【資訊安全】金融機構提供行動裝置應用程式作業規範(Part 1)
隨著行動裝置(手機、平板電腦)的普及,金融機構為了提升服務效率及便利性,多半會提供行動應用程式(APP)供客戶使用。主管機關及銀行公會為了確保應用程式的安全,制定《金融機構提供行動裝置應用程式作業規範》(金管銀國字第1090134543號)。
本文將逐條說明作業規範的內容,並提出評估方式供讀者參考。建議讀者上網查詢有無最新法規(參考連結)。
第一條
中華民國銀行商業同業公會全國聯合會(以下簡稱本會)為確保金融機構提供客戶使用之行動裝置應用程式(以下簡稱應用程式) 之資訊安全,並保障消費者權益,特訂定本規範。
本規範的目的是確保應用程式的資訊安全,並保障消費者權益。
第二條
本規範用詞定義如下:
一、行動裝置:…
二、Root與Jailbreak:…
本規範涉及比較多技術層面的東西,因此衍生出許多專有名詞,第二條就列出十個用詞的定義,讀者可以自行搜尋名詞的定義。
第三條
應建立應用程式發布程序,由兩人以上或採用兩項(含)以上技術管控。
金融機構應建立書面程序,程序應載明應用程式發布流程。一般來說,金融機構都採用兩人以上管控,建議評估人員抽樣一份上架申請單,確認申請單是否經過兩人以上核准。
想要瞭解何謂「兩項以上技術」的讀者,可以參考《金融機構辦理電子銀行業務安全控管作業基準》第七條第二項第四款,也就是多因子驗證。
第四條
應於發布前檢視應用程式所需權限應與提供服務相當,首次發布或權限變動應經資安、法遵及風控等單位同意,以利綜合評估是否符合「個人資料保護法」之告知義務。
無論是首次發布或版本變更,金融機構均應檢視應用程式所需權限,差別在於版本變更時,如果沒有調整權限,不需要會辦其他單位進行評估。
一般來說,業管單位在提出上架申請時,應檢附應用程式測試報告,確認是否為首次發布或版本變更。如果有上述情形,應會辦資安、法遵和風控單位,並留存評估紀錄,連同上架申請單一併提出。
第五條
啟動應用程式時,如偵測行動裝置疑似遭破解(如 root、jailbreak、USB debugging 等),應提示使用者注意風險並限制辦理電子轉帳及交易指示類之非約定轉帳服務。
我們依據服務內容,將應用程式分為2類:有提供非約定轉帳服務、沒有提供非約定轉帳服務。前者一般是指行動網路銀行(含個人網路銀行、企業網路銀行),大多數金融機構都有提供這類應用程式;後者則視金融機構而定,常見的應用程式例如行動證券下單、線上開戶等。
對於有提供非約定轉帳服務的應用程式,如果偵測到行動裝置疑似遭到破解,除了提示風險外,應限制辦理非約定轉帳服務,最保險(也最常見)的做法是直接關閉應用程式。
對於沒有提供非約定轉帳服務的應用程式,在偵測到異常時只要提示風險即可。部分金融機構會直接關閉應用程式,這也是筆者建議的做法。
第六條
應於顯著位置(如官網、應用程式下載頁面等)提示使用者於行動裝置上安裝防護軟體。
依據規範第七條,金融機構應於官網提供應用程式的名稱、版本與下載位置,部分金融機構會在該網頁提示安裝防護軟體,或在應用程式下載頁面提示使用者,少數業者會在啟用應用程式時進行提示。
防護軟體也就是防毒軟體,只是筆者沒看過身邊有哪位朋友真的在手機安裝這類軟體。
第七條
應於官網上提供應用程式之名稱、版本與下載位置。
第七條比較沒有疑義,但評估人員不妨比對官網公告版本是否與實際下載頁面版本相同。
第八條
應建立偽冒應用程式偵測、下架或告警機制。
金融機構可以定期在搜尋引擎上使用關鍵字搜尋有無偽冒應用程式和網站(如在Google輸入XX銀行,並確認搜尋結果前三頁有無偽冒網站),若發現偽冒應用程式和網站,金融機構應向平台申請下架內容。
但最常見的做法是委由廠商偵測偽冒網站(如RSA服務),並定期提供偵測結果給金融機構。評估人員可以調閱相關紀錄,確認金融機構落實偵測機制。