銀行數位金融3.0服務應首重便利性與安全
近來金管會積極推動數位金融3.0,各金控也投入資源成立專屬部門欲搶佔商機。調查指出,若使用者愛用銀行的網銀或行動銀行服務,將提升對該行的忠誠黏著度。也因此,過去許多銀行花資源在實體分行的人員訓練與客戶服務上,現在已開始轉向數位金融的建設。然而當銀行希望利用數位科技開拓新通路或分行數位化服務時,所面臨的新挑戰與風險也不少。數位安全領導廠商金雅拓(Gemalto) 亞太區資訊安全高級經理伍尚池指出,對銀行業者而言最重要的是必須提供用戶方便使用與兼顧安全的解決方案,同時維持在合理成本內。
SafeNet 在今年1月正式併入 Gemalto 旗下,兩者合併後服務全球超過3千家金融機構,並保護全球超過8成的行內資金轉匯。伍尚池表示,銀行在邁向 Bank 3.0 時代,首先需考量不同年齡層使用者對於科技產品的熟悉度不同,銀行所提供的數位金融服務與工具也需具備各種不同方案供使用者選擇。例如 20~50 歲的使用者對於智慧手機的操作很熟悉,透過手機提供相關服務不是問題,而60或70歲以上使用者則有些仍需要透過傳統方式插卡登入網銀系統,因此解決方案的完整性是考量重點之一。
其次是惡意程式的問題,歐洲已出現許多智慧手機遭感染木馬程式導致銀行帳戶被盜領的事件。因此銀行業者要讓客戶安心使用行動銀行,在相關應用服務當中需特別確認客戶的手機是否安全才能允許進一步交易。
Gemalto 在 eBanking 上提出完整解決方案,首先透過 Ezio Mobile SDK,開發者可以開發安全的行動銀行或手機購物服務。相較於銀行自行開發,Ezio Mobile SDK 已提供現成 API 接口,對於各種手機作業系統均已考量安全存放敏感資料的各種方式。此外 Ezio Mobile Out-Of-Band 解決方案則可將手機變成認證工具,有別於一般以手機簡訊傳送一次性密碼(OTP),它每次 OTP 密碼是針對每筆交易內容而產生,可防止被駭客竄改,同時提供交易內容以供使用者確認。例如,使用者在網銀轉帳,輸入帳戶、金額與備註文字後,銀行將發送簡訊內含上述交易內容到使用者手機供確認,使用者需再透過手機上的行動網路回傳 OTP 密碼後才完成該筆交易。適合風險較高的交易類型,除了網銀也可應用在手機股票交易的確認上。
Gemalto 除了傳統硬體式的 OTP Token,也提供 Ezio onCard,在如同信用卡般的尺寸與薄度上面還內嵌LCD視窗,可提供銀行讓VIP客戶便於攜帶。除硬體式外,也有安裝在手機上軟體式的動態密碼 OTP Token-Ezio Mobile Token,可提供一次性密碼(OTP)的強認證。
Gemalto 認為 eBanking 的解決方案不只是在前端做好身分認證安全,也需做到後台的資料保護。因此 Ezio eBanking 解決方案已與 SafeNet 加密解決方案,包括儲存加密、網路加密、資料庫加密、虛擬機器加密、應用程式加密、硬體安全模組(HSM)以及金鑰管理等整合完畢,可提供企業從周邊到核心的完整保護。
伍尚池最後強調,安全絕非靠單一解決方案安裝上去就可一勞永逸,因為駭客不斷鑽研新的攻擊技術、撰寫新的手機木馬,挑戰銀行各項安全措施,因此邁向數位金融的時代,企業必須選擇有研發能力的合作夥伴,才能協助不斷提升數位金融的安全水準。
資料來源:資安人雜誌