Facebook加入
LINE加入
2021/12/25
因應科技創新不停歇、資安威脅日新月異,當金融服務業開始擁抱雲端的同時,需更加關注資安問題及法規遵循。有鑑於此,微軟與台灣金融研訓院於日前共同舉辦「起步雲端、轉型未來 - 邁向兼顧法遵與資安的金融創新」國際研討會,探討「金融服務業數位轉型的全球趨勢」、「雲端服務的稽核與監理」、「金融服務業的資安議題」、及「微軟金融服務法規遵循方案」等議題。
企業普遍存在著地端作業最為安全的迷思,認為不使用雲端就可免除駭客入侵及竊取資料的疑慮,卻忽略了最重要的事實 - 許多資料外洩事件其實是來自企業內部本身,舉凡與商業利益價值相關,無論地端或雲端作業皆有一定的風險。金融業法規複雜且嚴格,普遍中小型金融業沒有足夠的專職人員去深入了解,由於擔心誤觸地雷區而選擇不改變,是眾多金融業者無法舉足邁向雲端的主要原因。
對此,台灣金融研訓院院務委員陳世訓表示:「許多金融業者認為現階段沒有即刻採取雲端化的急迫性,然而若希望金融運用新興科技創新發展,藉由大數據分析出具有商業價值的資料,以做為企業佈局決策的參考,作業上雲端則是基礎。身處現今雲端化及行動化發展蓬勃的同時,台灣金融服務業上雲需要注意是否符合安全性與法規,以及符合監理規範並可被稽核,如此才能更迅速推動金融創新與數位轉型,搶佔市場先機。」
微軟自2012年起積極與全球各地的客戶、法規制定者、及大型國際金融監理機構進行溝通。首先,從客戶了解他們使用雲端的各種需求及情境後,在設計雲端服務時便可將合規需求考量進去,因此當客戶實際運作時自然也就遵循法規;在與法規制定者與大型國際金融監理機構溝通方面,微軟除了隨時關注金融政策及大環境的改變,更積極了解國際間制定法規的原則與趨勢,藉此協助大型公有雲推動時能遵循現行法規。
微軟主張的可信任雲提供四個承諾:隱私保護、法遵、資安與公開透明,能幫助客戶解決雲端使用上的擔憂。微軟全球助理法務長暨微軟金融服務業全球法規策略架構長 Dave Dadoun 表示:「有鑑於金融服務業客戶特殊的法規遵循要求,微軟雲端服務就金融服務業的客戶提出五大承諾,其中包括協助客戶達成監理的法規需求、透過公開透明的方式提供資訊、協助客戶實現其法規義務、進行詳盡的風險管理、並提供客戶法規遵循計畫。微軟自2012年起每年舉辦及邀請超過50個以上金融機構參與大型國際金融服務法規遵循方案高峰會,以加速全球大型金融服務業順利採用雲端服務來提升他們的顧客服務價值;同時,在過去四年與超過100家金融主管機關的法規制定者溝通,幫助法規制定者了解微軟金融客戶採用雲端的安全及合規。」
截至今年3月,微軟已與全球超過100位金融主管機關的法規制定者就雲端服務之法遵事項進行交流,其中包括大型國際金融監理機構如美國聯邦存款保險公司FDIC (Federal Deposit Insurance Corporation)、美國金融檢查委員會FFIEC (Federal Financial Institutions Examination Council)、國際貨幣基金組織IMF (International Monetary Fund)、歐洲銀行管理機構EBA (European Banking Authority)、英國金融行為管理機構FCA (Financial Conduct Authority) 以及瑞士、新加坡、澳洲等多國主管機關。
面對即將於5月25日實施的「歐盟一般資料保護法規」GDPR,微軟率先透過契約明白承諾:微軟雲端服務於GDPR開始實施時會符合其合規性要求,同時微軟也是第一個取得 ISO/IEC 27018 國際雲端隱私權認證的雲端服務供應商,由此可見微軟確保企業資訊安全與隱私權保護的決心與投資。微軟協助客戶透過微軟信任中心網站 (Microsoft Trust Center) 了解各國對於雲端服務的合規、安全、隱私等要求標準,並讓客戶清楚理解微軟雲端服務取得的各項國際及產業認證,以及協助客戶達成其法規遵循需求;此外,透過微軟服務信任入口網站 (Microsoft Service Trust Portal) ,客戶可自行下載各項微軟雲端服務認證稽核報告,及使用微軟提供的工具或文件,進行自身風險評估及追蹤法遵活動的動態狀態,以簡化過往繁複的稽核工作。
Azure協助企業雲端化的四大價值包括提高生產力、混合雲服務、智慧管理及可信任雲。微軟擁有全球最大規模資料中心及網路分布版圖的雲端服務供應商,且是唯一能支援稽核服務的混合雲服務供應商,符合最多的法遵項目並以超越監管機構制定的法定標準加以設計雲端服務,同時支援最多安全應用工具及功能。
若企業尚未決定將資料放在雲端,微軟也提供了Azure Stack混合雲服務,企業可透過此種方式將雲端運算的靈活性和創新能力引進內部部署境中,讓企業在私有雲環境中也可享有Azure智慧雲端服務。微軟全球金融服務產業暨Azure產品團隊資深副總經理 Alan Ross表示:「微軟雲端的設計架構是公有雲及混合雲具有一致性且具互通性,因此無論金融業使用公有雲Azure或混合雲Azure Stack,從身份辨識、資料平台、智慧服務、資安管理,都能享有微軟雲端上的完整服務。企業選擇微軟雲端服務時,能夠自由移轉雲端與地端之間,且無論在任何一端都可以隨時即時監控以確保安全。」此外,「微軟也了解金融服務業轉型到雲端過渡期對資安的疑慮,因此對系統穩定度、安全性等擁有高標準的自我要求之外,更每年投資十億美金在資安基礎設施上,微軟目前在全球有50個地點設置微軟資料中心,能協助企業迅速佈署資安防護,因此客戶使用上可以更加安心。」
Azure在資料存取上的安全防護,還包括能依據使用者的角色及工作職掌來進行實體機及虛擬機器的存取權限控管,同時運用多重要素驗證進一步確認使用者身份以做到完善的資料保護。微軟發現,企業的員工平均會使用28個雲端的應用程式,而其中僅27%應用程式有支援多重要素驗證;僅10%符合SOC 2、HIPAA及PCI DSS等國際或產業資料安全標準規範;而20%的應用程式承諾:當帳號終止使用後,會將使用者的資料抹除。微軟雲端應用程式資安解決方案 (Microsoft Cloud App Security) 讓企業可以透過智慧資安達到即時管控雲端資料安全,確保私有雲資料移轉公有雲時亦同樣擁有高度的安全性。
延伸閱讀:
Google母公司財報成長26% Google:不擔心未來個資政策
熱門推薦
留言回覆
