金融上雲勢不可擋!CloudMile 聯手 Google Cloud 滿足資安合規性

純網銀、開放銀行、金融上雲三大政策從 2020 年開始實施,隨著金融法規逐步鬆綁,新型金融機構無不積極發展金融科技(Fintech),推出嶄新的服務,傳統銀行業者也逐漸意識到擁抱數位化的重要性。此趨勢下,上雲的需求正逐步增加,盼能運用雲端高彈性、快速部署、可擴充性及依用量計費等特性,跟上全球金融變革,建立金融科技生態系。根據勤業眾信發布的《 2021 金融科技趨勢展望 》報告,有將近四成的受訪金融機構指出雲端對於金融應用的核心重要性;另一份調查報告則指出,2021 年銀行業關鍵策略包括利用雲端、AI 技術來提高現金流量預測的準確性,並使財務流程自動化, 以及擴展雲端部署來增強敏捷性、實現規模化等。

然而,即使金管會鬆綁資料上雲的限制,金融業法規相比其他產業仍較為嚴謹,且受到高度監理,需要更謹慎應對資安合規性。究竟金融業者在上雲時要注意哪些法規需求,而雲端服務又能如何滿足資安合規性呢?

CloudMile 作為全台第一家獲得 Google Cloud 原廠認證的雲端託管服務供應商,能協助企業從雲端導入、策略諮詢、實際搬遷到一站式託管維運。本文根據金管會最新版本的辦法修正案,統整出金融業者的上雲合規性要點,以及 CloudMile 如何協助業者在使用 Google Cloud Platform(簡稱 GCP)的同時,滿足相對應的法規要求。

延伸閱讀:了解金融業上雲四大優勢  

Google Cloud 滿足金融業者合規性要點: 

根據金管會《 金融機構作業委託他人處理內部作業制度及程序辦法 》,金融機構將作業委託他人處理,涉及使用雲端服務時,必須遵循八大項規定。CloudMile 技術團隊指出,Google Cloud 混合多雲平台 Anthos 能同時支援雲地兩端及多雲間的環境,且擁有國際資安認證組織合規的的安全機制,能滿足金融業者上雲安全及合規性。以下將針對銀行資料上雲多項法規,對應 Google Cloud 支援的法規遵循及資安機制。

圖 1:Google Cloud 混合多雲管理平台 Anthos,能支援混合多雲架構,因此,金融業者可以根據業務需求,選擇橫跨 Google Cloud、AWS、Azure 平台及地端環境,並透過 Anthos 平台統一管理及彈性移轉應用服務。
icon/enlarge

第 19-1 條之一:需採取適當的風險管控措施,並適度分散雲端服務業者的作業

金融業者可透過 Anthos 平台管理多雲的環境,選擇兼用包括 AWS、Azure 等其他公有雲端供應商的服務,讓業者能根據自身需求調整基礎架構,減少採用單一雲供應商的風險;同時,Anthos 也支援雲地兩端彈性地轉移應用程式,這意味著金融機構能選擇將機密資料留在內部部署環境內,同時透過 Anthos 平台有效運用雲端資源,強化企業彈性及敏捷性。此外,Anthos 也提供管理主控台,以便統一進行資源配置、設定資安政策、以及監控服務狀態,使得資料合規性管理及備份更為便利。

第19-1條之五:金融業者資料傳輸及儲存,應採行客戶資料加密、代碼化及加密金鑰等機制 

在資料傳輸及儲存安全方面,Anthos Service Mesh 服務能在資料傳輸過程中進行加密,提供容器叢集(Cluster)內的 TLS 雙向認證(Mutual TLS),確保系統微服務與微服務之間的溝通安全;而資料儲存加密機制部分,只要是透過 Google Cloud 儲存資料,皆會預設靜態加密,同時,Google Cloud 也支援雲端金鑰管理服務KMS),讓業者能進一步管理、監控個別金鑰的使用權限及加密方式,也能和其他 Google Cloud 服務搭配使用。

圖 2:Anthos Service Mesh 提供容器叢集內的 TLS 雙向認證(Mutual TLS),在資料傳輸過程中進行加密,確保微服務與微服務之間的溝通安全。
icon/enlarge

第19-1條之七:委託雲端服務業者處理的客戶資料以及資料儲存地,要以我國境內為原則。若是資料儲存地位於境外,則還要遵守三項規定辦理。

Google Cloud 目前仍是唯一在台灣設有資料中心的公有雲業者,滿足包括 PCI、ISO/IEC 27001、HIPAA、SOC 和 FedRAMP 等多項法規遵循要求,使得金融業者能輕鬆將雲端伺服器及數據留在台灣,確保顧客資料及儲存地位於境內。目前除了 Google Cloud 之外,包括 AWS、Azure 等雲端服務供應商皆尚未在台建置機房,儘管金管會已開放金融業者境外上雲,但業者仍需滿足資料在台灣留存備份等規定,並額外檢視境外機房設置地的法律及法規。

第19-1條之八:金融機構應訂定「緊急應變計畫」降低因作業委託而可能有服務中斷的風險。金融機構終止或結束作業委託時,應確保能順利移轉至另一雲端服務業者,或是移回自行處理,並且確保原受託雲端服務業者留存資料全數刪除或銷毀,且要留存刪除或銷毀的記錄。

針對可能造成雲端服務中斷的不可抗力因素,像是機房停電、周邊硬體失效等,Google Cloud 則有相應的緊急應變機制。例如,當系統作業停止或流量超過負載時,Anthos Service Mesh 支援 traffic control 功能,將流量分拆到運作正常的系統後端(Backend);此外,當一座叢集出現服務異常或是出現法規遵循需求時,Anthos 平台也能透過 Ingress for anthos 技術將流量切換至不同的叢集,實現跨區、跨叢集的系統支援,確保服務不中斷。

圖 3:Anthos Service Mesh 能支援跨叢集的服務部署及高可用性,透過 Ingress for anthos 技術將流量切換至不同的叢集,達到跨區、跨叢集的系統支援。
icon/enlarge

此次修法,金管會也放寬了委外監督管理相關規定,使得金融業上雲更為容易,包括開放專業第三方來協助金融業者進行監督(第 19-1 條之二),業者除了自行委託,也能和其他委外同一家雲端服務業者的金融機構,共同委託具備資訊專業的獨立第三人進行查核。

此外,不同於過去銀行業者需自行保管金鑰,如今可以透過稽核機制,來審查第三方機構的金鑰控管機制,但金融業者仍需確保其自身、主管機關及中央銀行,或其指定的人能取得雲端服務業者執行受託作業的相關資訊,包括客戶資訊及相關系統的查核報告,以及實地查核權力(第 19-1 條之三)。

CloudMile 身為 Google Cloud 菁英合作夥伴,已協助多家大型金融機構在內、超過 400 家企業進行數位轉型,協助金融業者運用 Google Cloud 服務,建置混合多雲架構環境,並提供雲端維運、優化及技術諮詢等一站式服務,實踐數位轉型的每一步。

延伸閱讀:掌握 API 經濟 開創新商業模式

CloudMile 打造完善的金融解決方案

CloudMile 擁有豐富的數位轉型導入經驗,深耕金融產業,助攻多家大型金融業者上雲。

聯絡我們
訂閱 CloudMile 電子報

所有 CloudMile 最新消息、產品動態、活動資訊和特別優惠,立即掌握。