Google Cloud 完成聯合查核 符合金管會上雲規範
2023 年 3 月 Google Cloud 宣布完成在台灣完成首次聯合查核,成為金融機構可選擇的上雲方案之一。
採訪/施鑫澤‧文/林裕洋
儘管 2023 年 3 月 7 日金管會宣布金融業上雲規定可望大幅放寬,未來只有重大消費金融應用服務使用境外公有雲、主管機關指定服務類型等,需要事先提出申請與取得核准,其餘服務皆免去申請。但是若深入分析相關法規,基本上仍然是以 2019 年 9 月修訂的「金融機構作業委託他人處理內部作業制度及程序辦法」為主,並須符合 19-1 條的 8 項規定。 金管會於 2019 年宣布開放金融業者上雲,而 Google Cloud 先是在 2021 年初依據金管會法規完成虛擬稽核的工作,2023 年 3 月更在台灣完成首次聯合查核。
Google Cloud 台灣政府事務及公共政策副總經理賴秀雯表示:「關於在台灣首次執行的 Google Cloud 聯合查核,我們在遵循金管會的『金融機構作業委託他人處理內部作業制度及程序辦法』下,順利通過第三方查核的工作。此外,我們也基於 CSA Cloud Controls Matrix、ISO 27001 和 ISO 27017 的風險控管規範完成查核,審查範圍包含資料隱私權、資料中心安全、身分與存取權管理、互通性,以及其他多個關鍵領域。此舉代表 Google Cloud 不光符合金管會的法規,也可確保應用服務與資料的安全性。」
連續三年通過 CCAG 查核 Google Cloud 主打符合各國規範
在世界各國的金融服務機構,都是受到高度監管,通常須依法審查、評估及查核其第三方服務供應商。在各個金融服務機構的第三方風險管理計畫中,盡職調查(due diligence)、持續監督管理雲端服務供應商,是非常重要的一環。因此,Google Cloud 致力與客戶、客戶的監管單位,以及客戶所指派的獨立查核人員合作,思考為客戶提供兼具查核執行效率,並能驗證其程序透明度的可信機制。
Google Cloud 在台灣執行的聯合查核便是協助亞太區金融客戶最好的案例之一。因為,金融機構若各自進行大規模的雲端查核作業,可能會耗用雙方大量資源,但如果採用聯合查核模式,便能集合多個客戶的資源,來因應共同的盡職調查要求。所謂聯合查核,具體而言即代表將多家金融機構要求的查核範圍和實地考察,整合於統一的查核作業當中。其優點在於簡化查核程序,以及降低客戶與其服務供應商的作業負擔。近年來在歐洲地區,受監管的金融服務機構均認為這是有效的查核做法。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
賴秀雯指出,在競爭日益激烈的公有雲市場中,要成為客戶最值得信賴的公有雲服務業者,必須持續投入在透明度、協作和保證等工作上,所以 Google Cloud 的產品定期接受獨立驗證,確保可獲得符合全球監管要求、框架和指南的認證或證明。如 2020 年全球面臨 COVID-19 疫情以及對於遠端辦公的龐大需求,Google Cloud 透過遠端視訊會議的方式協助客戶完成查核。
2021 年在網路安全威脅、資料洩露、軟體供應鏈供應鏈攻擊下,各國政府對資料傳輸和隱私要求規範日益增加,Google Cloud Platform(GCP)也通過由歐洲金融機構共同成立的 CCAG (Collaborative Cloud Audit Group)金融業聯合查核,檢視 GCP 在資訊安全管理及資料隱私保護機制的完整性及有效性,以符合盡職調查及持續監督管理的要求。 CCAG 由歐洲 50 家重要金融機構和保險公司共同成立,Google Cloud 已經連續三年通過 CCAG 成員的聯合審查,代表參與該次查核的 CCAG 成員能妥善管理與委外服務供應商的風險,並滿足嚴格的國家和歐盟監管義務。
降低金融機構檢驗成本 聯合查核成世界主流
在世界各國執行查核過程中,金融服務機構勢必會持續嚴密評估雲端服務供應商的基礎架構、作業程序和安全控管等措施,確認相關技術足以支撐其營運作業所需要,以及確保自家機構能達到良好的營運效率。因此,在查核的各個階段當中,查核團隊會展開互動和實體會談,以公開透明方式檢驗雲端服務供應商的政策、程序和技術。而 Google Cloud 會根據世界各地的檢驗標準,建立及提供對應的安全、隱私和法規遵循控管文件,並會定期進行獨立驗證,包括取得認證、證明與稽核報告,方便各客戶向監管機關提供法規遵循證明。
「身為金融機構的合作夥伴,我們致力提供客戶安全、穩定、可靠的雲端服務(Trusted Cloud),並協助客戶遵循法規和標準。聯合查核讓多家金融機構可委託相同且具資訊專業的獨立第三方,以具規模化且具成本效益的方式對 Google Cloud 進行查核,此舉能降低雲端業者因大量查核次數,而增加的資安風險。」
賴秀雯解釋:「另外,我們提供可驗證的透明度,並確保服務安全且合規,協助客戶履行應該負責的監管義務,成為最信賴的數位轉型合作夥伴。金管會透過制定『金融機構作業委託他人處理內部作業制度及程序辦法』,協助銀行可履行『銀行法』規定的法律義務,以保護客戶權益,並在委外給第三方時如何有效地管理風險提供指導。」
「Google Cloud 作為雲端服務供應商,我們與台灣金融機構的合約不僅符合台灣金管會委外辦法之要求,也針對 GCP 與 Google Workspace 的使用規範製作對照表,以便台灣金融機構在使用 Google Cloud 之前能進行完整的評估。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)
