金融產業基本是商業世界監管程度最高的產業，
為了維持金融交易的準確、穩定跟符合政府部門監管，
在各產業領域的資訊安全要求，金融業是最嚴謹、也是要求最高的產業。

資料安全在金融產業，除了確保核心系統的金融數據的交易資料，
包含客戶個資、財務資料與銀行帳戶資訊等，
甚至包含客戶隱私、客戶資料使用同意等，也都是整體資料安全的範疇。

金融在雲端環境運用

雲端的彈性跟可擴充性，一直以來都是將應用程式放在雲端的考量，
金融行業更是如此，除了持續嘗試在非核心系統或開發環境，
開始利用雲端特性，實現彈性存取、負載平衡與高可用性。

今年九月金管會針對金融業上雲的法規規範又進一步放寬，
過去銀行委外使用雲端服務時，只要涉及重大性委外作業，
例如牽涉如客戶資料，或是將作業委託到境外公雲，都得事先報部核准。

現在新法修訂，只要銀行業者使用境內雲端服務（如GCP或AWS），
處理一般性事務或辦公應用，不需要事先申請核准，即可採用。
無論是在高可用性、雲地混合的彈性架構、境外備援的需求，
都可以進一步採用雲端資源與環境。

混合雲 IT 基礎環境設計

資料的使用、移動或儲存，可以分三個環節來看看，
資料的儲存，除了傳統的儲存系統架構外，
當開始採用雲端資料儲存環境之後，考慮的因素也變多，
例如雲端與地端資料的同步、雲端資料儲存環境本身的保護、
雲端儲存的資料，如何提供給授權的應用程式運用，
也是需要整體規劃，像是威脅建模 (Theat Modeling)，
：唯有系統性的枚舉潛在威脅，設計緩解措施，並排定其優先順序，
才能確保浥注的有限資源能對工作負荷的整體安全產生最大效益。

*參考來源：https://aws.amazon.com/tw/events/taiwan/techblogs/how-to-approach-threat-modeling/

混合雲的資料安全保護

在混合雲環境的資料使用，則牽涉資料活動存取監控，
包含在雲、地環境、不同資料環境的活動監控。
傳統地端資料庫作法，可能可以透過監控稽核日誌來達到，
而在雲端環境的資料庫環境，則有 DBaaS 環境的資料活動需要監控，
可能牽涉到資料平台或雲端業者提供的資料監控機制需要整合。
資料安全保護核心原則概念相同，但適用的技術與作法則因應環境而有所不同。

其他的金融產業資料安全規範

因金融交易的重要性，相關安全規範過程牽涉層層管控，
其他相關的像是電腦周邊管控、儲存媒體管控、身份帳號管控等，
也都在例如「金融機構資通安全防護基準」等，有詳細的原則規範。

最後則是針對金融交易數據、客戶帳戶活動資料進行的大數據分析，
無論是提供更精準的客群財富分析，以提供合適的理財與規劃建議，
也都需要牽涉到資料存取的來源管控、應用範圍與持續性的活動監控。

小結

金融產業特性讓各個金融機構都投入顯著的資訊安全資源，
也因為圍繞著不斷更新的法規與指引，有更多安全監控措施或規範，
隨著放寬上雲條件與規範之後，後續金融產業資料安全議題與重視也會隨之提升，
因為一旦更多的資料在雲、地環境傳輸與運用，就可能會產生資料不當運用或外洩的風險，
但關鍵是如何我們如何運用適當的人員、工具與流程，降低與避免可能面臨的資料威脅。