电子银行监管

(五)电子银行监管

“电子银行”指利用互联网传送保密客户数据(包括进行交易)的银行服务。电子银行包括提供给个人、公司及机构客户的服务；电子银行服务的发展为认可机构带来风险，亦带来益处。虽然一般来说认可机构对电子银行服务所带来的风险类别并不陌生，但电子银行的特性可能会在某种程度上令认可机构的风险状况有所改变，在风险管理方面带来新的挑战。特别是以下方面：①互联网是全球性的开放式网络，任何人都可以从世界任何地方进入互联网。认可机构不能够直接控制互联网及客户用以连接电子银行的设备的保安措施，因此认可机构在保安事故及服务中断方面会承受更大的业务操作风险；②由于认可机构日益依赖电子银行技术以及技术越趋复杂，可能令认可机构越加倚重外聘技术服务供货商(如电信公司及应用程序与保安设备供货商)，最终增加认可机构的业务操作风险及信誉风险；③认可机构决定应否及应在何时推出电子银行服务项目，可能是一项策略性挑战，尤其是认可机构不能确定提供或维持有关服务的效益会否超过初期投资及维持适当水平的保安所需的持续支出；④若海外监管当局认为有关服务是以海外人士为对象，并规定认可机构须申请在有关地区的认可资格，电子银行便可能会令认可机构面对信誉及法律风险。

大原则是认可机构应实施“适合”的风险管理措施，即能配合个别认可机构许可的交易类型及金额所涉及的风险、采用的电子传递渠道及风险管理系统。

监管部门的电子银行监管制度(见图5-4)是依据风险为本的监管方法，对认可机构的电子银行业务作出适当水平的持续监管。这套监管制度包含了有效的电子银行持续监管模式，确保认可机构的管理层对电子银行服务进行适当的风险管理。电子银行服务的独有特色以及其相对偏高的首次投资可能会对认可机构造成重大风险影响。就此而言，监管部门要求认可机构的董事局或其指定委员会及高级管理层确保会详细评估对机构而言是全新的电子银行服务。

涉及电子银行的主要科技相关管控措施：

(1)认证客户身份。

认可机构应挑选可靠及有效的认可技术，以核实电子银行客户的身份及权限。认证客户身份程序若能结合以下两项因素，通常会比较有效：客户所知(如用户名称及密码)；客户所持对象(如由认可机构的保安系统提供的一次性密码、硬件式电子钥匙、储存在聪明卡或客户所持的其他装置的客户私人密码匙)。

图5-4　电子银行监管制度

(2)数据的保密及完整性。

由于电子银行服务涉及经互联网及认可机构的内部网络传送敏感数据(如电子银行密码)，因此认可机构应采取适当方法，使敏感数据通过内部及外部网络期间以及储存在认可机构内部网络时，仍维持其保密及完整性。加密技术可以用作保护敏感数据的保密及完整性。认可机构应根据数据的敏感程度及重要性，选择同保障程度相符的加密技术。监管部门建议认可机构采用国际认可的加密技术，而有关计算法的加密强度已经过广泛测试。认可机构应实施稳健的密码匙管理方法，以保障其加密密码匙。认可机构应考虑是否需要就传送敏感数据(如电子银行密码)采用强劲的“端对端”加密方法，以确保敏感数据在客户的装置同认可机构的可信内部网络之间传送时，都受到加密保护。这个安排可减低在认可机构的网站服务器受到入侵时敏感资料外泄的风险。若认可机构选用的技术不允许进行“端对端”加密，而在客户的装置与认可机构的可信内部网络之间的某一处会进行数据解密，认可机构便应采取适当措施保障敏感数据。

(3)互联网基础建设及保安监察。

认可机构应建立适当的操作环境，以支持及保护其电子银行系统。适当的操作环境通常包含安全可靠的互联网基础建设(包括入侵侦测系统、防火墙及路由器的设定)以及内部网络及与外部各方的网络连接的适当保安措施。认可机构应主动及持续地监察其电子银行系统及互联网基础建设，以侦测及记录任何保安事故、怀疑入侵事故或漏洞。全面的审计记录及适当的实时保安警报(如入侵侦测系统警报)应提交给有关负责人员或小组以及时审阅。审计记录应予以保护，免受未备用档案及共享档案可能载有网站的档案记录、网页、手稿程序或旧版本的网页。攻击者通常会搜寻每个档案目录，找出这些备用及共享文件名称及文件扩展名，以取得网站的敏感数据。

(4)电子银行账户的管理。

若认可机构允许其现有客户在网上开设电子银行账户，机构便应确保备有足够管控措施，以降低不法分子在真正客户不知情的情况下开设电子银行账户的风险。认可机构应采用可靠的认证方法，以核实在网上开设电子银行账户的人士的身份。此外，认可机构应向有关客户发出确认书。认可机构亦可考虑在认可机构相信有关客户已收到确认书之前，禁止有关的电子银行账户在网上转账至任何未经注册的第三方。遇有客户要求更改其电子银行账户数据或其他可用作监察账户活动的联络资料，认可机构应核实客户的身份。有关的更改包括重设或重发客户的电子银行密码，及更改联络数据(如电邮地址、通信地址或联络电话号码)。

(5)资金转账的管控措施。

若认可机构纯粹依靠用户名称及密码核实电子银行服务的客户身份，应考虑将第三方资金转账限制于客户已预先登记的账户。为确保该项措施的成效，认可机构应要求客户经安全渠道(如亲自或以邮寄方式)登记第三方账户及确保适当核实客户的登记申请。另一个方法是客户可在网上办理登记第三方账户的手续，但有关登记只会在一段期间后才生效，使客户能有足够时间收到确认书。

若认可机构在权衡利弊后决定接受资金转账至未登记第三方账户，机构应备有适当保障措施以管理未经授权的第三方资金转账的风险，例如，在电子银行账户刚启动时，网上转账至未登记第三方(包括本地及海外收款人)的设定交易限额应定为零；认可机构应确保客户只能透过安全渠道(如在分行或以邮寄方式)调高限额，并要有足够的身份核实措施；应向客户适当披露与该等资金转账有关的风险；现有客户如其未登记第三方资金转账的设定限额并非零，而该客户很久没有转账至未登记第三方，认可机构可考虑调低该客户的有关限额；应对未登记第三方资金转账设定每日或每宗交易最高限额，而该等限额应低于转账至登记第三方的适用限额；认可机构可考虑在客户进行网上未登记第三方资金转账前，作出第二项因素身份核证；最理想的做法是认可机构应于允许转账至未登记第三方账户的公司或机构电子银行服务上，实施双重因素身份核证。