行動支付之風險因子探討 --以第三方支付為例 林宜隆 ; 吳淑娟 電腦稽核 32 2015.08[民104.08] 頁97-111 資傳四乙 4A1F0039 曾顗瑄
摘要 便利 風險 ? 以第三方支付為例, 藉由ISO 27001:2013 (資訊安全標準) 來探討相關風險 行動商務崛起 商業產品網路化 網際網路發展 商業產品網路化 行動商務崛起 摘要 便利 風險 ? 以第三方支付為例, 藉由ISO 27001:2013 (資訊安全標準) 來探討相關風險
緒論 【網路發達所產生的負面影響】 透過行動支付之行為模式探討相關的風險態樣,以利針對風險做有效的管理機制與防範,降低科技所帶來的風險。 個資外洩 駭客入侵 網路詐騙 透過行動支付之行為模式探討相關的風險態樣,以利針對風險做有效的管理機制與防範,降低科技所帶來的風險。 【隱性問題】 資訊安全教育與培養 / 個資保密 /作業流程電子化如何轉變……
行動商務市場及發展趨勢
行動支付之營運模式 行動支付(Mobile payment)廣義定義: 「舉凡移動存取設備,透過移動網路,不論採用語音、 短訊 或近場通訊方式,所啟用的支付行為。」 (根據:國際清算銀行2012年零售支付工具創新報告)
行動支付之營運模式 【行動支付營運模式類型】 NFC手機 自然人憑證 悠遊卡(RFID) PayPal 支付卡載具行動化 金融機構 刷卡設備行動化 自然人憑證 行動支付 電子票證 悠遊卡(RFID) 非金融機構 QR Code 第三方支付 PayPal (資料來源:參考財經資訊季刊及本研究者整理)
行動支付之營運模式 【第三方支付流程】 3.通知 5.確認 2. 給第三方 貨款 第三方 6.第三方給予貨款 到貨 出貨 1.下單 4.寄貨 買方 賣方
【第三方支付疑慮】 「資金保管人」 代銀行職能,能直接支配交易款項。 衍生資金非法轉移、洗錢管道等不法行為。 發展「交易安全」為首要任務。
建立第三方支付風險因子之態樣 【ISO 27001:2013】 目前受到國際認可的「資訊安全管理標準」, 確保資訊安全可在組織中有效運作, 保護資訊不受威脅,並使企業持續營運 將損失降到最低。
【ISO 27001:2013】14個控制範圍(內含35項控制目標、114控制項目) 建立第三方支付風險因子之態樣 【ISO 27001:2013】14個控制範圍(內含35項控制目標、114控制項目) A.5 安全政策 A.6 資訊安全組織 A.7 人力資源安全 A.8 資產管理 A.9 使用權的控制 A.10 密碼學 A.11 實體和環境安全 A.12 操作安全 A.13 通信安全 A.14 系統取得開發及維護 A.15 供應關係 A.16 資訊安全事件管理 A.17 業務持續性管理資訊安全問題 A.18 符合性
建立第三方支付風險因子之態樣 【彙整第三方支付風險因子】 資訊安全 交易安全 資產保全 駭客攻擊 法規遵循
建立第三方支付風險因子之態樣 【交易安全風險】 資訊安全 交易安全 法規遵循 駭客攻擊 電子化,容易被複製、竄改。 資產保全 代管資金未列入資產清單中予以適 當保護。 相關系統是否能及時修補安全漏洞。
建立第三方支付風險因子之態樣 【資訊安全風險】 資訊安全 交易安全 資產保全 駭客攻擊 法規遵循 用戶辨識機制遭盜(帳密)。 建議: 使用生物辨識or個人憑證。
建立第三方支付風險因子之態樣 【資產保全風險】 網路設備定期維護檢測。 資金需要相對應的金融管制 or履約保證,避免業者非法運用。 資訊安全 交易安全 資產保全 駭客攻擊 法規遵循 【資產保全風險】 網路設備定期維護檢測。 資金需要相對應的金融管制 or履約保證,避免業者非法運用。
建立第三方支付風險因子之態樣 【駭客攻擊風險】 植入惡意程式。 利用資料隱碼(SQL Injection) 竊取資料。 資訊安全 交易安全 資產保全 駭客攻擊 法規遵循 【駭客攻擊風險】 植入惡意程式。 利用資料隱碼(SQL Injection) 竊取資料。 利用木馬程式郵件竊取消費者 交易資料。
建立第三方支付風險因子之態樣 資訊安全 交易安全 資產保全 駭客攻擊 法規遵循 【法規風險】 營運過程中的違法行為。
結論 【資安重點工作】 建立有效的資訊安全政策。 持續改善資料控管方式。 確實修補安全漏洞。 針對人員實施資訊安全意識訓練。
結論 【資安重點工作】 若發生資訊安全交易事件。 進行損害控制/通報相關單位。 告知並主動協助客戶。 請外部資訊安全廠商or 電子商務資安服務中心(EC-CERT), 評估可能的安全弱點。
The End