【資訊安全】TM-E-1（Part 6）

本文接續上一篇文章，繼續介紹香港金融管理局（簡稱HKMA）發布的《電子銀行的風險管理》（簡稱TM-E-1）。

7. Security controls in respect of specific e-banking channels
7.1. Internet banking accessed via mobile devices
7.2. Banking services accessed via social media platforms or other portals
7.3. Self-service terminals
7.4. Phone banking
7.5. Contactless mobile payments

第七條是針對各種提供電子銀行服務的管道進行規範，包含行動裝置、社交媒體平台、自動化服務區、電話銀行和行動支付。然而台資銀行在香港設立的分行多半只提供電腦版的電子銀行，所以對於多數分行來說，並不適用第七條的規定。

相較於電腦版的電子銀行，行動電子銀行可能帶來其他風險，例如作業系統漏洞/弱點、惡意應用程式（APP）、行動裝置遺失或遭竊、使用者安全意識薄弱等。認可機構除了建立與電腦版電子銀行同等的控制措施外，應特別留意潛在風險。認可機構應辦理風險評鑑（Risk Assessment）、識別相關風險、制定風險處理計畫。

認可機構應於官方網站或操作手冊中提供使用行動裝置的安全注意事項，例如行動裝置應使用密碼上鎖、停用自動連線功能等（可參考行政院國家資通安全會報技術服務中心發布之行動裝置安全注意事項）。此外，認可機構應偵測偽冒應用程式，若發現異常應即時通知客戶。關於偵測偽冒應用程式的做法，例如定期於搜尋引擎輸入關鍵字查詢、委託廠商偵測釣魚網站及偽冒應用程式等。

如果認可機構有提供行動電子銀行服務，並可於行動裝置接收或產生一次性密碼（OTP），則會弱化雙因子驗證的有效性，認可機構應建立額外控管措施，例如交易簽章（Transaction Signing）。

若認可機構透過社交媒體平台（含即時通訊軟體）提供銀行服務（如透過Facebook Messenger轉帳），則可能面臨以下風險：客戶資料外洩、未經授權交易、社交媒體平台遭到入侵、社交媒體平台營運不善，導致認可機構聲譽受損、缺乏客戶糾紛處理程序、跨境法律問題。與使用行動裝置提供電子銀行服務相同，認可機構應識別相關風險、制定風險處理計畫。

基於使用社交媒體平台會帶來諸多潛在風險，認可機構在運用社交媒體平台前，應針對合作對象的財務狀況、風險管理進行充分評估，尤其是合作對象如何防止客戶資料外洩；再者，認可機構應進行法律盡職調查，確保雙方遵守香港及海外法規要求（含客戶資料保護）；另一方面，認可機構應建立網路及系統方面的安全控制措施（如隔離區域網路、入侵偵測）；最後，認可機構應建立客戶申訴管道，處理客戶抱怨及損害賠償。

假如認可機構透過即時通訊軟體提供銀行服務，認可機構應留存訊息紀錄。客戶進行交易前，也應經過適當身分驗證機制，尤其是辦理高風險交易時，仍應經過雙因子驗證身分。

HKMA並未針對自動化服務區（如ATM）制定嚴格的使用規範，僅表列相關風險（如晶片卡側錄攻擊（card skimming attacks）），並要求認可機構定期辦理風險評鑑、識別相關風險、制定風險處理計畫。若認可機構或評估人員覺得這種以風險為導向的監管政策略為模糊，不妨參考台灣的《金融機構辦理電子銀行業務安全控管作業基準》。

談到電話銀行，HKMA以大篇幅討論身分驗證方式，尤其是知識詢問。簡而言之，認可機構應避免詢問簡易的問題，並避免行員可以輕易取得問題解答。

最後則是行動支付，情況和自動化服務區相同，認可機構應針對TM-E-1提列的風險辦理風險評鑑、識別相關風險、制定風險處理計畫。