符合金融法规的电子帐单系统建置
- 周建勳/台北
-
透过电子邮件发帐单已经是产业界明显趋势,传统纸本帐单则逐年快速减少。金融业考量电子帐单发送,不论是企业内部自建系统或委外发送,最重要就是法规适法性,必须要在完全符合法规前提下进行规划。电子帐单发送与纸本帐单发送在信息处理上所需遵循法规相同,只是在送达收件人媒介不同,电子帐单更注重信息安全与个资保护。
在法规上规范电子帐单的发送,主要是由传统纸本帐单的差异延伸而来。帐单通知仍然以纸本为基础,但在取得客户同意之后,得以使用电子帐单作为延伸。纸张帐单若非以挂号信寄送,仍有可能未收到信件,电子帐单法规会要求确保客户确实有收到通知。此外,电子帐单信息安全保护也是法规另一大点,这部分除了传统银行网安防护之外,会特别注重在发送过程安全性,并不得将机密敏感个资透过国外网络发送帐单,电子帐单寄送必须透过位于台湾国内机房,但不必然是要在寄送帐单之金融公司内部机房。
1.取得同意:电子帐单被广为接受是2010年后,智能手机普以及节能减碳观念升起后,但是金融业的客户有很多都是开户许多年,过去他们都是透过纸本帐单取得通知,因此要改用纸本帐单成为电子帐单,首要条件就是要取得这些客户的同意。这是由纸本转换为电子帐单的第一个门槛,金融业做法这是提供各式各样的诱因,例如礼卷、减免费用、赠送点数等,吸引客户同意使用电子帐单。
2.确保送达:纸本帐单是金融业帐户通知基础做法,电子帐单主要是将纸张帐单改为电子邮件寄送,在法规上会要求,必须要确保电子帐单正确送达客户,如果电子帐单退信,必须改用纸本帐单重新寄出。这是由于电子邮件寄送毕竟透过网络,有许多网络传送不确定性,为了保障金融业客户权益,若电子邮件无法寄送成功而退信,就必须改用纸本帐单重新寄送。
3.信息安全保护:电子帐单相比纸本帐单多增加信息安全考量,毕竟透过网络传输必须留意信息被窃取。帐单本身包含许多个资,且都是属于机密敏感金融个资,这部分法规上会要求以符合电子签章功能电子邮件方式寄送,并采用邮件常见加签加密方式,确保信息传送安全无虞。信息安全法规通常包含三部分要求:发送端:必须保留有完整的发送记录,以便事后可以追查;发送系统也必须等同银行信息系统,须有紧急应变与灾害复原机制。
传送:发送过程必须确保机密数据,在传输过程安全进行。产业做法是透过发送时加入DKIM、TLS加密进行,或再加入邮件凭证。接收:收信时非本人无法打开邮件内机密数据。产业做法是将帐单置于附件PDF并采加密处理。
电子帐单委外发送
许多金融业者在考量电子帐单发送时,都以为电子帐单系统必须完全在公司内部安装与邮件发送,才能够符合金融法规。但其实在法规上并没有做此规范,法规是对帐单寄送作业,需有相对应信息安全与稽核记录。
因为电子帐单发送并非金融业核心业务,这是通知客户行为,是属于金融本业附属功能,法规主要在内控与网安管理,并未要求一定要在公司内布建立电子帐单发送系统,因为纸张帐单也没有任何法规,要求帐单寄送必须全部由金融业公司内负责。电子帐单是纸张帐单延伸,因此在法规上并不会要求金融业公司内部处理与发送,而着重在规范信息安全与个资要求。
以纸本帐单而言,帐单印制早就委外处理,因为纸本帐单数据数据本身就是数码化,只是委外给专业帐单印制公司印出纸本,再交由邮局寄送,甚至邮局也能承接了纸张帐单外包印制以及寄送业务。电子帐单的委外发送,就是把原本委外印制纸本帐单,交给专业电子邮件发送公司进行,能够自动生成整张电子帐单,也能透过邮件系统发送给收信人,等于是取代了纸本帐单印制以及邮局寄送这两道程序。
电子帐单发送系统推荐做法
大型品牌企业跟银行、证券、保险等金融机构,过去存有自建私有云系统最安全,但忽略了公司内多种系统,各有不同防火墙进出连通需求,网安设定极为复杂,需有足够多专业网安人员随时监控。且越多系统也意味越多漏洞,造成即使知名企业、银行都发生勒索病毒、钓鱼诈骗等网安破口。
「沛盛信息」在台湾自主研发高速发送引擎已十多年,针对金融业电子帐单发送,采用混合云方式运作。可在公司内部产出完整经PDF加密后电子帐单邮件,再透过「沛盛信息」邮件发送,由于内含机密敏感个资PDF已经加密,邮件发送时并无法查看这些内容,完全符合金融监理单位法规要求。
混合云采用针对邮件专用网安防护,任务属性单一,专业网安人员管理多套企业混合云系统,比起企业自建邮件发送软硬件,混合云比私有云在安全等级上更为胜出,且完全符合金融主管机构法规。
1.混合云发送:一封电子帐单包含邮件内容生成与发送,对网安与个资影响最大是在邮件生成,以信用卡电子帐单为例就是将附件PDF生成且加密。一但最敏感帐单数据已经PDF加密,就已不存在个资外泄可能性,之后就是选择能高速发送电子邮件系统。
混合云电子帐单架构就是将帐单系统切成两部分,敏感帐单数据加密端在金融业内部系统进行,发送则交由专业电子邮件公司进行。这种架构帐单加密与邮件内文生成,所有个资都留存在公司内部,依照网安内控准则运作,不会个资外泄,对金融业是最安全架构。但邮件发送则交由外部专业电子邮件发送业者进行,这是因为邮件发送牵涉到寄件IP、收信服务器挡信逻辑、退信处理、开启、点击追踪,这是一连串复杂系统运作,又不牵涉到帐单数据敏感个资,要由专业邮件发送公司进行,才不会遇到发信IP被当成黑名单无法顺利寄送,反而衍生法规疑虑。
2.个资加密:金融业建置电子帐单系统,最关心就是对个资保护,因为信息安全防护首要防备就是个资外泄,而银行所拥有个资都属于财务相关机密敏感个资,若产生个资问题会面临庞大法律责任。而最好个资保护,就是将需传送机密敏感个资加密,常见做法是将帐单置于邮件附件,开启需要口令(多数使用身份证字号)。
「沛盛信息」所提供电子帐单混合云,电子帐单附件PDF生成由金融业内部使用专用帐单系统产生,PDF已经加密,之后产信在金融业内部进行,将邮件本文与PDF合并成为邮件,再将邮件透过专用加密通道传输到「沛盛信息」后发送。这种做法所处理PDF都是已经透过口令加密,不知道口令无法被打开,因此即使邮件发送并非在金融业公司内部服务器进行,对于个资依旧能有完整保护。
3.符合法规:混合云电子帐单架构在实务运作上完全符合法规要求。原本现有纸本帐单即为透过委外厂商寄送,电子帐单等同于将邮差寄送信件,改为透过信息厂商透过SMTP寄送,以金融监管法规,纸本帐单或电子帐单,所需做到的个资保护并无差别,惟电子帐单会有网安考量,这部分法规条文也规定帐单采委外处理者,网安要求比照金融机构内部发送等级办理,以及防止客户数据被泄露、窃取或窜改。
电子帐单采用混合云架构委外处理帐单发送,只要在委外时双方合约条文订定要求符合网安等级,并定期做网安稽核,混合云做法完全符合法规。
采用电子帐单已经是金融业明显趋势,即使许多银行都开发出App,帐单可在App上查询,但仍免不了要通知客户已出帐,有鉴于App推播信息经常被关闭,最可靠的通知方式仍然是透过电子邮件。
因此透过电子邮件方式,不论是直接PDF帐单附件,或是单纯通知本月帐单以出帐,请到App/网银查看,采用电子帐单比例逐年攀升。站在银行立场,更由于纸本帐单不论打印或寄送纸本都成本高涨,采用电子帐单也是节省成本力利器。
「沛盛信息」为专门协助台湾大型知名品牌发送电子报专业厂商,所推出电子帐单混合云模式,对注重网安的金融业,例如银行发送信用卡帐单,证券业发送交易通知等,具有敏感个资对帐数据PDF,已在银行内事先加密再传送至「沛盛信息」透过电子邮件发送,完全符合金融监管法规,能确保个资受到保护,是金融业电子帐单系统最佳做法。
了解更多。
