【資訊安全】TM-E-1（Part 5）

本文接續上一篇文章，繼續介紹香港金融管理局（簡稱HKMA）發布的《電子銀行的風險管理》（簡稱TM-E-1）。

6. Controls related to services offered via Internet banking or the Internet
6.1. Funds transfers
6.2. Online submission of information
6.3. Account aggregation service
6.4. Provision of other online financial services

第六條討論的議題較為廣泛，包含交易限制、客戶上傳資料的管控措施、帳戶整合（AAS）服務、針對其他線上金融服務的規範。

先前提到，客戶辦理高風險交易時，應該經過雙因子機制驗證身分，但認可機構可以將小額的非約定轉帳定義為低風險交易。如果有上述情形，認可機構應和客戶約定交易限額（如每筆/每日/每月轉帳限額），並提示非約定轉帳的風險（如網路銀行業務申請約定書的風險告知）。考量此類型交易的風險略高，認可機構應建立管控機制，常見的管控機制如預設停用交易功能、預設交易限額為零。建議評估人員徵求營運計畫書（Business Plan），瞭解認可機構的業務流程。

進一步來說，香港金融管理局（HKMA）為了降低電子銀行交易的風險，客戶首次申請電子銀行時，認可機構應預設停用轉帳功能，或將高風險交易的交易限額預設為零，若久未使用高風險交易功能（如一年內未使用），認可機構應評估是否將交易限額重置為零。最後，為降低未經授權交易的風險，企業電子銀行應評估是否建立雙重授權機制。建議評估人員至測試環境實地操作，以瞭解系統邏輯設計。

考量客戶可能透過電子銀行，在短時間內移轉大筆資金，進而影響認可機構的資金流動性，因此認可機構應建立流動性風險監控機制。建議評估人員先徵求流動性風險管理程序，瞭解認可機構採用的監控方法及指標。

如果認可機構提供文件上傳服務（如上傳申請文件），為了確保客戶資料的機密性及完整性，認可機構應建立網站加密機制（如HTTPS），並偵測上傳資料是否包含惡意程式。為了驗證客戶身分，認可機構應考慮向客戶要求額外證明文件（如身分證明文件）。建議評估人員先釐清認可機構是否允許上傳文件，再至測試環境實地操作及觀察系統後台運作模式。

若電子銀行有帳戶整合（AAS）功能（客戶可以在電子銀行檢視他/她在其他機構開立帳戶的明細），則認可機構應遵循以下監管措施：
1. 認可機構應與合作機構具備相容的商業模式，以降低聲譽及法律風險。
2. 認可機構應遵循香港本地及合作機構所在國家的反洗錢及資恐相關規範。
3. 認可機構應針對個人資料隱私進行法律方面的盡職調查，並釐清是否需要揭露相關資訊或取得客戶同意。認可機構也應考慮客戶投訴、合作機構發生事故時的責任歸屬。
4. 認可機構應建立安全控制措施並辦理獨立評估，以確認與合作機構間的網路連線遭到入侵的風險已降至最低。
5. 認可機構應提示客戶使用帳戶整合服務的風險及限制。

國內金融機構成立的香港分行，一般僅與總行建立帳戶整合關係，分行與總行應於合作備忘錄（MOU）明定雙方的權利義務及應遵循的法規。另一方面，分行應於官方網站或契約向客戶揭露風險。

HKMA要求認可機構依據《公平待客約章》（TCF Charter），重視以客為本的精神，並評估其所提供的金融服務風險（如信用風險、市場風險、聲譽風險、法律風險），以及線上交易對於前述風險帶來的影響。評估人員可以從風險評鑑（Risk Assessment）瞭解認可機構的風險管理方式。

另一方面，如果認可機構提供的線上服務涉及證券及期貨事務監察委員會（簡稱「證監會」）監管的服務類型（如證券/期貨交易），則認可機構應遵循證監會的相關法規（如SB-1）的規定。