Page 43 - NO.117銀行家雜誌
P. 43
式是身分認證,如何成功獲客是其馬上面對的 本文所言,下一階段的ID數位化勢在必行,但
痛點。深入起手式前,要先幫讀者打底一個重 進度遲緩,監理與資安比網際網路複雜。網際
要概念:安全元件(Secure Element, SE)或硬體 網路是On-to-Offline,食衣住行是多多益善,但
安全元件。SE的應用之一可為eID,如上述的中 數位ID卻是Off-to-Online:關乎權益時,再小的
華民國晶片身分證,在硬體保護下,安全存放 投票都需實名制,金融的本質導致Off-to-On必
用戶自己的憑證,以供數位簽章。mID(mobile 然性。Off-to-On是一小群一小群先鏈起來,需
ID)即為上述之手機版。當今悠遊卡或健保卡 要時間。這也是筆者與Don Tapscott寫的《區塊
上的晶片皆沒有憑證,若要等明年開始導入的 鏈革命》的觀點相左之處。
晶片身分證又太久,可多方嘗試如下方式:
1. 手機 SIM卡換發有SE的SIM卡:是電 純網銀資安及生態中立性
信商的最愛方式,尤其今日 SIM 卡大多尚未含
SE。 監理思維之核心是中立性(neutrality):
2. Embedded SE(eSE):是手機商的最愛 生態中立性以遍地開花。筆者在Google工作
方式,手機裡嵌入硬體SE。 時,這些OTT(Over-the-Top,指服務提供者
3. Thin SIM(薄膜卡):在日本稱為 Sub- 透過網路向使用者提供內容、服務或應用)公
SIM,在中國叫做貼膜卡。這是在 SIM卡上貼上 司,如Facebook、Google最關心網路中立(Net
一層薄膜,不用換SIM,也不用換手機,就提供 Neutrality):如果底層的電信商(Telco)沒有
了SE。 Net Neutrality,則OTT 無法健康發展,而我們今
根據法規「金融機構辦理電子銀行業務 天用的就不是Google、Facebook提供的服務,而
安全控管作業基準」及上述作業範本,金融作 是電信商的內容了,非用戶所樂見。當然,互聯
業的中心思想是實名制,跟網際網路不同,而 網已經起來,OTT層穩固了,這時即使川普總統
欲符合安控基準高風險場景,關乎資安之私鑰 取消Net Neutrality,影響不大。但當純網銀及數
管理更是重中之重,不能放在App或網頁瀏覽 位 ID 正在興起路上,筆者認為數位金融層必須
器,必須有「第三方認證」確保金鑰儲存安 依賴底層的中立性。筆者拙見電信中立(Telco-
全。以上3種形式俱有第三方認證,如具有 NIST Neutrality)及手機中立(Handset-Neutrality)是
安全認證的Thin SIM。 必須提供的選項。這是日本金融廳驗證 FPoS 的
日本金融廳(FSA)今年對Sub-SIM的實驗 主因〔見圖1〕,不應獨厚某一家電信商及手機
結果報告指出,FSA認證除對中間人攻擊、瀏覽 商,金融服務不要偏愛某一家電信商。台灣的支
器惡意程式攻擊防護度高外,在身分認證上也 付業碎片化,孤島林立,支付普及率不足,互
沒有問題。相對OTP(One-Time Password,一次 聯互通不夠,未來金融科技繼續發展,我們希
性密碼)之低安全性,FSA認證之FPoS(FinTech 望監理上,能夠強調電信及手機中立,打破孤
Platform over Sub-SIM,薄膜卡金融科技平台) 島,讓最好的FinTech服務就拿到對應市占,孤
值得台灣借鏡。過去25年來,網際網路已然發 島自然不敢故步自封,互聯互通成幾個太陽才
生,食衣住行娛樂乃至廣告紛紛數位化,而如 是台灣用戶之福。
台灣銀行家2019.9月號 43
1 5% JOEE