... 開放銀行提供了多項創新業務,創造多贏的經濟模式。臺灣金融服務近年來也有新的 ... 消費者賦權的概念與開放銀行有著緊密的連結,兩者相輔相成,歐盟的GDPR法案與澳洲的 ... ... <看更多>
「金融機構與第三方服務提供者辦理開放應用程式介面open api業務安全控管作業規範」的推薦目錄:
- 關於金融機構與第三方服務提供者辦理開放應用程式介面open api業務安全控管作業規範 在 Re: [情報] 麻布記帳通過ISO/IEC27701驗證- 看板Bank_Service 的評價
- 關於金融機構與第三方服務提供者辦理開放應用程式介面open api業務安全控管作業規範 在 開放應用程式介面open api業務安全的問題包括PTT、Dcard 的評價
- 關於金融機構與第三方服務提供者辦理開放應用程式介面open api業務安全控管作業規範 在 開放應用程式介面open api業務安全的問題包括PTT、Dcard 的評價
- 關於金融機構與第三方服務提供者辦理開放應用程式介面open api業務安全控管作業規範 在 開放API 的應用示例Open API Application Examples - YouTube 的評價
金融機構與第三方服務提供者辦理開放應用程式介面open api業務安全控管作業規範 在 開放應用程式介面open api業務安全的問題包括PTT、Dcard 的必吃
... 開放銀行提供了多項創新業務,創造多贏的經濟模式。臺灣金融服務近年來也有新的 ... 消費者賦權的概念與開放銀行有著緊密的連結,兩者相輔相成,歐盟的GDPR法案與澳洲的 ... ... <看更多>
金融機構與第三方服務提供者辦理開放應用程式介面open api業務安全控管作業規範 在 開放API 的應用示例Open API Application Examples - YouTube 的必吃
開放API 框架採用風險為本原則,並分四個階段落實各項 開放API 的功能。四階段的 開放API 包括:第一階段- 產品資料; 第二階段- 產品申請; 第三階段- 帳戶 ... ... <看更多>
金融機構與第三方服務提供者辦理開放應用程式介面open api業務安全控管作業規範 在 Re: [情報] 麻布記帳通過ISO/IEC27701驗證- 看板Bank_Service 的必吃
※ 引述《temu2015 (TEMU2015)》之銘言:
: 在您閱讀本文之前,提醒您!
: 1. 此文轉載自麻布記帳部落格,並非新聞。本人與麻布記帳毫無關係。
: 2. 在使用APP前請審慎閱讀相關條款,並依自身風險承受能力決定是否提供網銀帳密
: 3. 麻布記帳使用代理同步而非使用API讀取您的帳務資料(亦即沒有正式合作關係)
: 當使用者輸入帳號同步時,麻布即以使用者合法代理人身分登入使用者網銀
: 此同步方式於2019/07經金管會確認並無金融監理問題(工商時報)
: 4. 麻布記帳目前每週會免費自動同步一次
: 5. 刪除麻布記帳APP不會解除已設定之自動同步,亦不會退出麻布記帳會員
: 麻布記帳仍會因您原有的設定進行同步,您可能會收到網銀登入通知
: 若超過14日未登入麻布APP即會解除所有自動同步
: 6. ISO認證費用由驗證商向受測者商收取且可自選認證系統,請自行評估可信程度。
T大這篇文 相信是來自於我之前在Android_app版對麻布的抱怨而來
當時我有說會向金管會陳情
這幾天陸續收到了回覆
以下摘要說明一下 (括號內文字的是我個人看法)
金管會:
1.麻布需要遵守的是自律規範和open API作業規範
2.金管會並非麻布的主管機關(麻布也證實此事),金管會只管金融機構
----
一、按銀行與第三方服務提供者合作辦理開放銀行業務,應依「中華民國銀行公會會員銀
行與第三方服務提供者合作之自律規範」及「金融機構與第三方服務提供者辦理開放應用
程式介面(OPEN API)業務安全控管作業規範」等相關規範辦理。
二、經查麻布記帳非屬本局所轄金融機構,關於陳情內容指陳使用玉山商業銀行、中國信
託商業銀行及台新國際商業銀行等3家銀行之網路銀行帳號登入麻布記帳(Moneybook)APP
所涉資訊安全相關疑義,因涉銀行實務作業及事實釐清,本局已請案關銀行查明後向您說
明。
----
https://www.fisc.com.tw/tc/download/OPEN%20API%20RULE.pdf
玉山銀行:
與麻布有合作,但只合作open API第一階段
代理登入的部分並未合作
中信銀行:
與麻布並無合作
台新銀行:
與麻布並無合作
以上三家銀行都說,不建議客戶提供帳密給第三方業者,如果有疑慮請自行更換密碼
(但似乎也不禁止,銀行也不會刻意用技術阻擋麻布來存取)
(銀行也不打算像元富證券負面表列麻布的狀況 可能不想得罪人)
麻布記帳:
open API是金管會委由財金資訊公司管理
(個人認為像證交所的感覺 證交所的各種規章 性質上不是行政命令 但又有實質規範意義)
open API第一階段部分: 目前只有部分銀行有合作
關於合法性的部分 並無正式函文 但在某個未公告的會議紀錄裡面有說合法
open API 的作法 是由各家銀行提供給財金公司為窗口
但是麻布還是要個別取得銀行的授權 才能透過財金公司來使用這些open API
open API第二階段部分:
麻布說有法規,但未公告,麻布有滿足法規的要求
(應該也是財金公司的XX規範那種)
(以上只能說是合法 畢竟我也找不到任何法規說"不得XXX"但是麻布確有做的行為)
但目前沒有正式洽談合作成功的案例,所以趴存款和信用卡的授權依據 還是使用者條款
麻布沒有用儲存的資料作其他用途
麻布帳號14天未登入 會自動關閉同步
一年沒登入會刪除帳號
還有我對麻布的QA 但沒有共識:
依照使用者條款我授權麻布代理登入
我的認知是 使用APP的當下去趴資料 並沒有同意無限期授權代理的意思
麻布亦沒有明確 讓使用者撤銷代理的機制
我授權麻布代理 但麻布APP只做為UI呈現用
真正發動網銀登入的是GCP和麻布另外的service
這部分算是麻布二次授權給GCP代理登入嗎? 法律上允許嗎?
我建議麻布改善的方向:
1.GCP自動登入前,可以考慮email簡訊發給使用者
(如果你APP沒刪除 應該會看到同步紀錄)
2.GCP的海外IP 應和銀河洽談設成白名單 而非叫使用者忽略
如果使用者一直忽略海外IP的警告 可能真的被攻擊時無法即時發現
3.使用者條款中 代理登入的部分應該可用紅字highlight提醒使用者
4.對於要刪除個資的部分 UI應該做的更明顯
5.客服回信應該快一點
另外,麻布相關的葉佩雯 就真的只是文字遊戲
所謂"支援"20幾家銀行 可能只是單方面可以趴資料 並未取得銀行合作
符合open api標準 其實只有第一階段
結論(應該大家都不意外)
1.麻布沒有違法
2.主要的功能都是來自使用者授權
以上
感謝
金管會銀行局
玉山高小姐
中信小姐
台新先生
麻布馮小姐
如果我的文章有錯誤傳達你們告知我的訊息
請通知我更正
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 203.74.115.185 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1646673288.A.9AB.html
但是GCP應該是很多APP都可以用的 沒辦法保證是麻布登入
麻布有跟我說 GCP提供的是浮動IP
※ 編輯: CCWck (60.244.123.129 臺灣), 03/08/2022 13:02:07
... <看更多>