金融上雲法規正式鬆綁,金融三業如何佈局雲端策略?

近年來,部分金融業者已開始逐步探索雲端、AI 等新科技應用,但礙於政策規範仍多採觀望態度。如今,金管會正式發布修正「金融機構作業委託他人處理內部作業制度及程序辦法」,大幅鬆綁銀行、證券及保險等三業委外上雲的規範,未來銀行業者只有把「重大性消費金融業務資訊系統」委託到境外公有雲,才需要事先申請核准,其餘則無需申請;而保險業者則是將「涉及自然人客戶相關資料之重大性業務資訊系統」委託至境外處理時,才需要申請。預期接下來將有更多金融業者加入雲端轉型的行列,加速佈局雲端應用,強化自身的營運韌性來敏捷因應全球局勢變化。

CloudMile 萬里雲擁有協助金融業數位轉型的豐富經驗,從混合多雲環境建置、數據管理平台建置、開放銀行生態系建置到 AI 應用等面向,助攻業者強化營運韌性。本文將會分享 CloudMile 觀察到的最新金融上雲趨勢,並提供金融業者下一步的雲端轉型策略建議。

金融保險業上雲三大優勢

首先,金融業上雲究竟能帶來哪些優勢與好處?

近幾年各產業無不積極佈局雲端,看重的便是雲端平台提供的彈性、隨開即用及用多少付多少的特性,不僅能優化資源配置,也能運用平台提供的大量資源與服務即時滿足營運需求。以下我們列出三項金融三業上雲轉型的優勢,協助業者評估雲端使用需求:

一、強化營運韌性與資源整合

如今面臨全球局勢動盪,企業營運韌性早已是首當其衝的挑戰,對於高度監管的金融業尤其重要。雲端平台提供多樣的備援/備份選擇方式,並且有利於跨地區的數據彙整,能有效減少組織資源分散、營運中斷等問題。同時,業者無需自行管理基礎建設且可依自身的需求與用量計費。

二、享有完善的數據、AI 資源

據我們觀察,金融業者在擁抱大數據、AI 等新科技的意願相對其他產業高出許多,用於升級顧客體驗和服務品質,強化品牌競爭力。雲端平台不僅能提供無限量的運算資源,更是致力於打造各式各樣的數據/AI 服務與應用,讓業者無需自行從零開始建構數據及 AI 平台,而是能善用雲端服務進行數據分析及商業預測,加速服務推出時間。

三、建構金融生態系與應用場景

在數據為王的時代,產業間的界線日益模糊,透過資料交換與應用,便有機會促成跨業合作,甚至創造新的商業模式。例如,金融保險業與旅遊平台、機場系統結合,推出快速核保旅平險服務,又或是與零售業者支付服務合作,建立更易於跨域結盟的環境。而當數據上雲後,金融業者能以 API 來串接集團資源及外部平台,加速數據整合、跨業合作,有利於發展金融科技,並持續提供更便利的金融服務。

圖說:金融三業上雲轉型的三大優勢包括強化營運韌性與資源整合、享有完善的數據、AI 資源以及建構金融生態系與應用場景。
icon/enlarge

金融業如何開啟雲端之旅?

談到金融業上雲的第一步,對於已有完整上雲目標規劃的企業來說,現在正是開始付諸實行的好時機。常見的上雲選擇包括備份備援、系統上雲及數據上雲等面向:

  • 備份備援上雲:

    將地端資料或虛擬主機透過既有備份工具的方式備份上雲,於每年演練或發生事故時,啟動雲端運算資源對外提供服務。
  • 系統上雲:

    對系統進行全面性盤點,挑選適合的系統並排定優先上雲順序,對雲端環境整體維運建立完整的管理程序,以確保維運與資訊安全。
  • 數據上雲:

    善用雲端大數據分析的能力,將地端結構化與非結構化資料搬遷上雲,於雲端環境建立資料湖泊、資料倉儲、視覺化報表及模型訓練等分析工具。

而對於尚未有明確上雲目標的業者而言,建議可優先選擇備份備援上雲。備份備援對於金融業者來說相當關鍵,首先是業者必須要滿足金管會於民國 111 年底發佈的「金融資安行動方案」2.0 規範,明定金融業的核心資料應保全於第三地或於雲端進行備份,以確保營運不中斷。其次則是考量到區域局勢動盪,如企業僅將資料備份於台灣境內,將難以確保資料的安全性。CloudMile 會建議業者參照「黃金備份 3-2-1 原則」,也就是至少要建立 3 份資料備份,一份為原始資料,另外兩份則是備份;使用至少 2 種不同的媒介進行資料備份;最後則是至少要建立 1 份異地離線備份,以防止備份資料與原始資料同時遭駭客入侵或遭損毀。

綜觀來看,金融業者從備份備援開始上雲之旅,再逐步加深雲端使用,可以說是一條非常理想的路。首先,業者可透過雲地安全連線,將核心資料備份上雲,以降低關鍵資料遺失的風險;接著,業者可以建立雲地混合環境,將非核心業務放上雲端,核心業務則是保留在自家環境。過程中透過容器化技術,業者便能統一管理各式環境,維持跨環境的一致性,在善用雲端平台的同時,也將核心數據留在內部環境,確保法規與資安規範;隨著機構內部逐步試驗雲端使用的成效,並熟悉雲端環境,業者便可以將地端系統搬遷至雲端,最大化地運用雲平台資源,並搭配導入 FinOps 管理概念,最佳化雲端用量和成本效益,讓投入的雲端資源發揮最大商業價值。

金管會此次修法,明定金融機構辦理作業委外,如涉及重大性消費金融業務資訊系統委託至境外處理,應向主管機關申請核准,並鬆綁境內上雲的程序。對此,Google Cloud 是目前三大公有雲中唯一在台灣擁有落地機房,機房採自行建置與維運,並且可滿足儲存加密、傳輸加密等保護措施,且訂定妥善的加密金鑰管理機制。Google Cloud 根據世界各地的標準,建立及提供對應的安全、隱私和法規遵循控管文件,也會定期進行獨立驗證,包括取得認證、證明與稽核報告,方便業者提供法規遵循證明。先前更是因應金融業者需求,完成獨立第三方單位的聯合查核。金融業者採用 Google Cloud 作為雲端平台,便能選擇將資料留在境內,將更容易滿足主管機關的規範。

擁抱雲端的同時,如何兼顧資安韌性與合規?

隨著業者逐步擁抱雲端,相應的資安防護就顯得更為關鍵。根據 CloudMile 萬里雲今年委託 IDC 研調機構所做的《2023 企業雲端佈局與未來趨勢》調查顯示,有 70% 的金融業者表示,在未來的 12 個月內將會增加雲端支出,首要用於強化雲端資安與營運韌性,次要為人工智慧/機器學習等新科技應用,再來則是降低硬體、維運成本的考量。

對此,CloudMile 擁有完善的資安管理解決方案,不論金融業者位於轉型的哪些階段,CloudMile 都能滿足相應的資安防護需求。以下分享幾個金融業者常見的資安管理需求面向:

  • 針對尚未上雲的業者,CloudMile 可協助進行核心資料的盤點,並滿足法規或資安要求

    包括個資法與委外管理辦法、ISO 27001/27017/22301、PCI DSS 與 CSA CCM 等。例如,台灣某人壽公司期望能對於上雲系統進行長期規劃,確保能滿足法規要求並參考國際標準規範,發展其短中長期資安策略,CloudMile 便是協助滿足法規和資安要求。
  • 針對已上雲的業者,CloudMile 可協助強化既有雲端架構

    例如台灣某銀行已自行維運雲端環境多年,希望透過資安健檢的方式強化雲端資安防護,而 CloudMile 便協助該銀行進行全面性的資安評估,發掘潛在資安威脅與強化資安防護的機會。
  • 其他常見的資安管理面向還包括避免資安事故再發生,以及針對查核缺失進行改善等

    常見的資安事故包括機敏資料外洩、雲端運資源遭盜用於數位貨幣挖礦等,需要先強化雲端安全基本控管,並透過紅藍隊演練方式發掘潛在系統漏洞,以避免事故再次發生;常見的查核缺失則包括人員權限過大、虛擬主機有對外 IP 等。例如某航空公司便曾於內部稽核發現雲端系統未有備份機制,希望針對雲端運算與儲存資源建立備份備援機制,CloudMile 便協助規劃並導入備份備援策略,完善其資安體系。

與專業技術團隊合作,加速您的上雲之旅

CloudMile 是全台第一也是唯一的 Google Cloud 雲託管合作夥伴(MSP),已協助國內多家知名金融機構規劃雲端轉型,並加速雲端環境建置與人員培育的進程。同時,CloudMile 也擁有資格來協助業者於 Google Cloud 進行機房年度實地查核。 歡迎聯繫我們為您客製化上雲轉型之旅。

訂閱 CloudMile 電子報

所有 CloudMile 最新消息、產品動態、活動資訊和特別優惠,立即掌握。