雲端科技串聯金融服務技術 提供全新體驗

顛覆傳統！

金融機構日漸重視雲端科技，向個人、企業和政府提供一系列服務，而上雲端的服務，可加速企業商業運作，金融業透過雲端科技整合金融服務技術，提供顧客全新服務體驗，是數位轉型重要關鍵。

金管會自2019年開放金融上雲端，但因主管機關的相關規範相當嚴謹，希望將風險降至最低，金融業小心翼翼。不過，隨著全球持續發展雲端，且國內數位發展部預計將在8月掛牌成立，加上三大雲端巨頭積極搶市，包含Google Cloud-Google Cloud Platform（GCP）、Amazon Web Services（AWS）、Microsoft Azure等，未來都將有機會在台灣逐步拓展商機，於政府及民間全力推動下，上雲端將是金融業未來的一大機會所在。

高彈性＋高擴展性金融上雲更有效率與優勢

隨著金融科技崛起、純網銀陸續開業，未來還有純網保的開放，現在對於傳統銀行而言，正是數位轉型的重要時刻，因此金融上雲端，對於銀行來說，的確會更有效率，也有眾多的優勢所在，包含「具備高彈性、高擴展性」，可協助銀行更快速地推出數位化產品與服務，縮短產品上市的時間，依需求彈性調配資源、快速因應短期大量的頻寬、運算需求。此外，可「透過雲端平台進行數據彙整分析」，運用大數據機器學習、建模，導入AI預測技術，協助銀行更快速地識別系統異常及威脅。還可「降低成本」，藉由軟體即服務SaaS（Software as a Service）模式，可依實際使用量付費，降低導入新服務成本。

近期金研院芬恩特創新聚落與台灣AWS共同舉辦「金融上雲開啟金融科技新技術」系列講座。其中，「金融雲端法遵稽核論壇」邀請台灣亞馬遜網路服務有限公司與金融業資安、法遵、稽核與數位轉型主管及人員交流對話，透過系列講座，協助金融業運用雲端科技實踐雲端創新應用場景、風險管理、資安治理、法令遵循與內部稽核管理。

金研院金融研究所所長林士傑指出，近年隨著企業加速數位轉型，大量的資料需要被轉移至雲端，企業在上雲時從法遵、稽核公司治理、資訊安全各面向都有不同考量，其中，資訊安全是每位企業主與主管人員最擔憂的一環。希望能更深入探討金融業導入雲端服務實務作業，以及如何透過上雲來優化營運績效、掌握市場先機，當然更重要的是金融上雲如何符合法遵、稽核法令規範與和資訊安全的要務。

而金研院在2018年成立芬恩特創新聚落，主要任務與目標之一就是致力於金融科技人才的培育與推動金融業數位轉型發展，藉由「金融上雲」，希望協助產業落實與利用雲端服務，一同打造更好的金融服務。

AWS第4季開展聯合查核 為今年度首次辦理

AWS金融產業安全與合規專家Kelvin Leung強調，AWS可協助打造基礎設施的安全，並保障企業完全控制雲端資產的自主性，企業可依需要調整雲端平台服務的安全性，AWS將協助客戶雲端基礎設施的安全性。

AWS服務建構於完善規劃且高度安全的雲端基礎設施之上，是全世界最大的雲端基礎架構部署，採用一致的高可用性、可靠、耐用性及低網路延遲架構。在金管會的種種要求，從資料加密保護、作業應變等等，AWS都擁有完整團隊協助進行金管會核准流程，具備相關文件供金融機構存留備查或是核准申請。

整體來看，Kelvin Leung分析，報部流程參考時間表，預計從一開始到批准，約需要8至12個月。而AWS將於今年度辦理首次金融聯合查核，也就是不同金融機構委託同一獨立第三方查核，在同一時段和範圍下進行查核，不同的金融機構可以攤分費用，降低合規成本，預計將在2022年第4季開展聯合查核。

秉持「永不信任，始終驗證」 強化生態系安全

勤業眾信資深執行副總經理林彥良表示，隨著雲端服務發展逐漸成熟，全球企業於2022年仍持續快速將工作負載轉移到雲端。在調查中發現，有超過9成的組織表示，目前或將在未來2年內，把超過50％以上的工作負載轉移到雲端。而大多數的組織追求混合或多雲策略，以維持服務。

其中，數位轉型和網路安全衛生是資訊長和資安長在管理網路風險時的一大難題。企業應秉持著「永不信任，始終驗證」的概念，以零信任概念建立核心架構，來弭平業務、資訊和網路領域之間的差距，從而降低營運複雜度，並強化生態系安全。

而多雲、混合雲環境為企業帶來更多的資安挑戰，組織加快採用雲服務面臨的最大挑戰，主要不是技術，而是人員和流程，其次是法令遵循合規性以及資料安全保護等問題。

林彥良表示，管理多雲、混合雲環境的關鍵在「簡化管理的複雜性」。面對雲端服務常見的資安威脅中，雲端服務用戶的安全問題逐漸受到重視，隨著後疫情時代的企業重新開放與資安投資，雲安全議題亦重新被定義，對比2019年與2022年於雲端安全威脅的調查結果，雲安全配置錯誤、不安全的街口╱API、與未經授權的訪問成為企業應重視的安全風險。

企業資安須跟上數位轉型避免雲端暴露風險

其中，金融服務業仍然是主要攻擊目標，雲端環境亦無法避免，企業的資安防護必須跟上數位轉型的腳步，才不會讓雲端環境暴露在風險中。而雲端服務用戶的安全措施不足或使用不安全的軟體，是常見造成雲端資安事件的原因。

在不同調查中，共同呈現出「雲端安全配置管理」是企業資安人員普遍缺乏信心認為應優先投資的項目，而多雲、混合雲環境為企業帶來法令遵循與合規性的挑戰。

整體來看，上雲不僅是合規遵循，更重要的是雲端地端整合風險管理策略，包含從上雲服務盤點與規劃、上雲作業風險評估、雲端地端流程整合等。

AWS資深雲端安全策略專家Alvin Li指出，監管科技在過去幾年發展快速。其中可分為二類，一類是銀行使用（Regtech），銀行的風險管理報告或資料可從系統找出來，使用科技更有效地滿足監管和合規要求；另一類則是監管機構使用（Suptech），將科技用於金融業監管和監督的目的。

雲端技術的優勢有幾個層面，包含現在化傳統系統，以提高敏捷性和規模；滿足迅速變化的行為和期望；利用資料和創新來推動業務增長，在最安全、合規、有彈性的雲端上信心十足地建置。

而雲端技術的安全性包含強韌的基礎設施、透過深度整合服務，實現自動化並降低風險、在高能見度和卓越控制下實現擴展、內置全球安全與合規控制措施。

Capital One以資料湖管理欺詐風險 協助決策提供信息

舉例來說，美國的Capital One（第一資本金融公司）就使用資料湖管理欺詐風險。Alvin Li指出，主要是Capital One希望優化其支付欺詐檢測算法，為客戶和銀行提供足夠的保護，同時減少虛假警報，因此Capital One使用Amazon S3在AWS構建了一個資料湖，並利用AWS上不同類型的機器學習工具和框架來分析大量資料，以提供實時檢測和防止欺詐。

Capital One使用資料湖，藉由資料分析和機器學習來增強用戶體驗，同時幫助為關鍵業務決策提供信息。

而在其他監管科技案例上，從反洗錢、科技資訊、合規、銷售風險、審慎監管，如信貸風險評估、市場風險管理、壓力測試、流動性風險管理等等，包含各式各樣的不同領域。

整體來看，監管科技發展使用大數據、人工智能、自動化、彈性實施，而雲提供更好的彈性，實施監管科技未來將可從不同的銀行領域看到更多雲的應用，雲將是一個使用監管科技相當有用的平台。

伊雲谷數位科技提供雲端安全託管 有效協助金融服務上雲

伊雲谷數位科技資安技術總監賴厚昌指出，整體來看，雲可以減少7成以上時間，而伊雲谷數位科技為大中華區AWS核心級諮詢合作夥伴，擁有11個營運據點，全球員工數超過500位，專業證照數超過500張，2021年營收達100億元，正積極深耕大中華與東南亞地區，並逐步向南亞與澳洲擴張。

伊雲谷數位科技積極協助金融服務上雲，包含將菲律賓聯合銀行SAP核心系統搬遷上AWS，建制高穩定、高彈性的IT基礎架構，節省30％總持有成本，亦將SAP系統的可靠度提升至99.7％。

此外，伊雲谷數位科技協助新加坡支付業者Reddot Payment，透過重新設計雲端架構加速數據處理效能，為超過20種支付方式例行作業程序節省75％的時間。另外，還協助馬來西亞某跨國銀行導入雲端虛擬桌面工具，為當地超過200位員工打造安全且穩定的連線，兼顧遠距工作及資訊安全。

賴厚昌分析常見的雲端安全威脅及錯誤樣態，其中，不同於地端的資安思維，設定錯誤、資料外洩以及身份認證，是目前客戶在雲端上最常遇到的資安問題。

常見的錯誤樣態則包含多個AWS Accounts，讓身分與權限管理複雜度極高。此外，還有透過S3 Bucket公開分享檔案、RDS資料庫允許公開訪問等。

賴厚昌建議，伊雲谷數位科技可提供雲端安全託管服務，並有雲端安全狀態監控管理平台（CSPM+），結合多年雲端管理經驗開發的獨家監控管理平台，具備完善的合規性檢測與持續性弱點偵測，可協助更多金融服務上雲。