符合金融法規的電子帳單系統建置
- 周建勳/台北
-
透過電子郵件發帳單已經是產業界明顯趨勢,傳統紙本帳單則逐年快速減少。金融業考量電子帳單發送,不論是企業內部自建系統或委外發送,最重要就是法規適法性,必須要在完全符合法規前提下進行規劃。電子帳單發送與紙本帳單發送在資訊處理上所需遵循法規相同,只是在送達收件人媒介不同,電子帳單更注重資訊安全與個資保護。
在法規上規範電子帳單的發送,主要是由傳統紙本帳單的差異延伸而來。帳單通知仍然以紙本為基礎,但在取得客戶同意之後,得以使用電子帳單作為延伸。紙張帳單若非以掛號信寄送,仍有可能未收到信件,電子帳單法規會要求確保客戶確實有收到通知。此外,電子帳單資訊安全保護也是法規另一大點,這部分除了傳統銀行資安防護之外,會特別注重在發送過程安全性,並不得將機密敏感個資透過國外網路發送帳單,電子帳單寄送必須透過位於台灣國內機房,但不必然是要在寄送帳單之金融公司內部機房。
1.取得同意:電子帳單被廣為接受是2010年後,智慧型手機普以及節能減碳觀念升起後,但是金融業的客戶有很多都是開戶許多年,過去他們都是透過紙本帳單取得通知,因此要改用紙本帳單成為電子帳單,首要條件就是要取得這些客戶的同意。這是由紙本轉換為電子帳單的第一個門檻,金融業做法這是提供各式各樣的誘因,例如禮卷、減免費用、贈送點數等,吸引客戶同意使用電子帳單。
2.確保送達:紙本帳單是金融業帳戶通知基礎做法,電子帳單主要是將紙張帳單改為電子郵件寄送,在法規上會要求,必須要確保電子帳單正確送達客戶,如果電子帳單退信,必須改用紙本帳單重新寄出。這是由於電子郵件寄送畢竟透過網路,有許多網路傳送不確定性,為了保障金融業客戶權益,若電子郵件無法寄送成功而退信,就必須改用紙本帳單重新寄送。
3.資訊安全保護:電子帳單相比紙本帳單多增加資訊安全考量,畢竟透過網路傳輸必須留意資訊被竊取。帳單本身包含許多個資,且都是屬於機密敏感金融個資,這部分法規上會要求以符合電子簽章功能電子郵件方式寄送,並採用郵件常見加簽加密方式,確保資訊傳送安全無虞。資訊安全法規通常包含三部分要求:發送端:必須保留有完整的發送記錄,以便事後可以追查;發送系統也必須等同銀行資訊系統,須有緊急應變與災害復原機制。
傳送:發送過程必須確保機密資料,在傳輸過程安全進行。產業做法是透過發送時加入DKIM、TLS加密進行,或再加入郵件憑證。接收:收信時非本人無法打開郵件內機密資料。產業做法是將帳單置於附件PDF並採加密處理。
電子帳單委外發送
許多金融業者在考量電子帳單發送時,都以為電子帳單系統必須完全在公司內部安裝與郵件發送,才能夠符合金融法規。但其實在法規上並沒有做此規範,法規是對帳單寄送作業,需有相對應資訊安全與稽核記錄。
因為電子帳單發送並非金融業核心業務,這是通知客戶行為,是屬於金融本業附屬功能,法規主要在內控與資安管理,並未要求一定要在公司內布建立電子帳單發送系統,因為紙張帳單也沒有任何法規,要求帳單寄送必須全部由金融業公司內負責。電子帳單是紙張帳單延伸,因此在法規上並不會要求金融業公司內部處理與發送,而著重在規範資訊安全與個資要求。
以紙本帳單而言,帳單印製早就委外處理,因為紙本帳單數據資料本身就是數位化,只是委外給專業帳單印製公司印出紙本,再交由郵局寄送,甚至郵局也能承接了紙張帳單外包印製以及寄送業務。電子帳單的委外發送,就是把原本委外印製紙本帳單,交給專業電子郵件發送公司進行,能夠自動生成整張電子帳單,也能透過郵件系統發送給收信人,等於是取代了紙本帳單印製以及郵局寄送這兩道程序。
電子帳單發送系統推薦做法
大型品牌企業跟銀行、證券、保險等金融機構,過去存有自建私有雲系統最安全,但忽略了公司內多種系統,各有不同防火牆進出連通需求,資安設定極為複雜,需有足夠多專業資安人員隨時監控。且越多系統也意味越多漏洞,造成即使知名企業、銀行都發生勒索病毒、釣魚詐騙等資安破口。
「沛盛資訊」在台灣自主研發高速發送引擎已十多年,針對金融業電子帳單發送,採用混合雲方式運作。可在公司內部產出完整經PDF加密後電子帳單郵件,再透過「沛盛資訊」郵件發送,由於內含機密敏感個資PDF已經加密,郵件發送時並無法查看這些內容,完全符合金融監理單位法規要求。
混合雲採用針對郵件專用資安防護,任務屬性單一,專業資安人員管理多套企業混合雲系統,比起企業自建郵件發送軟硬體,混合雲比私有雲在安全等級上更為勝出,且完全符合金融主管機構法規。
1.混合雲發送:一封電子帳單包含郵件內容生成與發送,對資安與個資影響最大是在郵件生成,以信用卡電子帳單為例就是將附件PDF生成且加密。一但最敏感帳單資料已經PDF加密,就已不存在個資外洩可能性,之後就是選擇能高速發送電子郵件系統。
混合雲電子帳單架構就是將帳單系統切成兩部分,敏感帳單資料加密端在金融業內部系統進行,發送則交由專業電子郵件公司進行。這種架構帳單加密與郵件內文生成,所有個資都留存在公司內部,依照資安內控準則運作,不會個資外洩,對金融業是最安全架構。但郵件發送則交由外部專業電子郵件發送業者進行,這是因為郵件發送牽涉到寄件IP、收信伺服器擋信邏輯、退信處理、開啟、點擊追蹤,這是一連串複雜系統運作,又不牽涉到帳單資料敏感個資,要由專業郵件發送公司進行,才不會遇到發信IP被當成黑名單無法順利寄送,反而衍生法規疑慮。
2.個資加密:金融業建置電子帳單系統,最關心就是對個資保護,因為資訊安全防護首要防備就是個資外洩,而銀行所擁有個資都屬於財務相關機密敏感個資,若產生個資問題會面臨龐大法律責任。而最好個資保護,就是將需傳送機密敏感個資加密,常見做法是將帳單置於郵件附件,開啟需要密碼(多數使用身分證字號)。
「沛盛資訊」所提供電子帳單混合雲,電子帳單附件PDF生成由金融業內部使用專用帳單系統產生,PDF已經加密,之後產信在金融業內部進行,將郵件本文與PDF合併成為郵件,再將郵件透過專用加密通道傳輸到「沛盛資訊」後發送。這種做法所處理PDF都是已經透過密碼加密,不知道密碼無法被打開,因此即使郵件發送並非在金融業公司內部伺服器進行,對於個資依舊能有完整保護。
3.符合法規:混合雲電子帳單架構在實務運作上完全符合法規要求。原本現有紙本帳單即為透過委外廠商寄送,電子帳單等同於將郵差寄送信件,改為透過資訊廠商透過SMTP寄送,以金融監管法規,紙本帳單或電子帳單,所需做到的個資保護並無差別,惟電子帳單會有資安考量,這部分法規條文也規定帳單採委外處理者,資安要求比照金融機構內部發送等級辦理,以及防止客戶資料被洩露、竊取或竄改。
電子帳單採用混合雲架構委外處理帳單發送,只要在委外時雙方合約條文訂定要求符合資安等級,並定期做資安稽核,混合雲做法完全符合法規。
採用電子帳單已經是金融業明顯趨勢,即使許多銀行都開發出App,帳單可在App上查詢,但仍免不了要通知客戶已出帳,有鑒於App推播訊息經常被關閉,最可靠的通知方式仍然是透過電子郵件。
因此透過電子郵件方式,不論是直接PDF帳單附件,或是單純通知本月帳單以出帳,請到App/網銀查看,採用電子帳單比例逐年攀升。站在銀行立場,更由於紙本帳單不論列印或寄送紙本都成本高漲,採用電子帳單也是節省成本力利器。
「沛盛資訊」為專門協助台灣大型知名品牌發送電子報專業廠商,所推出電子帳單混合雲模式,對注重資安的金融業,例如銀行發送信用卡帳單,證券業發送交易通知等,具有敏感個資對帳資料PDF,已在銀行內事先加密再傳送至「沛盛資訊」透過電子郵件發送,完全符合金融監管法規,能確保個資受到保護,是金融業電子帳單系統最佳做法。
了解更多。
