麻布記帳通過ISO/IEC27701驗證 - 銀行

Ida avatar
By Ida
at 2022-03-08T01:14

Table of Contents

※ 引述《temu2015 (TEMU2015)》之銘言:
: 在您閱讀本文之前,提醒您!
: 1. 此文轉載自麻布記帳部落格,並非新聞。本人與麻布記帳毫無關係。
: 2. 在使用APP前請審慎閱讀相關條款,並依自身風險承受能力決定是否提供網銀帳密
: 3. 麻布記帳使用代理同步而非使用API讀取您的帳務資料(亦即沒有正式合作關係)
: 當使用者輸入帳號同步時,麻布即以使用者合法代理人身分登入使用者網銀
: 此同步方式於2019/07經金管會確認並無金融監理問題(工商時報)
: 4. 麻布記帳目前每週會免費自動同步一次
: 5. 刪除麻布記帳APP不會解除已設定之自動同步,亦不會退出麻布記帳會員
: 麻布記帳仍會因您原有的設定進行同步,您可能會收到網銀登入通知
: 若超過14日未登入麻布APP即會解除所有自動同步
: 6. ISO認證費用由驗證商向受測者商收取且可自選認證系統,請自行評估可信程度。
T大這篇文 相信是來自於我之前在Android_app版對麻布的抱怨而來
當時我有說會向金管會陳情

這幾天陸續收到了回覆
以下摘要說明一下 (括號內文字的是我個人看法)
金管會:
1.麻布需要遵守的是自律規範和open API作業規範
2.金管會並非麻布的主管機關(麻布也證實此事),金管會只管金融機構
----
一、按銀行與第三方服務提供者合作辦理開放銀行業務,應依「中華民國銀行公會會員銀
行與第三方服務提供者合作之自律規範」及「金融機構與第三方服務提供者辦理開放應用
程式介面(OPEN API)業務安全控管作業規範」等相關規範辦理。
二、經查麻布記帳非屬本局所轄金融機構,關於陳情內容指陳使用玉山商業銀行、中國信
託商業銀行及台新國際商業銀行等3家銀行之網路銀行帳號登入麻布記帳(Moneybook)APP
所涉資訊安全相關疑義,因涉銀行實務作業及事實釐清,本局已請案關銀行查明後向您說
明。
----
https://www.fisc.com.tw/tc/download/OPEN%20API%20RULE.pdf

玉山銀行:
與麻布有合作,但只合作open API第一階段
代理登入的部分並未合作

中信銀行:
與麻布並無合作

台新銀行:
與麻布並無合作

以上三家銀行都說,不建議客戶提供帳密給第三方業者,如果有疑慮請自行更換密碼
(但似乎也不禁止,銀行也不會刻意用技術阻擋麻布來存取)
(銀行也不打算像元富證券負面表列麻布的狀況 可能不想得罪人)


麻布記帳:
open API是金管會委由財金資訊公司管理
(個人認為像證交所的感覺 證交所的各種規章 性質上不是行政命令 但又有實質規範意義)
open API第一階段部分: 目前只有部分銀行有合作
關於合法性的部分 並無正式函文 但在某個未公告的會議紀錄裡面有說合法

open API 的作法 是由各家銀行提供給財金公司為窗口
但是麻布還是要個別取得銀行的授權 才能透過財金公司來使用這些open API

open API第二階段部分:
麻布說有法規,但未公告,麻布有滿足法規的要求
(應該也是財金公司的XX規範那種)
(以上只能說是合法 畢竟我也找不到任何法規說"不得XXX"但是麻布確有做的行為)
但目前沒有正式洽談合作成功的案例,所以趴存款和信用卡的授權依據 還是使用者條款

麻布沒有用儲存的資料作其他用途

麻布帳號14天未登入 會自動關閉同步
一年沒登入會刪除帳號


還有我對麻布的QA 但沒有共識:
依照使用者條款我授權麻布代理登入
我的認知是 使用APP的當下去趴資料 並沒有同意無限期授權代理的意思
麻布亦沒有明確 讓使用者撤銷代理的機制

我授權麻布代理 但麻布APP只做為UI呈現用
真正發動網銀登入的是GCP和麻布另外的service
這部分算是麻布二次授權給GCP代理登入嗎? 法律上允許嗎?


我建議麻布改善的方向:
1.GCP自動登入前,可以考慮email簡訊發給使用者
(如果你APP沒刪除 應該會看到同步紀錄)
2.GCP的海外IP 應和銀河洽談設成白名單 而非叫使用者忽略
如果使用者一直忽略海外IP的警告 可能真的被攻擊時無法即時發現
3.使用者條款中 代理登入的部分應該可用紅字highlight提醒使用者
4.對於要刪除個資的部分 UI應該做的更明顯
5.客服回信應該快一點


另外,麻布相關的葉佩雯 就真的只是文字遊戲
所謂"支援"20幾家銀行 可能只是單方面可以趴資料 並未取得銀行合作
符合open api標準 其實只有第一階段

結論(應該大家都不意外)
1.麻布沒有違法
2.主要的功能都是來自使用者授權


以上
感謝
金管會銀行局
玉山高小姐
中信小姐
台新先生
麻布馮小姐

如果我的文章有錯誤傳達你們告知我的訊息
請通知我更正

--
Tags: 銀行

All Comments

Madame avatar
By Madame
at 2022-03-08T03:26
真的一直跳美國IP登入警告很阿雜
Sandy avatar
By Sandy
at 2022-03-08T05:38
銀行的登入通知email夠多了,同步1次都會1排,麻布不要再加了
Tom avatar
By Tom
at 2022-03-08T07:49
謝謝分享,可見於我為麻布辯護沒有違法這部分是沒有問題
的,然而風險還是要由使用者自行負擔。麻布社團的小編有
看到上篇,說法是有API就不能留帳密,但麻布沒API合作就
不受上開限制。
Rosalind avatar
By Rosalind
at 2022-03-08T10:01
GCP是相對安全的 問題我覺得在銀行端吧
Wallis avatar
By Wallis
at 2022-03-08T12:13
GCP只是提供一台Server給麻布的概念 麻布APP的主體就是GCP
你先去弄懂server-client的架構 這篇我看得不太懂
為啥要授權給GCP啊? 你又不是跟GCP買雲端 GCP沒必要取得
John avatar
By John
at 2022-03-08T14:25
你的授權啊 從頭到尾就是授權給麻布 麻布的Server在GCP上
理解應該是這樣 至於海外登入的問題 應該要請銀行端口
限定指定IP才能海外連線 並將麻布在GCP的固定IP設為白名單
或者跳出由麻布代理登入的警告字樣
Yuri avatar
By Yuri
at 2022-03-08T16:36
這在資訊安全上能做 且非常非常簡單 防火牆一行設定的事情
Gilbert avatar
By Gilbert
at 2022-03-08T18:48
銀行為何要幫忙設定成白名單,又沒合作
Valerie avatar
By Valerie
at 2022-03-08T21:00
為什麼會很多app都能使用gcp?
Barb Cronin avatar
By Barb Cronin
at 2022-03-08T23:11
先去搞懂什麼是GCP...
Rae avatar
By Rae
at 2022-03-09T01:23
白名單很難,"萬一"麻布自己出問題怎麼辦?
Frederica avatar
By Frederica
at 2022-03-09T03:35
GCP可以要求固定IP啊,要錢而已。
Harry avatar
By Harry
at 2022-03-09T05:47
也有台灣的伺服器可以用,用國外的就是圖便宜吧。
Selena avatar
By Selena
at 2022-03-09T07:58
都敢給帳密了,還擔心這些...
Zenobia avatar
By Zenobia
at 2022-03-09T10:10
有說是台灣機房 被認成國外 IP 只是因為 IP 地理本來
就是不準的 有的把 Google 的 IP 都當成美國的
Mary avatar
By Mary
at 2022-03-09T12:22
補充官方貼文 https://bit.ly/3Kstm4C
這邊更清楚 https://blog.moneybook.com.tw/2019/10/
28/bank-ip/
Ivy avatar
By Ivy
at 2022-03-09T14:33
至於為什麼不固定 最大原因應該是怕被銀行鎖啦 XDD
Linda avatar
By Linda
at 2022-03-09T16:45
1. GCP(VM) 類似大樓提供不同辦公室, 可以選自己門牌(ip
)或由大樓分配, 但不代表別的住戶可以共用自己的辦公室
2. 鎖IP也不是好辦法, 因為電信商是可以收回更換的還有
外洩因素, 最終還是密鑰(token)交換API 最佳解
Eden avatar
By Eden
at 2022-03-09T18:57
先去搞懂GCP怎麼運作吧XDD,,可以消除你的一些疑問
Hazel avatar
By Hazel
at 2022-03-09T21:09
基本上銀行就是不建議使用 但也沒禁止使用麻布
Jake avatar
By Jake
at 2022-03-09T23:20
你用了 帳密給麻布代登入 是你自己的行為出事銀行不負責
而麻布也沒有受任何主管機關管理規範 出事了也不用負責
Jacob avatar
By Jacob
at 2022-03-10T01:32
就看使用者願不願意自己承擔風險換便利

哪一間銀行VIP計算門檻含旗下證券股票

Enid avatar
By Enid
at 2022-03-08T00:50
如題,目前想要彙整一下身上的資產 因有海外投資需求,追求一下匯出匯入手續費 所以想要把國內資產湊一湊集中弄個VIP 但考量資金效率不會全放定存,故想問問各位版友交手過的銀行 有哪家在認列VIP資格時,是有將旗下證券公司的台股/複委託列入計算的呢? -- 當你真心渴望某樣東西時, ...

(150P+抽現金)機器人理財的持續使用

Skylar DavisLinda avatar
By Skylar DavisLinda
at 2022-03-07T21:37
感謝jasome板主同意發文 問卷連結:https://www.surveycake.com/s/paO1W 各位板友大家晚安 我是國立成功大學的學生,目前正在研究「機器人理財的持續使用意 願」想要了解使用機器人理財的使用者體驗~感謝 填答條件:只要使用過機器人理財的使用者 皆可填答 說明:整份匿名 ...

從帳戶查對方名字

Necoo avatar
By Necoo
at 2022-03-07T17:23
之前在網路上買東西, 賣家給了帳號後,說將錢匯入他某銀行即可, 好奇的是,只知道銀行帳號,有辦法知道對方的戶名嗎? 如果銀行行員透露某個帳號的戶名給我,是不是違法呢?例如個資法之類的? - ...

將來銀行試營運

Zenobia avatar
By Zenobia
at 2022-03-07T17:00
前文章推文有提到前四碼是8867 那宣選到後十碼都是8的 帳號就是8867-88888-88888 真的不錯 這組行情價應該是最搶手的 希望其他銀行都能開放選號!!! - ...

華南X街口,帳戶連結上線首波活動

Kumar avatar
By Kumar
at 2022-03-07T12:59
新戶舊戶都有,回饋街口幣,最高拿400,新開戶+交易 懶人包: 新戶SNY-300 舊戶交易SNY-100,舊戶實體50 依綁定日期,回饋時間次月底前。 注意事項裡寫儲值、繳費也算交易。 以下活動內容: https://bit.ly/3vRq2vM 華南銀行與街口支付合作上線啦,即日至6月30日止在「街口 ...