中央銀行總裁楊金龍14日將赴立法院財委會專題報告「我國推動行動支付的相關規範與面臨可能資訊安全風險的因應機制」,根據央行提出的書面內容,楊金龍針對行動支付的資安風險提出三因應機制,包括行動支付交易特別加強「點對點」安全防護設計、建構多層次縱深防禦體系和財金公司資安風險因應機制與布署管理。
楊金龍表示,為促進行動支付發展,亞洲國家陸續推展QR Code共通支付標準,整合不一的規格,便利商家及消費者使用。台灣由財金公司協同金融機構持續進行相關基礎設施,推動時程早於新加坡、澳洲、馬來西亞及日本等國家,未來將繼續努力發展創新金融服務,深化普惠金融,推廣行動支付,更便利大眾使用。
針對行動支付資安風險因應機制,楊金龍指出,首先,除遵守法令與國內外規範加強安全防護,行動支付交易特別加強「點對點」安全防護設計,確保交易無法被偽冒及竄改。應用程式、重要參數及資料的防護,嚴格要求與國際同步,同時運用多樣化技術,避免單一設備暴露或遭破解,引發系統性風險。
使用者認證機制設計強度,須確保支付指示均為合法使用者的意思表示,另對行動裝置、應用程式、網站等使用者,設有監控機制,協助使用者防範駭客攻擊,以維護行動支付體系的安全。
其次,楊金龍說明,持續強化內部資安管理制度與程序、培養專業技術人力,取得國內外資安專業證照、定期辦理全員資訊安全訓練、提升人員資安意識,並就交易安全、作業安全、系統安全、網路安全及實體安全等面向,建構多層次縱深防禦體系。
再以定期舉辦各項安全防護演練及檢測,並委託外部公正第三方專業機構,定期辦理滲透測試、弱點掃描、防阻斷攻擊及紅隊演練,驗證相關機制與程序的有效性及合宜性。
最後,楊金龍強調,財金公司資安風險因應機制與布署管理,除通過國際「PCI DSS 支付卡產業資料安全標準」審查驗證,並通過英國標準協會「ISO 27001資訊安全管理系統」、「BS 10012個人資料管理系統」、「ISO 22301業務持續運作管理系統」及「ISO 9001品質管理系統」的驗證與定期審查,確保各項資通訊安全機制、個人資料管理、系統營運不中斷運作及資安作業品質符合國際標準。