金融監督管理委員會於今年三月召開「金融機構作業委託他人處理內部作業制度及程序辦法」(下稱委外辦法)修正草案公聽會。因應金融科技發展趨勢,適當導入雲端服務可改善作業處理效率及系統建置彈性,有助於金融機構經營效率之提升及節省成本。
筆者整理以下幾點金融產業應注意的項目:
1. 確保個資存放安全
金融業者每天處理大量用戶的個人資料,雲端郵件主機服務存放敏感個資附檔時,應提供去識別化或代碼化,資料下載至地端再解開識別。金融業者呈現給客戶看的個資全部要去識別化,只有交易要核、要對帳有必要時才能完整顯示,讓企業放心將個資上傳至雲端郵件主機服務,且雲端郵件主機服務應提供企業自行管控 master key 方式。
2. 妥善保護記錄檔
企業應可存取所有雲端郵件主機服務的紀錄檔,且紀錄檔存放於雲端系統時應實現實體隔離、加密妥善保管,並提供匯出方式或提供企業管理者設定,將紀錄檔集中儲存在地端的 Log Server。協助企業符合內部資訊稽核需求,了解雲端系統在營運過程中產生的稽核軌跡與紀錄。
3. 了解資料實際存放場域
雲端委外廠商應向承租企業說明,服務資料實際存放於哪個機房,存取服務是否存在頻寬上限,是否提供臨時增加流量計價方式。讓企業了解,雲端郵件主機服務是否符合企業服務客戶所在國家的法律遵循。
4. 建置雲端異地備援
企業為確保郵件主機服務持續營運,需要建置另一套郵件主機作為備援。建置所需要的硬體成本、維護成本、時間成本都非常龐大;雲端服務優勢在於短時間完成建置,企業不再需要準備硬體設備,承租雲端服務後即完成異地備援建置。規劃透過雲端委外廠商提供異地備援時,是否能支援自家郵件主機方案也會是首當考慮因素;若雲端委外廠商提供跨平台的郵件主機雲端備援方式,便可讓企業有更好的選擇。
5. 評估檔案未來自主權
企業決定不續承租雲端郵件主機服務時,雲端委外廠商應提供匯出通用標準格式方式(如 EML、PST、ISO 格式)。企業可在租約到期甚至是租約到期前,隨時取回資料轉移至其他服務平台。轉移過程企業應可全程自行完成,不需雲端委外廠商再介入處理。
6. 廠商是否符合資訊安全管理系統之認證標準
雲端委外廠商應符合資訊安全管理系統(ISMS)認證,減少企業對於雲端委外廠商服務品質及資訊安全風險的顧慮。
委外服務並非近幾年才出現議題,所有企業都會面臨雲端服務與自設機房哪個比較划算?哪間廠商的 C/P 值比較高?承辦窗口都需要提供一種可以為企業量身定做的方案。而金融業今年有機會進入委外服務的市場,但之前已經投資的機房該如何慢慢退場?是否有辦法轉向其他用途?對於雲端服務的安全性,使用雲端服務是否洩漏企業資料?相信對於承辦窗口都是一大難題。
筆者相信企業在很多情形下應該會是混合並且小部分進行,而金融業對於安全性的要求相對於其他產業又更高,進行的步調可能會更慢,甚至是各企業都在觀望這個市場。但還是要回歸到企業的需求,在時間成本、硬體成本、維護成本、安全性、法規遵循各個方面下審慎地評估,選擇雲端委外服務是否有解決自身企業長年來的痛點才是最佳解決方案。
本文同步刊登於 SecBuzzer:https://secbuzzer.co/post/51