[情報] 麻布記帳通過ISO/IEC27701驗證

看板Bank_Service作者 (TEMU2015)時間2年前 (2022/02/23 20:00), 2年前編輯推噓49(534256)
留言313則, 40人參與, 2年前最新討論串1/2 (看更多)
在您閱讀本文之前,提醒您! 1. 此文轉載自麻布記帳部落格,並非新聞。本人與麻布記帳毫無關係。 2. 在使用APP前請審慎閱讀相關條款,並依自身風險承受能力決定是否提供網銀帳密 3. 麻布記帳使用代理同步而非使用API讀取您的帳務資料(亦即沒有正式合作關係) 當使用者輸入帳號同步時,麻布即以使用者合法代理人身分登入使用者網銀 此同步方式於2019/07經金管會確認並無金融監理問題(工商時報) 4. 麻布記帳目前每週會免費自動同步一次 5. 刪除麻布記帳APP不會解除已設定之自動同步,亦不會退出麻布記帳會員 麻布記帳仍會因您原有的設定進行同步,您可能會收到網銀登入通知 若超過14日未登入麻布APP即會解除所有自動同步 6. ISO認證費用由驗證商向受測者商收取且可自選認證系統,請自行評估可信程度。 ------------------------------------------------------------------------------ 資訊安全最高規格! 面對使用者最擔心的資安隱私問題 Moneybook麻布記帳做了哪些努力? 原文縮網址: https://reurl.cc/Vj7vX6 原始網址預覽: https://reurl.cc/Vj7vX6+ 2022/02/23 https://i.imgur.com/aSMG5Iu.jpg
Moneybook麻布記帳2022年1月28日通過國際「ISO/IEC 27701」個人資訊管理系統驗證, 代表團隊符合安全保護機制與風險應對流程,能降低各種風險與威脅,保護每一位使用者 的資訊安全!究竟這些國際標準是什麼?麻布記帳在資安與隱私保護上還做了哪些努力, 讓使用者放下心中大石頭? 透過本文 麻編想要告訴你: * ISO 27001是什麼?取得驗證代表擁有哪些能力? * ISO 27701是什麼?取得驗證代表擁有哪些能力? * 通過國際資安與隱私保護驗證 麻布記帳使用者可以放心的是? --* 產品層面:麻布記帳App本身 --* 管理層面:麻布記帳內部團隊 --* 企業層面:麻布記帳與銀行間的合作關係 * 麻布記帳執行長怎麼說? ISO 27001是什麼?取得驗證代表擁有哪些能力? 「ISO/IEC 27001」正式中文名稱為「資訊科技—安全技術—管理系統—要求事項」,是 一套由國際標準組織(ISO)與國際電工委員會(IEC),針對「資訊安全管理系統( Information Security Management System,簡稱ISMS)」,聯合發布的一套國際標準, 最早於2005年發布,後在2013年改版,是目前國際上使用最廣泛,也是檢驗資訊安全( ISMS)最完整的標準。 而我國經濟部標準檢驗局2014年4月24日公告的「CNS 27001」國際標準,則是參考2013年 最新版「ISO/IEC 27001」修訂,是我國資安管理系統的重點指導原則。 麻布記帳最早於2020年1月17日通過ISO/IEC 27001,成為全台首家通過ISO驗證的新創公 司。今(2022)年複驗也順利通過,代表團隊在管理及保護資訊資產上,符合國際要求, 可以降低組織管理、資訊安全上面臨的各種風險與威脅,並有足夠能力做到確認風險、採 取控制措施、排除風險等,確保資訊層面安全無虞。 相關網址: CNS27001 https://reurl.cc/bkqjVX https://reurl.cc/bkqjVX+ 全台首家新創ISO https://reurl.cc/Opz8MD https://reurl.cc/Opz8MD+ ISO 27701是什麼?取得驗證代表擁有哪些能力? 「ISO/IEC 27701」則是發展在「ISO/IEC 27001」架構下,關於「個人資訊管理系統( Personal Information Management System,簡稱PIMS)」的國際標準,讓企業組織在蒐 集、處理或儲存個人隱私資訊時,有依據可循,進而達到管理保護個人隱私的標準,降低 個資風險,確保個人資料的安全。 麻布記帳2021年第二季自主增驗ISO/IEC 27701,並於今(2022)年取得證書,代表麻布 記帳團隊擁有整合資訊安全與管控個人隱私的完整能力。 https://i.imgur.com/liJEQup.jpg
通過國際資安與隱私保護驗證 麻布記帳使用者可以放心的是? 近年科技發展迅速,讓人們日常生活越來越方便,但與數位科技脫不了鉤的同時,伴隨而 來的便是大家最關心的資訊安全問題。舉例而言,世界上偶見惡意軟體與勒索病毒攻擊, 或駭客可能未經授權就有辦法竊取資訊,這些數位犯罪事件都讓資安意識越來越抬頭。 以下我們透過產品層面(麻布記帳App本身)、管理層面(麻布記帳內部團隊),以及企 業層面(麻布記帳與銀行間的合作關係),來一探究竟麻布記帳團隊在金管會建立的「金 融科技創新園區(Fintech space)」輔導下,在資訊安全與隱私保護上做了哪些努力! -- 1. 產品層面:麻布記帳App本身 -- * 個人隱私資料保護 從產品層面來看,在國際ISO/IEC 27701(個人資訊管理系統)標準中,有一系 列關於個人隱私資料保護的規範。套用到麻布記帳App來看,代表所有可「直接 」或「間接」識別特定對象的資訊,舉凡網路識別碼(IP位址、瀏覽器Cookies) ,或是足以辨識特定身分及性別的資訊,都屬於個人資料,且受到完整保護。 -- * 第三方滲透測試 除了ISO/IEC 27701認證,麻布記帳更委託公正單位進行不定期「第三方滲透測 試」,讓公正單位以駭客思維,檢測麻布記帳App系統是否存在弱點與漏洞,也會 透過滲透測試報告,依據測試過程、結果及修復建議,持續防範資安問題。 -- * 經濟部工業局APP資安檢測認證 另外,麻布記帳App也已通過「行動應用App基本資安檢測實驗室」檢測,於2020 年6月19日取得「經濟部工業局APP資安檢測報告」,確保麻布記帳能保護個人資 料、敏感資料,防堵惡意攻擊。 https://i.imgur.com/M0t8Shc.jpg
https://i.imgur.com/DBOoHmk.jpg
簡單來說,App內的所有資訊都是透過應用程式介面(Application Programming Interface,API)來連接,當A端輸入資料時,B就能依據資料回傳結果,但就像水管破洞 、水就會流出一樣,若資料傳輸過程出現漏洞,個人機密資料就可能外洩。 因此,麻布記帳積極部署各個層級的資安檢測,就是為了在提供「全資產整合服務App」 的同時,最大程度保護使用者的資訊安全。 -- 2. 管理層面:麻布記帳內部團隊 -- * 資訊安全風險防範 從管理層面來看,在國際ISO/IEC 27001(資訊安全管理系統)中,有一系列關 於資訊安全架構、實施、維護及持續改善的要求。麻布記帳內部團隊「資訊安全 管理系統」通過國際驗證,代表整間公司從外至內的人、事、物,皆經過且符合 嚴格的規範制度,包含外部監視器、指紋辨識門禁、出入人員紀錄、每台電腦、 印表機、影印機、傳真機等,連同資料傳輸機制、資訊儲存等,都有對應紀錄且 受到管理。 此外,團隊內每一項流程與每一項更動都會被記錄下來,違者有跡可循、有法可 罰,杜絕資料外洩發生。若有風險事故發生時,也能即時執行完整的應變處理措 施。同時也會提供完整紀錄給第三方公正單位,供其評估是否有洩漏的權責,以 保護每一位使用者的資訊安全。 -- * 社交工程演練 內部團隊方面,除了符合ISO/IEC 27001標準,麻布記帳還會不定期執行社交工程 演練。一般來說,電子郵件是企業對外的主要溝通管道,但一不注意,就可能成 為駭客入侵的起源。麻布記帳團隊對此委託第三方公正單位,訓練內部員工對於 電子郵件釣魚信的警覺性,以免惡意人士透過電子郵件誘使員工點閱,杜絕電腦 遭駭客入侵、資料外洩等風險。 -- 3. 企業層面:麻布記帳與銀行間的合作關係 目前台灣「開放銀行(Open Banking)」政策進展至第二階段,開放「客戶資料查 詢」。所謂開放銀行,是指由麻布記帳這類第三方服務業者(Third-party Service Providers,TSP),透過開放程式介面(Open API)的方式,與國內各家銀行業者 串連,讓使用者在麻布記帳一款App內,就能查詢、整合跨銀行的資產。 因此,麻布記帳在與銀行合作上也相當謹慎,2020年9至10月間就通過台新銀行、玉 山銀行、華南銀行、合作金庫四家銀行的實體稽核,代表麻布記帳在資料讀取上獲 得銀行認可。 相關網址: https://reurl.cc/dX9jqg https://reurl.cc/dX9jqg+ 麻布記帳執行長怎麼說? Moneybook執行長陳振榮表示:「台灣金融環境的演進與政策推動,建構於完善的風險控 管制度上,才會有現在金融機構高度融入民眾實體生活圈的場景。但在數位金融服務的生 活應用上,仍與國外存在一定程度的差距。 因此,麻布記帳團隊以促進台灣金融服務『數位轉型』為己任,盼透過參與者角色自律及 資安隱私最高標準下,持續配合金融創新政策推進,創造資訊安全與創新服務並重的數位 金融遠景。」 麻布記帳團隊深知資訊安全是使用者最關心的議題,因此對於資安,我們一直以來都採用 最高標準看待!資訊安全管理制度絕對不只是訂定制度、通過稽查,而是一場敏捷開發、 內部同仁配合度與資金運作的大挑戰! ---------------------------------------------------------------------------- * 謹提醒您務必妥善保管您的網銀帳密 以策帳號安全 要用就不要擔心 要擔心就不要用 方便與隱私請自行界定 * ---------------------------------------------------------------------------- -- 遇建你 在北方成堡的風景中 CKSC75up x TFGSC80 x CGCRA63 x ZSCA32 x JMSC33 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.228.103.156 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1645617634.A.E28.html
02/23 20:09, 2年前 , 1F
麻布好用
02/23 20:09, 1F
02/23 20:17, 2年前 , 2F
通過這沒啥用啦,重點還是開放銀行授權連結API,像集
02/23 20:17, 2F
02/23 20:17, 2年前 , 3F
保那樣,使用者才會放心。
02/23 20:17, 3F
麻布社團說2022會上線 不過其實去年農曆年前就說農曆年後要上線了 不過到現在還是。。。。。 目前API的只有TD和幣安
02/23 20:19, 2年前 , 4F
之前用過蠻爛的 很難作帳 現在改善了嗎
02/23 20:19, 4F
麻布2019以來介面沒有大改 所以如果您當時覺得難用,那現在應該還是難用
02/23 20:21, 2年前 , 5F
現在除了集保之外有誰可以用銀行的open API?
02/23 20:21, 5F
噓噓東friDay理財+ 我有發情報文過 不過只能抓餘額沒啥用
02/23 20:21, 2年前 , 6F
通過ISO很厲害嗎?(燦笑)
02/23 20:21, 6F
我不知道欸 可以麻煩大大賜教嗎?
02/23 20:41, 2年前 , 7F
跑過iso認證的人很多,知道是怎麼一回事
02/23 20:41, 7F
02/23 20:51, 2年前 , 8F
笑而不語 XDD
02/23 20:51, 8F
02/23 20:58, 2年前 , 9F
銀行跟證券都說不要登入第三方軟體 CC
02/23 20:58, 9F
本來就是如此 所以出包請不要來找我 請自行考量風險
02/23 21:15, 2年前 , 10F
去年一整年都沒進步感,不過iso通過很困難,給推啦
02/23 21:15, 10F
對.. 麻布去年一整年真的沒什麼進化 聽說網家跟中信都投資了 怎麼還這麼慢XD
02/23 21:22, 2年前 , 11F
我有PIMS證書 但我選擇笑而不語XD
02/23 21:22, 11F
看來ISO好像真的不是什麼很厲害的東西 都是麻布的大內宣? (我真的不懂ISO驗證/認證 還請前輩不吝指教)
02/23 21:26, 2年前 , 12F
能做到像集保那樣真的不錯,如果啦
02/23 21:26, 12F
02/23 21:29, 2年前 , 13F
苦等麻布能用open api
02/23 21:29, 13F
麻布: 預計2022上線 麻布沒有集保的偏官方背景 也沒有噓噓東的財團背景 不知道是否有造成實質上的障礙? 還是沒人沒錢沒打算開發? 畢竟喊那麼久了 使用者也是會疲乏的
02/23 21:48, 2年前 , 14F
看起來是沒背景,不然集保那麼多家上線,遠東的起碼也有
02/23 21:48, 14F
02/23 21:48, 2年前 , 15F
4家
02/23 21:48, 15F
02/23 21:49, 2年前 , 16F
我也是在等open api
02/23 21:49, 16F
02/23 21:55, 2年前 , 17F
所以不合法的爬蟲API要停止了嗎?
02/23 21:55, 17F
沒有不合法啦 你覺得如果不合法金管會會默許他爬4年? https://ctee.com.tw/news/finance/113492.html 麻布記帳Money book執行長陳振榮表示,商模研發過程最大的困難,是客戶要把銀行密碼 交給TSP業者,經過FINTECHSPACE金融監理門診的諮詢,金管會已確定沒有違反金融監理
02/23 22:12, 2年前 , 18F
台灣做ISO 27001驗證的單位不少,而ISO驗證公司也要生
02/23 22:12, 18F
02/23 22:12, 2年前 , 19F
活,再加上稽核都是抽查的,所以只要不看到太離譜且明
02/23 22:12, 19F
02/23 22:12, 2年前 , 20F
確違反ISO的規定,幾乎都會給過,因此驗證公司太刁難的
02/23 22:12, 20F
02/23 22:12, 2年前 , 21F
話,下次就有可能不給這家驗證了XD
02/23 22:12, 21F
所以還是有利益糾葛問題在@@
02/23 22:22, 2年前 , 22F
元富證券的聲明可以貼一下
02/23 22:22, 22F
嚴正聲明本公司並未與「Moneybook麻布記帳」、「籌碼K線」及「股市爆料同學會」等應 用程式合作,請投資人勿輕易交付電子交易帳號密碼。 https://www.masterlink.com.tw/news/stocknews/497?node_parent=458&tab=1 他的聲明不是指麻布違法 是指他們沒合作而且不建議你用 你要用它管不著你 是你授權麻布代理同步 這中間並沒有受到元富的認可是無庸置疑的 不過其實麻布現在也不能抓股票同步了 憑證問題
02/23 22:23, 2年前 , 23F
還可以再加上麻布用境外IP登入被玉山警告
02/23 22:23, 23F
一樣 是玉山警告你 不是玉山警告麻布記帳 理論上所有銀行都是境外IP 但是只有玉山特別勤勞有抓出來提醒 https://blog.moneybook.com.tw/2019/10/28/bank-ip/
02/23 22:29, 2年前 , 24F
02/23 22:29, 24F
所以這就是你要不要信任他的問題啊 擇你所愛 愛你所擇 自行權衡利弊得失 如果覺得銀行危險那就抓抓票證餘額就好 倒是同性質的planto靜悄悄不知目前有沒有新進展?
02/23 22:34, 2年前 , 25F
一直覺得麻布記帳的產品概念很好,有解到現代人帳務資產
02/23 22:34, 25F
02/23 22:34, 2年前 , 26F
複雜不好管理的痛點,但需要把銀行密碼交給TSP這點永遠
02/23 22:34, 26F
還有 256 則推文
還有 37 段內文
02/27 21:54, 2年前 , 283F
沒錯啊,麻布伺服器還在GCP上面,每次登入都是國外IP
02/27 21:54, 283F
02/27 21:54, 2年前 , 284F
,銀行系統很容易跳警示
02/27 21:54, 284F
02/28 01:17, 2年前 , 285F
反正開放api再來說吧,銀行密碼交給別人是不可能滴
02/28 01:17, 285F
我也希望麻布趕快開。。。。 因為friDay還是不足以滿足個人記帳需求
02/28 05:52, 2年前 , 286F
這話題還在吵呀,2天沒看,我又被黑了
02/28 05:52, 286F
228不宜祝您連假快樂,改祝您身體健康萬事如意
02/28 05:56, 2年前 , 287F
美國有些銀行會直接記憶裝置,不同裝置登入會立刻跳驗證
02/28 05:56, 287F
02/28 05:56, 2年前 , 288F
,太常有不同裝置登入會直接鎖網銀要求肉身驗證
02/28 05:56, 288F
很好啊! 保障使用者的安全
02/28 05:58, 2年前 , 289F
Friday用的是國際通用的方式,最安全,結果被麻布網軍黑
02/28 05:58, 289F
我頂多說friDay無法滿足我的需求 沒黑他吧 friDay走API又通過資安L3 安全性>麻布是不爭的事實
02/28 07:29, 2年前 , 290F
ps:集保也有記裝置
02/28 07:29, 290F
麻布APP也有記裝置和新登入通知
02/28 08:13, 2年前 , 291F
這篇有誰黑過Friday了?我重刷一遍也沒看到有誰黑它啊 所
02/28 08:13, 291F
02/28 08:13, 2年前 , 292F
以麻布網軍是講誰?某人自己紮的稻草人嗎
02/28 08:13, 292F
02/28 08:22, 2年前 , 293F
重看也發現c很愛喊別人網軍 扣帽子不會讓你看起來更有邏
02/28 08:22, 293F
02/28 08:22, 2年前 , 294F
輯 一個人看到他平日需求性高的app被抵制了當然會想保護
02/28 08:22, 294F
02/28 08:22, 2年前 , 295F
它 這就叫網軍的話根本不懂何謂網軍 也不懂言論自由的普
02/28 08:22, 295F
02/28 08:22, 2年前 , 296F
世價值
02/28 08:22, 296F
02/28 08:27, 2年前 , 297F
白話一點就是他是網軍=他的話只是帶風向的違心之論而非事
02/28 08:27, 297F
02/28 08:27, 2年前 , 298F
實 要大家別聽他的 這根本不尊重他人討論的權利
02/28 08:27, 298F
02/28 08:39, 2年前 , 299F
這篇被討論的使用麻布可能風險或許是使用者該注意的 但出
02/28 08:39, 299F
02/28 08:39, 2年前 , 300F
事風險是使用者要承擔的 不能接受就不用就好 硬要反對到
02/28 08:39, 300F
02/28 08:39, 2年前 , 301F
讓它消失的心態感覺就是有什麼利益衝突或其他同類工具的
02/28 08:39, 301F
02/28 08:39, 2年前 , 302F
激進支持者吧
02/28 08:39, 302F
某人就搞不清楚狀況啊,friDay上線時我還有發文呢 台新的那篇我還一步一步截圖貼上來給板友參考
02/28 10:00, 2年前 , 303F
temu2015你不就每篇講到Friday就黑一次..然後說期待麻布
02/28 10:00, 303F
02/28 10:01, 2年前 , 304F
戳到痛處了才一直攻擊人
02/28 10:01, 304F
我不能發悠遊卡進步的文然後說期待有錢卡跟上嗎 真奇怪 像是有錢卡要靠卡一直被攻擊 我還不是一直解釋加值金回存必須寫卡
02/28 10:03, 2年前 , 305F
在PTT多少年了..你這種不知道是第幾千個..看多囉
02/28 10:03, 305F
既然不知道是第幾千個 您7000次大大大大學長就別跟我小弟計較了吧 祝您身體健康萬事如意
02/28 10:27, 2年前 , 306F
這篇他沒黑Friday 硬要在這篇扯他在哪在哪有黑過 看來某
02/28 10:27, 306F
02/28 10:27, 2年前 , 307F
人才是Friday網軍 誰罵過F就記仇成這樣
02/28 10:27, 307F
02/28 10:29, 2年前 , 308F
戳到痛處了才一直攻擊人 根本是在說自己吧
02/28 10:29, 308F
※ 編輯: temu2015 (61.228.99.108 臺灣), 02/28/2022 10:51:52
02/28 10:52, 2年前 , 309F
我全站發有錢卡的文不知道是麻布的幾倍
02/28 10:52, 309F
02/28 12:06, 2年前 , 310F
02-27771278,是空號哦。
02/28 12:06, 310F
02/28 12:40, 2年前 , 311F
02 27660092 麻布數據科技 以前電訪他們是打這支
02/28 12:40, 311F
02/28 12:40, 2年前 , 312F
感謝樓上點出問題所在
02/28 12:40, 312F
02/28 15:14, 2年前 , 313F
說黑的麻煩截圖上來指出哪裡黑?沒證據不行唷~ 科科
02/28 15:14, 313F
更多 temu2015 的文章
文章代碼(AID): #1Y5Y7Yue (Bank_Service)
更多 temu2015 的文章
文章代碼(AID): #1Y5Y7Yue (Bank_Service)