隨著FinTech發展趨勢,金融機構紛紛導入雲端服務,因其技術複雜,許多新興服務多委由雲端業者執行。為了保障金融資安,金融監督管理委員會(以下簡稱金管會)於2019年9月完成「金融機構作業委託他人處理內部作業制度及程序辦法」條例修正,參考各國對於金融機構委託雲端業者應遵循之規範,明文規定若委外作業涉及雲端服務,須遵守風險控管應變計畫及資料安全保護機制等多項條文;其中在資料儲存部分,更以高資安規格要求。針對雲端檔案的存取控管,金融機構該注意哪些事項呢?
- 分散風險:金融機構應依業務需求、風險承受能力及檔案的機密程度,採取不同的儲存方式分散風險,如:對外的APP服務,採用公有雲或混合雲;針對敏感資料的儲存,如客戶個資及內部機密文件等,則採用安全性較高的私有雲。
- 雲端業者權限規範:金融機構應完整評估委託之雲端業者內部的風險控管措施,保障委外服務品質,並確保雲端業者不得擁有存取客戶資料之權限。
- 境內儲存為原則:金融機構應落實作業風險控管,資料傳輸及儲存上雲都應建立有安全防護及加密管理機制,且儲存地必須以我國境內為原則。採用境外雲端服務之業者,需事先向金管會申請,核准後也應將客戶重要資料於我國留存備份。
 深化資安治理 |
|
| 金融機構應導入國際資安管理標準,強化資安監控,對異常行為偵測告警及是否進階為資安事件與後續災損控制,並鼓勵金融機構應自主風險評估其資安弱點,持續強化資安管理。 | 金管會將研議資料安全運作機制,包括資料保護、資料可移性、資料復原性及關鍵服務持續性等項目,並推動成立資料保全中心。 |
面對上述金融上雲趨勢及資安事件風險控管,金融機構在加速數位轉型的同時也需兼顧主管機關的法遵要求。OmniStor 從網路層、身分層及檔案管理層,提供了多元的檔案安全儲存及管理機制。安全的私有雲儲存架構及彈性的元件佈署模式,高度支援金融機構多層式資安防護需求;透過整合企業AD帳號提供單一登入機制,帳號密碼僅留存於客戶端帳號伺服器中;於資料的傳輸及儲存亦提供了完整的加密機制,結合中毒或敏感資料等風險檔案掃描及放行機制,採取最嚴密的保護措施。
此外,OmniStor 平台的 Active-Active HA 高可用架構,從服務營運的持續性落實了嚴謹的風險控管措施,結合從使用者端的異常檔案告警、中止同步與完善的備份及快速復原機制,即使遇勒索病毒攻擊,也不怕關鍵資料遺失。OmniStor 的資料不落地應用情境,則整合了存取權限控管、浮水印防護,並可串接金融客戶既有檔案審核機制,更透過代理人制度有效落實存取授權管理,為金融機構的檔案安全內控提供完整的防護解決方案。
ASUS OmniStor 於108年以「檔案硬碟加密軟體」、「數位版權管理產品」、「資料備份與復原軟體」、「流量監控與防護檢測服務」、「進階威脅保護檢測服務」等細項通過經濟部工業局資安服務能量登錄認證,109年再取得資通安全自主產品認定,為國家單位認證,百分之百國內自主研發、設計及維運之軟體。OmniStor企業儲存雲讓金融機構在享受雲端協作便利的同時,也兼顧檔案安全儲存與管理的風險控制,以因應金管會符規要求,加速數位金融科技發展。
資料來源:ASUS Cloud Blog
