資訊安全最高規格!面對使用者最擔心的資安隱私問題 Moneybook麻布記帳做了哪些努力?

Moneybook麻布記帳2022年1月28日通過國際「ISO/IEC 27701」個人資訊管理系統驗證,代表團隊符合安全保護機制與風險應對流程,能降低各種風險與威脅,保護每一位使用者的資訊安全!究竟這些國際標準是什麼?麻布記帳在資安與隱私保護上還做了哪些努力,讓使用者放下心中大石頭?

透過本文 麻編想要告訴你:
ISO 27001是什麼?取得驗證代表擁有哪些能力?
ISO 27701是什麼?取得驗證代表擁有哪些能力?
通過國際資安與隱私保護驗證 麻布記帳使用者可以放心的是?
產品層面:麻布記帳App本身
管理層面:麻布記帳內部團隊
企業層面:麻布記帳與銀行間的合作關係
麻布記帳執行長怎麼說?

ISO 27001是什麼?取得驗證代表擁有哪些能力?

「ISO/IEC 27001」正式中文名稱為「資訊科技—安全技術—管理系統—要求事項」,是一套由國際標準組織(ISO)與國際電工委員會(IEC),針對「資訊安全管理系統(Information Security Management System,簡稱ISMS)」,聯合發布的一套國際標準,最早於2005年發布,後在2013年改版,是目前國際上使用最廣泛,也是檢驗資訊安全(ISMS)最完整的標準。

而我國經濟部標準檢驗局2014年4月24日公告的「CNS 27001」國際標準,則是參考2013年最新版「ISO/IEC 27001」修訂,是我國資安管理系統的重點指導原則。

麻布記帳最早於2020年1月17日通過ISO/IEC 27001,成為全台首家通過ISO驗證的新創公司。今(2022)年複驗也順利通過,代表團隊在管理及保護資訊資產上,符合國際要求,可以降低組織管理、資訊安全上面臨的各種風險與威脅,並有足夠能力做到確認風險、採取控制措施、排除風險等,確保資訊層面安全無虞。


ISO 27701是什麼?取得驗證代表擁有哪些能力?

「ISO/IEC 27701」則是發展在「ISO/IEC 27001」架構下,關於「個人資訊管理系統(Personal Information Management System,簡稱PIMS)」的國際標準,讓企業組織在蒐集、處理或儲存個人隱私資訊時,有依據可循,進而達到管理保護個人隱私的標準,降低個資風險,確保個人資料的安全。

麻布記帳2021年第二季自主增驗ISO/IEC 27701,並於今(2022)年取得證書,代表麻布記帳團隊擁有整合資訊安全與管控個人隱私的完整能力。

ISO 27701、ISO 27001證書-麻布記帳Moneybook
ISO 27701、ISO 27001證書-麻布記帳Moneybook

通過國際資安與隱私保護驗證 麻布記帳使用者可以放心的是?

近年科技發展迅速,讓人們日常生活越來越方便,但與數位科技脫不了鉤的同時,伴隨而來的便是大家最關心的資訊安全問題。舉例而言,世界上偶見惡意軟體與勒索病毒攻擊,或駭客可能未經授權就有辦法竊取資訊,這些數位犯罪事件都讓資安意識越來越抬頭。

以下我們透過產品層面(麻布記帳App本身)、管理層面(麻布記帳內部團隊),以及企業層面(麻布記帳與銀行間的合作關係),來一探究竟麻布記帳團隊在金管會建立的「金融科技創新園區(Fintech space)」輔導下,在資訊安全與隱私保護上做了哪些努力!

1. 產品層面:麻布記帳App本身 

⦿ 個人隱私資料保護

從產品層面來看,在國際ISO/IEC 27701(個人資訊管理系統)標準中,有一系列關於個人隱私資料保護的規範。套用到麻布記帳App來看,代表所有可「直接」或「間接」識別特定對象的資訊,舉凡網路識別碼(IP位址、瀏覽器Cookies),或是足以辨識特定身分及性別的資訊,都屬於個人資料,且受到完整保護。

⦿ 第三方滲透測試

除了ISO/IEC 27701認證,麻布記帳更委託公正單位進行不定期「第三方滲透測試」,讓公正單位以駭客思維,檢測麻布記帳App系統是否存在弱點與漏洞,也會透過滲透測試報告,依據測試過程、結果及修復建議,持續防範資安問題。

⦿ 經濟部工業局APP資安檢測認證

另外,麻布記帳App也已通過「行動應用App基本資安檢測實驗室」檢測,於2020年6月19日取得「經濟部工業局APP資安檢測報告」,確保麻布記帳能保護個人資料、敏感資料,防堵惡意攻擊。

簡單來說,App內的所有資訊都是透過應用程式介面(Application Programming Interface,API)來連接,當A端輸入資料時,B就能依據資料回傳結果,但就像水管破洞、水就會流出一樣,若資料傳輸過程出現漏洞,個人機密資料就可能外洩。

因此,麻布記帳積極部署各個層級的資安檢測,就是為了在提供「全資產整合服務App」的同時,最大程度保護使用者的資訊安全。

2. 管理層面:麻布記帳內部團隊 

⦿ 資訊安全風險防範

從管理層面來看,在國際ISO/IEC 27001(資訊安全管理系統)中,有一系列關於資訊安全架構、實施、維護及持續改善的要求。麻布記帳內部團隊「資訊安全管理系統」通過國際驗證,代表整間公司從外至內的人、事、物,皆經過且符合嚴格的規範制度,包含外部監視器、指紋辨識門禁、出入人員紀錄、每台電腦、印表機、影印機、傳真機等,連同資料傳輸機制、資訊儲存等,都有對應紀錄且受到管理。

此外,團隊內每一項流程與每一項更動都會被記錄下來,違者有跡可循、有法可罰,杜絕資料外洩發生。若有風險事故發生時,也能即時執行完整的應變處理措施。同時也會提供完整紀錄給第三方公正單位,供其評估是否有洩漏的權責,以保護每一位使用者的資訊安全。

⦿ 社交工程演練

內部團隊方面,除了符合ISO/IEC 27001標準,麻布記帳還會不定期執行社交工程演練。一般來說,電子郵件是企業對外的主要溝通管道,但一不注意,就可能成為駭客入侵的起源。麻布記帳團隊對此委託第三方公正單位,訓練內部員工對於電子郵件釣魚信的警覺性,以免惡意人士透過電子郵件誘使員工點閱,杜絕電腦遭駭客入侵、資料外洩等風險。

3. 企業層面:麻布記帳與銀行間的合作關係

目前台灣「開放銀行(Open Banking)」政策進展至第二階段,開放「客戶資料查詢」。所謂開放銀行,是指由麻布記帳這類第三方服務業者(Third-party Service Providers,TSP),透過開放程式介面(Open API)的方式,與國內各家銀行業者串連,讓使用者在麻布記帳一款App內,就能查詢、整合跨銀行的資產。

因此,麻布記帳在與銀行合作上也相當謹慎,2020年9至10月間就通過台新銀行、玉山銀行、華南銀行、合作金庫四家銀行的實體稽核,代表麻布記帳在資料讀取上獲得銀行認可。

麻布記帳資訊安全隱私保護策略-麻布記帳Moneybook

通過國際資安與隱私保護驗證 麻布記帳使用者可以放心的是?
近年科技發展迅速,讓人們日常生活越來越方便,但與數位科技脫不了鉤的同時,伴隨而來的便是大家最關心的資訊安全問題。舉例而言,世界上偶見惡意軟體與勒索病毒攻擊,或駭客可能未經授權就有辦法竊取資訊,這些數位犯罪事件都讓資安意識越來越抬頭。

以下我們透過產品層面(麻布記帳App本身)、管理層面(麻布記帳內部團隊),以及企業層面(麻布記帳與銀行間的合作關係),來一探究竟麻布記帳團隊在金管會建立的「金融科技創新園區(Fintech space)」輔導下,在資訊安全與隱私保護上做了哪些努力!
麻布記帳資訊安全隱私保護策略-麻布記帳Moneybook

麻布記帳執行長怎麼說?

Moneybook執行長陳振榮表示:「台灣金融環境的演進與政策推動,建構於完善的風險控管制度上,才會有現在金融機構高度融入民眾實體生活圈的場景。但在數位金融服務的生活應用上,仍與國外存在一定程度的差距。

因此,麻布記帳團隊以促進台灣金融服務『數位轉型』為己任,盼透過參與者角色自律及資安隱私最高標準下,持續配合金融創新政策推進,創造資訊安全與創新服務並重的數位金融遠景。」

麻布記帳團隊深知資訊安全是使用者最關心的議題,因此對於資安,我們一直以來都採用最高標準看待!資訊安全管理制度絕對不只是訂定制度、通過稽查,而是一場敏捷開發、內部同仁配合度與資金運作的大挑戰!


麻布記帳LOGO

最創新的理財記帳APP|自動記帳|資產管理平台

理財第一步「自動記帳」!麻布記帳為你省去手動記帳,把時間花在分析趨勢、檢視財務健康上。一鍵同步即時掌握 33 家銀行活定存、信用卡與海外投資、悠遊卡等,不花時間就能掌握每個帳戶金額變動與消費狀況。最多元的全資產管理平台,最方便的自動記帳工具,最智能的帳單繳費提醒!立即免費下載。																											

聯絡我們