金检数位金融 曝国银二漏洞

新冠肺炎疫情期间，国银为降低人与人接触，力拚「零接触」服务，也狂推数位网路帐户，据金管会最新统计，截至2021年6月30日止，国内数位存款帐户开户人数已上冲832万户，较去年同期大增将近七成。

然而，金管会金检报告指出，国银在数位金融业务上主要有二大缺失，一是对客户线上申请数位存款帐户，部分以人工方式评估客户风险分级作业，但未建立检核机制并留存人工评估纪录备查。二是对不同信用卡客户在同一日利用相同IP位址或电话，申办信用卡，未建立检核机制，不利防杜他人伪冒申办信用卡。

金管会也提出二大改善办法，一是应对数位存款客户风险分级之人工评估作业留下评估轨迹，并建立检核机制，以了解其评估客户风险等级的妥适性。二是应确实建立同一IP位址或同一电话申办金融服务的检核控管机制，防杜人头帐户。

在资讯安全上，国银主要有二大缺失。一是「办理应用系统或行动装置应用程式（APP）异动之相关安全检测及上线作业」有欠妥适，像是异动程式上版前办理程式码检视程序及测试验证流程欠严谨，未能发现程式逻辑错误，或未循既有作业流程执行完整测试并提供佐证资料。二是「办理重要业务主机或伺服器作业系统安全参数管理作业」有欠妥适。

金管会建议，应全面检视主机系统及伺服器重要安全性参数设定的妥适性，确实办理各项定期检核作业，并落实执行，以维主机系统安全。