金融上雲勢不可擋！CloudMile 聯手 Google Cloud 滿足資安合規性

純網銀、開放銀行、金融上雲三大政策從 2020 年開始實施，隨著金融法規逐步鬆綁，新型金融機構無不積極發展金融科技（Fintech），推出嶄新的服務，傳統銀行業者也逐漸意識到擁抱數位化的重要性。此趨勢下，上雲的需求正逐步增加，盼能運用雲端高彈性、快速部署、可擴充性及依用量計費等特性，跟上全球金融變革，建立金融科技生態系。根據勤業眾信發布的《 2021 金融科技趨勢展望 》報告，有將近四成的受訪金融機構指出雲端對於金融應用的核心重要性；另一份調查報告則指出，2021 年銀行業關鍵策略包括利用雲端、AI 技術來提高現金流量預測的準確性，並使財務流程自動化， 以及擴展雲端部署來增強敏捷性、實現規模化等。

然而，即使金管會鬆綁資料上雲的限制，金融業法規相比其他產業仍較為嚴謹，且受到高度監理，需要更謹慎應對資安合規性。究竟金融業者在上雲時要注意哪些法規需求，而雲端服務又能如何滿足資安合規性呢？

CloudMile 作為全台第一家獲得 Google Cloud 原廠認證的雲端託管服務供應商，能協助企業從雲端導入、策略諮詢、實際搬遷到一站式託管維運。本文根據金管會最新版本的辦法修正案，統整出金融業者的上雲合規性要點，以及 CloudMile 如何協助業者在使用 Google Cloud Platform（簡稱 GCP）的同時，滿足相對應的法規要求。

延伸閱讀：了解金融業上雲四大優勢  

Google Cloud 滿足金融業者合規性要點： 

根據金管會《 金融機構作業委託他人處理內部作業制度及程序辦法 》，金融機構將作業委託他人處理，涉及使用雲端服務時，必須遵循八大項規定。CloudMile 技術團隊指出，Google Cloud 混合多雲平台 Anthos 能同時支援雲地兩端及多雲間的環境，且擁有國際資安認證組織合規的的安全機制，能滿足金融業者上雲安全及合規性。以下將針對銀行資料上雲多項法規，對應 Google Cloud 支援的法規遵循及資安機制。

第 19-1 條之一：需採取適當的風險管控措施，並適度分散雲端服務業者的作業

金融業者可透過 Anthos 平台管理多雲的環境，選擇兼用包括 AWS、Azure 等其他公有雲端供應商的服務，讓業者能根據自身需求調整基礎架構，減少採用單一雲供應商的風險；同時，Anthos 也支援雲地兩端彈性地轉移應用程式，這意味著金融機構能選擇將機密資料留在內部部署環境內，同時透過 Anthos 平台有效運用雲端資源，強化企業彈性及敏捷性。此外，Anthos 也提供管理主控台，以便統一進行資源配置、設定資安政策、以及監控服務狀態，使得資料合規性管理及備份更為便利。

第19-1條之五：金融業者資料傳輸及儲存，應採行客戶資料加密、代碼化及加密金鑰等機制 

在資料傳輸及儲存安全方面，Anthos Service Mesh 服務能在資料傳輸過程中進行加密，提供容器叢集（Cluster）內的 TLS 雙向認證（Mutual TLS），確保系統微服務與微服務之間的溝通安全；而資料儲存加密機制部分，只要是透過 Google Cloud 儲存資料，皆會預設靜態加密，同時，Google Cloud 也支援雲端金鑰管理服務（KMS），讓業者能進一步管理、監控個別金鑰的使用權限及加密方式，也能和其他 Google Cloud 服務搭配使用。

第19-1條之七：委託雲端服務業者處理的客戶資料以及資料儲存地，要以我國境內為原則。若是資料儲存地位於境外，則還要遵守三項規定辦理。

Google Cloud 目前仍是唯一在台灣設有資料中心的公有雲業者，滿足包括 PCI、ISO/IEC 27001、HIPAA、SOC 和 FedRAMP 等多項法規遵循要求，使得金融業者能輕鬆將雲端伺服器及數據留在台灣，確保顧客資料及儲存地位於境內。目前除了 Google Cloud 之外，包括 AWS、Azure 等雲端服務供應商皆尚未在台建置機房，儘管金管會已開放金融業者境外上雲，但業者仍需滿足資料在台灣留存備份等規定，並額外檢視境外機房設置地的法律及法規。

第19-1條之八：金融機構應訂定「緊急應變計畫」，降低因作業委託而可能有服務中斷的風險。金融機構終止或結束作業委託時，應確保能順利移轉至另一雲端服務業者，或是移回自行處理，並且確保原受託雲端服務業者留存資料全數刪除或銷毀，且要留存刪除或銷毀的記錄。

針對可能造成雲端服務中斷的不可抗力因素，像是機房停電、周邊硬體失效等，Google Cloud 則有相應的緊急應變機制。例如，當系統作業停止或流量超過負載時，Anthos Service Mesh 支援 traffic control 功能，將流量分拆到運作正常的系統後端（Backend）；此外，當一座叢集出現服務異常或是出現法規遵循需求時，Anthos 平台也能透過 Ingress for anthos 技術將流量切換至不同的叢集，實現跨區、跨叢集的系統支援，確保服務不中斷。

此次修法，金管會也放寬了委外監督管理相關規定，使得金融業上雲更為容易，包括開放專業第三方來協助金融業者進行監督（第 19-1 條之二），業者除了自行委託，也能和其他委外同一家雲端服務業者的金融機構，共同委託具備資訊專業的獨立第三人進行查核。

此外，不同於過去銀行業者需自行保管金鑰，如今可以透過稽核機制，來審查第三方機構的金鑰控管機制，但金融業者仍需確保其自身、主管機關及中央銀行，或其指定的人能取得雲端服務業者執行受託作業的相關資訊，包括客戶資訊及相關系統的查核報告，以及實地查核權力（第 19-1 條之三）。

CloudMile 身為 Google Cloud 菁英合作夥伴，已協助多家大型金融機構在內、超過 400 家企業進行數位轉型，協助金融業者運用 Google Cloud 服務，建置混合多雲架構環境，並提供雲端維運、優化及技術諮詢等一站式服務，實踐數位轉型的每一步。

延伸閱讀：掌握 API 經濟 開創新商業模式