表示,隨著投資管道越來越多元,現在有很多金融商品不需要一次投入太多金額,進入門檻相當低,正好適合毫無投資經驗的新手小白。

例如,台新銀行 Richart 推出低投資門檻的基金產品,最低只要10元起跳,若想要投資組合多元化,也可以選擇百元基金,挑選適合自己投資偏好的基金,打造個人化的投資組合。當曉姿透過定期定額養成固定投資的習慣之後,就能從小錢開始慢慢放大投資部位,為自己累積財富。

簡單來說,曉姿一開始可以選擇每月投資 3000 元,隨著經驗累積,加上自己的工作加薪後,可以改成每月投資 5000 元,或是找老公一起投入,每月共同撥出 1 萬元投資。如此一來,預期投組的平均年報酬率 3% 推算,預計 4 年內可存到買國產房車(約 50萬)的預算,並非不可能的夢想。(以每月投入10,000元、年報酬率3%、目標金額50萬試算,預計第4年末資產可累積509,312元) 

至於若能順利買車,曉姿夫妻的長期理財目標又是什麼呢?「身為上班族,最希望的當然是早日達到財富自由的境界,不再為工作而忙碌。」不過,理財專家說,財富自由意謂著「非工資收入」大於「總支出」,及早開始理財是增加非工資收入的首要任務,積極透過各種投資工具,規律地慢慢累積財富。

台新 Richart 根據你的投資風險屬性,配好專屬組合,用銅板就能開始投資。另外,Richart 也會定期整理榜單,可查看近期熱銷、高報酬、新上架及大單基金,快速跟上趨勢。

Photo Credit:台新銀行

確認自己的投資屬性,找出最適合自己的投資方式,並開始落實

另一方面,曉姿的同事蔡九哥,雖然想進入投資市場,但沒有時間研究投資標的,因此,理財專家建議他,如果對資本市場不夠了解,那就「跟著大盤走」,可以考慮連結大盤指數的 ETF 連結基金。

「什麼是 ETF 連結基金?」蔡九哥對於ETF基金感到陌生。對此,理財專家解釋,所謂 ETF 連結基金,指的是連結大盤指數的股票型基金,以台灣最有名的 0050(元大台灣卓越 50 指數股票型基金)為例,它所連結的標的是台灣市值前 50 大企業,基本上都是知名的上市公司,獲利穩定,可以作為新手投資人的投資入門。

而曉姿雖然沒有投資經驗,但擁有七年的財經新聞編輯歷練,對投資產品具有基本的概念,對市場變化較為敏銳。因此可以採「雙管齊下」策略,一部分投資 Richart ETF 連結基金,確保穩健獲利;另一部分則選擇自己偏好的產業類別,透過 Richart 百元投資,建立自身投資組合,追求更好的績效。

蔡九哥問,「我聽說買基金還要付手續費、管理費,但股票只有手續費跟交易稅,交易成本好像比較低?」對此,理財專家解釋,近年因市場競爭激烈,券商手續費都有打折,但依然有「低消」,亦即基本手續費大約是 20 元,對於投資金額不高的小額投資人並不友善。

不過,台新Richart的基金申購手續費僅 2 折,大大降低投資人額外成本,讓小資族可以放心投資,想到就買、有錢就買。

不隨著市場上沖下洗,定期定額懶人投資術保心安

對於初入投資市場的曉姿來說,最害怕「現買現套」,尤其投資還是有一定的風險,當遭遇市場波動劇烈,自己的資產也會隨著暴漲暴跌。不過,若曉姿透過定期定額方式,分批申購基金,除了可以分散風險外,還可以避免「追高殺低」,不會瞬間「all in」在最高點,也能掌握逢低買進的機會。

相較許多銀行提供的定期定額方式,多是指定日扣款,Richart 的定期定額扣款日是每月 1 至 28 日,幾乎天天都能選,這讓曉姿可以增加扣款日來分散投資成本,降低加碼在高檔的風險。這項功能也可以讓小資族依照自己的資金流動,自由調配投資時間。如果你是自由業,或是斜槓青年,有一些額外收入,便可以根據資金入帳的時間設定定期定額的扣款日,養成固定投資的習慣。

透過定期定額的長期投資,加上聰明智慧的投資工具——台新 Richart ,大大降低了投資門檻,即使是小資族也能掌握開源的機會,買到曾經遙不可及的夢想,也逐步踏上財富自由的路。