作者CCWck (干嘛要昵称)
看板Bank_Service
标题Re: [情报] 麻布记帐通过ISO/IEC27701验证
时间Tue Mar 8 01:14:46 2022
※ 引述《temu2015 (TEMU2015)》之铭言:
: 在您阅读本文之前,提醒您!
: 1. 此文转载自麻布记帐部落格,并非新闻。本人与麻布记帐毫无关系。
: 2. 在使用APP前请审慎阅读相关条款,并依自身风险承受能力决定是否提供网银帐密
: 3. 麻布记帐使用代理同步而非使用API读取您的帐务资料(亦即没有正式合作关系)
: 当使用者输入帐号同步时,麻布即以使用者合法代理人身分登入使用者网银
: 此同步方式於2019/07经金管会确认并无金融监理问题(工商时报)
: 4. 麻布记帐目前每周会免费自动同步一次
: 5. 删除麻布记帐APP不会解除已设定之自动同步,亦不会退出麻布记帐会员
: 麻布记帐仍会因您原有的设定进行同步,您可能会收到网银登入通知
: 若超过14日未登入麻布APP即会解除所有自动同步
: 6. ISO认证费用由验证商向受测者商收取且可自选认证系统,请自行评估可信程度。
T大这篇文 相信是来自於我之前在Android_app版对麻布的抱怨而来
当时我有说会向金管会陈情
这几天陆续收到了回覆
以下摘要说明一下 (括号内文字的是我个人看法)
金管会:
1.麻布需要遵守的是自律规范和open API作业规范
2.金管会并非麻布的主管机关(麻布也证实此事),金管会只管金融机构
----
一、按银行与第三方服务提供者合作办理开放银行业务,应依「中华民国银行公会会员银
行与第三方服务提供者合作之自律规范」及「金融机构与第三方服务提供者办理开放应用
程式介面(OPEN API)业务安全控管作业规范」等相关规范办理。
二、经查麻布记帐非属本局所辖金融机构,关於陈情内容指陈使用玉山商业银行、中国信
托商业银行及台新国际商业银行等3家银行之网路银行帐号登入麻布记帐(Moneybook)APP
所涉资讯安全相关疑义,因涉银行实务作业及事实厘清,本局已请案关银行查明後向您说
明。
----
https://www.fisc.com.tw/tc/download/OPEN%20API%20RULE.pdf
玉山银行:
与麻布有合作,但只合作open API第一阶段
代理登入的部分并未合作
中信银行:
与麻布并无合作
台新银行:
与麻布并无合作
以上三家银行都说,不建议客户提供帐密给第三方业者,如果有疑虑请自行更换密码
(但似乎也不禁止,银行也不会刻意用技术阻挡麻布来存取)
(银行也不打算像元富证券负面表列麻布的状况 可能不想得罪人)
麻布记帐:
open API是金管会委由财金资讯公司管理
(个人认为像证交所的感觉 证交所的各种规章 性质上不是行政命令 但又有实质规范意义)
open API第一阶段部分: 目前只有部分银行有合作
关於合法性的部分 并无正式函文 但在某个未公告的会议纪录里面有说合法
open API 的作法 是由各家银行提供给财金公司为窗口
但是麻布还是要个别取得银行的授权 才能透过财金公司来使用这些open API
open API第二阶段部分:
麻布说有法规,但未公告,麻布有满足法规的要求
(应该也是财金公司的XX规范那种)
(以上只能说是合法 毕竟我也找不到任何法规说"不得XXX"但是麻布确有做的行为)
但目前没有正式洽谈合作成功的案例,所以趴存款和信用卡的授权依据 还是使用者条款
麻布没有用储存的资料作其他用途
麻布帐号14天未登入 会自动关闭同步
一年没登入会删除帐号
还有我对麻布的QA 但没有共识:
依照使用者条款我授权麻布代理登入
我的认知是 使用APP的当下去趴资料 并没有同意无限期授权代理的意思
麻布亦没有明确 让使用者撤销代理的机制
我授权麻布代理 但麻布APP只做为UI呈现用
真正发动网银登入的是GCP和麻布另外的service
这部分算是麻布二次授权给GCP代理登入吗? 法律上允许吗?
我建议麻布改善的方向:
1.GCP自动登入前,可以考虑email简讯发给使用者
(如果你APP没删除 应该会看到同步纪录)
2.GCP的海外IP 应和银河洽谈设成白名单 而非叫使用者忽略
如果使用者一直忽略海外IP的警告 可能真的被攻击时无法即时发现
3.使用者条款中 代理登入的部分应该可用红字highlight提醒使用者
4.对於要删除个资的部分 UI应该做的更明显
5.客服回信应该快一点
另外,麻布相关的叶佩雯 就真的只是文字游戏
所谓"支援"20几家银行 可能只是单方面可以趴资料 并未取得银行合作
符合open api标准 其实只有第一阶段
结论(应该大家都不意外)
1.麻布没有违法
2.主要的功能都是来自使用者授权
以上
感谢
金管会银行局
玉山高小姐
中信小姐
台新先生
麻布冯小姐
如果我的文章有错误传达你们告知我的讯息
请通知我更正
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 203.74.115.185 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Bank_Service/M.1646673288.A.9AB.html
1F:推 cmk8: 真的一直跳美国IP登入警告很阿杂 03/08 02:06
2F:推 sggs: 银行的登入通知email够多了,同步1次都会1排,麻布不要再加了 03/08 07:47
3F:推 temu2015: 谢谢分享,可见於我为麻布辩护没有违法这部分是没有问题 03/08 09:03
4F:→ temu2015: 的,然而风险还是要由使用者自行负担。麻布社团的小编有 03/08 09:03
5F:→ temu2015: 看到上篇,说法是有API就不能留帐密,但麻布没API合作就 03/08 09:03
6F:→ temu2015: 不受上开限制。 03/08 09:03
7F:推 r51303: GCP是相对安全的 问题我觉得在银行端吧 03/08 12:50
8F:→ r51303: GCP只是提供一台Server给麻布的概念 麻布APP的主体就是GCP 03/08 12:53
9F:→ r51303: 你先去弄懂server-client的架构 这篇我看得不太懂 03/08 12:53
10F:→ r51303: 为啥要授权给GCP啊? 你又不是跟GCP买云端 GCP没必要取得 03/08 12:53
11F:→ r51303: 你的授权啊 从头到尾就是授权给麻布 麻布的Server在GCP上 03/08 12:54
因为去网银登入帐密的是GCP
但是GCP应该是很多APP都可以用的 没办法保证是麻布登入
12F:→ r51303: 理解应该是这样 至於海外登入的问题 应该要请银行端口 03/08 12:54
13F:→ r51303: 限定指定IP才能海外连线 并将麻布在GCP的固定IP设为白名单 03/08 12:54
14F:→ r51303: 或者跳出由麻布代理登入的警告字样 03/08 12:54
15F:推 r51303: 这在资讯安全上能做 且非常非常简单 防火墙一行设定的事情 03/08 12:57
看到你这推文我才想到
麻布有跟我说 GCP提供的是浮动IP
※ 编辑: CCWck (60.244.123.129 台湾), 03/08/2022 13:02:07
16F:→ assa4451: 银行为何要帮忙设定成白名单,又没合作 03/08 13:16
17F:→ temu2015: 为什麽会很多app都能使用gcp? 03/08 13:32
18F:→ crazycy: 先去搞懂什麽是GCP... 03/08 16:39
19F:推 skelling: 白名单很难,"万一"麻布自己出问题怎麽办? 03/08 18:58
20F:→ avigale: GCP可以要求固定IP啊,要钱而已。 03/08 19:24
21F:→ avigale: 也有台湾的伺服器可以用,用国外的就是图便宜吧。 03/08 19:26
22F:推 abccbaandy: 都敢给帐密了,还担心这些... 03/08 20:47
23F:→ yoyo930021: 有说是台湾机房 被认成国外 IP 只是因为 IP 地理本来 03/08 21:36
24F:→ yoyo930021: 就是不准的 有的把 Google 的 IP 都当成美国的 03/08 21:36
27F:→ yoyo930021: 28/bank-ip/ 03/08 21:50
28F:→ yoyo930021: 至於为什麽不固定 最大原因应该是怕被银行锁啦 XDD 03/08 21:51
29F:推 sp063439: 1. GCP(VM) 类似大楼提供不同办公室, 可以选自己门牌(ip 03/09 00:05
30F:→ sp063439: )或由大楼分配, 但不代表别的住户可以共用自己的办公室 03/09 00:05
31F:→ sp063439: 2. 锁IP也不是好办法, 因为电信商是可以收回更换的还有 03/09 00:05
32F:→ sp063439: 外泄因素, 最终还是密钥(token)交换API 最佳解 03/09 00:05
33F:→ andy0701: 先去搞懂GCP怎麽运作吧XDD,,可以消除你的一些疑问 03/09 10:20
34F:推 gottsuan: 基本上银行就是不建议使用 但也没禁止使用麻布 03/10 14:33
35F:→ gottsuan: 你用了 帐密给麻布代登入 是你自己的行为出事银行不负责 03/10 14:34
36F:→ gottsuan: 而麻布也没有受任何主管机关管理规范 出事了也不用负责 03/10 14:34
37F:→ gottsuan: 就看使用者愿不愿意自己承担风险换便利 03/10 14:35