作者CCWck (幹嘛要暱稱)
看板Bank_Service
標題Re: [情報] 麻布記帳通過ISO/IEC27701驗證
時間Tue Mar 8 01:14:46 2022
※ 引述《temu2015 (TEMU2015)》之銘言:
: 在您閱讀本文之前,提醒您!
: 1. 此文轉載自麻布記帳部落格,並非新聞。本人與麻布記帳毫無關係。
: 2. 在使用APP前請審慎閱讀相關條款,並依自身風險承受能力決定是否提供網銀帳密
: 3. 麻布記帳使用代理同步而非使用API讀取您的帳務資料(亦即沒有正式合作關係)
: 當使用者輸入帳號同步時,麻布即以使用者合法代理人身分登入使用者網銀
: 此同步方式於2019/07經金管會確認並無金融監理問題(工商時報)
: 4. 麻布記帳目前每週會免費自動同步一次
: 5. 刪除麻布記帳APP不會解除已設定之自動同步,亦不會退出麻布記帳會員
: 麻布記帳仍會因您原有的設定進行同步,您可能會收到網銀登入通知
: 若超過14日未登入麻布APP即會解除所有自動同步
: 6. ISO認證費用由驗證商向受測者商收取且可自選認證系統,請自行評估可信程度。
T大這篇文 相信是來自於我之前在Android_app版對麻布的抱怨而來
當時我有說會向金管會陳情
這幾天陸續收到了回覆
以下摘要說明一下 (括號內文字的是我個人看法)
金管會:
1.麻布需要遵守的是自律規範和open API作業規範
2.金管會並非麻布的主管機關(麻布也證實此事),金管會只管金融機構
----
一、按銀行與第三方服務提供者合作辦理開放銀行業務,應依「中華民國銀行公會會員銀
行與第三方服務提供者合作之自律規範」及「金融機構與第三方服務提供者辦理開放應用
程式介面(OPEN API)業務安全控管作業規範」等相關規範辦理。
二、經查麻布記帳非屬本局所轄金融機構,關於陳情內容指陳使用玉山商業銀行、中國信
託商業銀行及台新國際商業銀行等3家銀行之網路銀行帳號登入麻布記帳(Moneybook)APP
所涉資訊安全相關疑義,因涉銀行實務作業及事實釐清,本局已請案關銀行查明後向您說
明。
----
https://www.fisc.com.tw/tc/download/OPEN%20API%20RULE.pdf
玉山銀行:
與麻布有合作,但只合作open API第一階段
代理登入的部分並未合作
中信銀行:
與麻布並無合作
台新銀行:
與麻布並無合作
以上三家銀行都說,不建議客戶提供帳密給第三方業者,如果有疑慮請自行更換密碼
(但似乎也不禁止,銀行也不會刻意用技術阻擋麻布來存取)
(銀行也不打算像元富證券負面表列麻布的狀況 可能不想得罪人)
麻布記帳:
open API是金管會委由財金資訊公司管理
(個人認為像證交所的感覺 證交所的各種規章 性質上不是行政命令 但又有實質規範意義)
open API第一階段部分: 目前只有部分銀行有合作
關於合法性的部分 並無正式函文 但在某個未公告的會議紀錄裡面有說合法
open API 的作法 是由各家銀行提供給財金公司為窗口
但是麻布還是要個別取得銀行的授權 才能透過財金公司來使用這些open API
open API第二階段部分:
麻布說有法規,但未公告,麻布有滿足法規的要求
(應該也是財金公司的XX規範那種)
(以上只能說是合法 畢竟我也找不到任何法規說"不得XXX"但是麻布確有做的行為)
但目前沒有正式洽談合作成功的案例,所以趴存款和信用卡的授權依據 還是使用者條款
麻布沒有用儲存的資料作其他用途
麻布帳號14天未登入 會自動關閉同步
一年沒登入會刪除帳號
還有我對麻布的QA 但沒有共識:
依照使用者條款我授權麻布代理登入
我的認知是 使用APP的當下去趴資料 並沒有同意無限期授權代理的意思
麻布亦沒有明確 讓使用者撤銷代理的機制
我授權麻布代理 但麻布APP只做為UI呈現用
真正發動網銀登入的是GCP和麻布另外的service
這部分算是麻布二次授權給GCP代理登入嗎? 法律上允許嗎?
我建議麻布改善的方向:
1.GCP自動登入前,可以考慮email簡訊發給使用者
(如果你APP沒刪除 應該會看到同步紀錄)
2.GCP的海外IP 應和銀河洽談設成白名單 而非叫使用者忽略
如果使用者一直忽略海外IP的警告 可能真的被攻擊時無法即時發現
3.使用者條款中 代理登入的部分應該可用紅字highlight提醒使用者
4.對於要刪除個資的部分 UI應該做的更明顯
5.客服回信應該快一點
另外,麻布相關的葉佩雯 就真的只是文字遊戲
所謂"支援"20幾家銀行 可能只是單方面可以趴資料 並未取得銀行合作
符合open api標準 其實只有第一階段
結論(應該大家都不意外)
1.麻布沒有違法
2.主要的功能都是來自使用者授權
以上
感謝
金管會銀行局
玉山高小姐
中信小姐
台新先生
麻布馮小姐
如果我的文章有錯誤傳達你們告知我的訊息
請通知我更正
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 203.74.115.185 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Bank_Service/M.1646673288.A.9AB.html
1F:推 cmk8: 真的一直跳美國IP登入警告很阿雜 03/08 02:06
2F:推 sggs: 銀行的登入通知email夠多了,同步1次都會1排,麻布不要再加了 03/08 07:47
3F:推 temu2015: 謝謝分享,可見於我為麻布辯護沒有違法這部分是沒有問題 03/08 09:03
4F:→ temu2015: 的,然而風險還是要由使用者自行負擔。麻布社團的小編有 03/08 09:03
5F:→ temu2015: 看到上篇,說法是有API就不能留帳密,但麻布沒API合作就 03/08 09:03
6F:→ temu2015: 不受上開限制。 03/08 09:03
7F:推 r51303: GCP是相對安全的 問題我覺得在銀行端吧 03/08 12:50
8F:→ r51303: GCP只是提供一台Server給麻布的概念 麻布APP的主體就是GCP 03/08 12:53
9F:→ r51303: 你先去弄懂server-client的架構 這篇我看得不太懂 03/08 12:53
10F:→ r51303: 為啥要授權給GCP啊? 你又不是跟GCP買雲端 GCP沒必要取得 03/08 12:53
11F:→ r51303: 你的授權啊 從頭到尾就是授權給麻布 麻布的Server在GCP上 03/08 12:54
因為去網銀登入帳密的是GCP
但是GCP應該是很多APP都可以用的 沒辦法保證是麻布登入
12F:→ r51303: 理解應該是這樣 至於海外登入的問題 應該要請銀行端口 03/08 12:54
13F:→ r51303: 限定指定IP才能海外連線 並將麻布在GCP的固定IP設為白名單 03/08 12:54
14F:→ r51303: 或者跳出由麻布代理登入的警告字樣 03/08 12:54
15F:推 r51303: 這在資訊安全上能做 且非常非常簡單 防火牆一行設定的事情 03/08 12:57
看到你這推文我才想到
麻布有跟我說 GCP提供的是浮動IP
※ 編輯: CCWck (60.244.123.129 臺灣), 03/08/2022 13:02:07
16F:→ assa4451: 銀行為何要幫忙設定成白名單,又沒合作 03/08 13:16
17F:→ temu2015: 為什麼會很多app都能使用gcp? 03/08 13:32
18F:→ crazycy: 先去搞懂什麼是GCP... 03/08 16:39
19F:推 skelling: 白名單很難,"萬一"麻布自己出問題怎麼辦? 03/08 18:58
20F:→ avigale: GCP可以要求固定IP啊,要錢而已。 03/08 19:24
21F:→ avigale: 也有台灣的伺服器可以用,用國外的就是圖便宜吧。 03/08 19:26
22F:推 abccbaandy: 都敢給帳密了,還擔心這些... 03/08 20:47
23F:→ yoyo930021: 有說是台灣機房 被認成國外 IP 只是因為 IP 地理本來 03/08 21:36
24F:→ yoyo930021: 就是不準的 有的把 Google 的 IP 都當成美國的 03/08 21:36
27F:→ yoyo930021: 28/bank-ip/ 03/08 21:50
28F:→ yoyo930021: 至於為什麼不固定 最大原因應該是怕被銀行鎖啦 XDD 03/08 21:51
29F:推 sp063439: 1. GCP(VM) 類似大樓提供不同辦公室, 可以選自己門牌(ip 03/09 00:05
30F:→ sp063439: )或由大樓分配, 但不代表別的住戶可以共用自己的辦公室 03/09 00:05
31F:→ sp063439: 2. 鎖IP也不是好辦法, 因為電信商是可以收回更換的還有 03/09 00:05
32F:→ sp063439: 外洩因素, 最終還是密鑰(token)交換API 最佳解 03/09 00:05
33F:→ andy0701: 先去搞懂GCP怎麼運作吧XDD,,可以消除你的一些疑問 03/09 10:20
34F:推 gottsuan: 基本上銀行就是不建議使用 但也沒禁止使用麻布 03/10 14:33
35F:→ gottsuan: 你用了 帳密給麻布代登入 是你自己的行為出事銀行不負責 03/10 14:34
36F:→ gottsuan: 而麻布也沒有受任何主管機關管理規範 出事了也不用負責 03/10 14:34
37F:→ gottsuan: 就看使用者願不願意自己承擔風險換便利 03/10 14:35