微软助金融服务业迅速部署云端中心以抢占市场先机

微软助金融服务业迅速部署云端中心以抢占市场先机

因应科技创新不停歇、资安威胁日新月异,当金融服务业开始拥抱云端的同时,需更加关注资安问题及法规遵循。有鉴于此,微软与台湾金融研训院于 4 月 12 日共同举办「起步云端、转型未来──迈向兼顾法遵与资安的金融创新」国际研讨会,探讨「金融服务业数位转型的全球趋势」、「云端服务的稽核与监理」、「金融服务业的资安议题」、及「微软金融服务法规遵循方案」等议题。

兼顾法规及监理规範的云端服务  可望加速台湾金融创新应用发展

企业普遍存在着地端作业最为安全的迷思,认为不使用云端就可免除骇客入侵及窃取资料的疑虑,却忽略了最重要的事实──许多资料外洩事件其实是来自企业内部本身,举凡与商业利益价值相关,无论地端或云端作业皆有一定的风险。金融业法规複杂且严格,普遍中小型金融业没有足够的专职人员去深入了解,由于担心误触地雷区而选择不改变,是众多金融业者无法举足迈向云端的主要原因。

对此,台湾金融研训院院务委员 陈世训表示:「许多金融业者认为现阶段没有即刻採取云端化的急迫性,然而若希望金融运用新兴科技创新发展,藉由大数据分析出具有商业价值的资料,以做为企业布局决策的参考,作业上云端则是基础。身处现今云端化及行动化发展蓬勃的同时,台湾金融服务业上云需要注意是否符合安全性与法规,以及符合监理规範并可被稽核,如此才能更迅速推动金融创新与数位转型,抢占市场先机。」

微软 4 年协助超过百家金融服务机构与法规制定者沟通  帮助其获得云端应用合规性

微软自 2012 年起积极与全球各地的客户、法规制定者及大型国际金融监理机构进行沟通。首先,从客户了解他们使用云端的各种需求及情境后,在设计云端服务时便可将合规需求考量进去,因此当客户实际运作时自然也就遵循法规;在与法规制定者与大型国际金融监理机构沟通方面,微软除了随时关注金融政策及大环境的改变,更积极了解国际间制定法规的原则与趋势,藉此协助大型公有云推动时能遵循现行法规。

微软主张的可信任云提供 4 个承诺:隐私保护、法遵、资安与公开透明,能帮助客户解决云端使用上的担忧。微软全球助理法务长暨微软金融服务业全球法规策略架构长 Dave Dadoun 表示:「有鉴于金融服务业客户特殊的法规遵循要求,微软云端服务就金融服务业的客户提出五大承诺,其中包括协助客户达成监理的法规需求、透过公开透明的方式提供资讯、协助客户实现其法规义务、进行详尽的风险管理并提供客户法规遵循计画。微软自 2012 年起每年举办及邀请超过 50 个以上金融机构参与大型国际金融服务法规遵循方案高峰会,以加速全球大型金融服务业顺利採用云端服务来提升他们的顾客服务价值;同时,在过去 4 年与超过 100 家金融主管机关的法规制定者沟通,帮助法规制定者了解微软金融客户採用云端的安全及合规。」

截至今年 3 月,微软已与全球超过 100 位金融主管机关的法规制定者就云端服务之法遵事项进行交流,其中包括大型国际金融监理机构如美国联邦存款保险公司 FDIC(Federal Deposit Insurance Corporation)、美国金融检查委员会 FFIEC(Federal Financial Institutions Examination Council)、国际货币基金组织 IMF(International Monetary Fund)、欧洲银行管理机构 EBA(European Banking Authority)、英国金融行为管理机构 FCA(Financial Conduct Authority)以及瑞士、新加坡、澳洲等多国主管机关。

面对即将于 5 月 25 日实施的「欧盟一般资料保护法规」GDPR,微软率先透过契约明白承诺:微软云端服务于 GDPR 开始实施时会符合其合规性要求,同时微软也是第一个取得 ISO/IEC 27018 国际云端隐私权认证的云端服务供应商,由此可见微软确保企业资讯安全与隐私权保护的决心与投资。微软协助客户透过微软信任中心网站(Microsoft Trust Center)了解各国对于云端服务的合规、安全、隐私等要求标準,并让客户清楚理解微软云端服务取得的各项国际及产业认证,以及协助客户达成其法规遵循需求;此外,透过微软服务信任入口网站(Microsoft Service Trust Portal) ,客户可自行下载各项微软云端服务认证稽核报告,及使用微软提供的工具或文件,进行自身风险评估及追蹤法遵活动的动态状态,以简化过往繁複的稽核工作。

金融业採用微软云端服务  让资料随时保有安全性及监管便利性

Azure 协助企业云端化的四大价值包括提高生产力、混合云服务、智慧管理及可信任云。微软拥有全球最大规模资料中心及网路分布版图的云端服务供应商,且是唯一能支援稽核服务的混合云服务供应商,符合最多的法遵项目并以超越监管机构制定的法定标準加以设计云端服务,同时支援最多安全应用工具及功能。

若企业尚未决定将资料放在云端,微软也提供了 Azure Stack 混合云服务,企业可透过此种方式将云端运算的灵活性和创新能力引进内部部署境中,让企业在私有云环境中也可享有 Azure 智慧云端服务。微软全球金融服务产业暨 Azure 产品团队资深副总经理 Alan Ross 表示:「微软云端的设计架构是公有云及混合云具有一致性且具互通性,因此无论金融业使用公有云 Azure 或混合云 Azure Stack,从身分辨识、资料平台、智慧服务、资安管理,都能享有微软云端上的完整服务。企业选择微软云端服务时,能够自由移转云端与地端之间,且无论在任何一端都可以随时即时监控以确保安全。」此外,「微软也了解金融服务业转型到云端过渡期对资安的疑虑,因此对系统稳定度、安全性等拥有高标準的自我要求之外,更每年投资十亿美金在资安基础设施上,微软目前在全球有 50 个地点设置微软资料中心,能协助企业迅速部署资安防护,因此客户使用上可以更加安心。」

Azure 在资料存取上的安全防护,还包括能依据使用者的角色及工作职掌来进行实体机及虚拟机器的存取权限控管,同时运用多重要素验证进一步确认使用者身份以做到完善的资料保护。微软发现,企业的员工平均会使用 28 个云端的应用程式,而其中仅 27% 应用程式有支援多重要素验证;仅 10% 符合 SOC 2、HIPAA 及 PCI DSS 等国际或产业资料安全标準规範;而 20% 的应用程式承诺:当帐号终止使用后,会将使用者的资料抹除。微软云端应用程式资安解决方案(Microsoft Cloud App Security)让企业可以透过智慧资安达到即时管控云端资料安全,确保私有云资料移转公有云时亦同样拥有高度的安全性。

上一篇: 下一篇: