一、企業背景與產業環境

統振股份有限公司（櫃通訊網路；股票代號：6170）創立於1977年，並於2002年掛牌上櫃，隸屬「櫃買通訊網路類股」。其主要業務包括：

• 行動電話預付卡與網路遊戲儲值卡銷售
• 電信小額付費與外籍移工匯款服務
• 子公司經營電信器材、食品、化妝品與旅遊票務等多元業務

統振深耕通訊與支付領域，尤其在移工市場具高度滲透率，業務上已深度涉入金融沙盒領域，特別是移工匯款、小額支付、電信加值金流等服務，屬於「通訊服務＋金融科技」混合型企業，資訊系統涵蓋交易、身份驗證、金流處理與客戶資料管理，資安韌性直接關係到服務穩定性與信任維護。

二、資訊韌性切入角度

(1) 統振於114/08/22在公開資訊觀測站所發佈之重訊：

(2) 引用2025/08/22 LTN財富自由新聞網報導：https://stock.ltn.com.tw/article/2gsyfetkq25f

三、韌性策略與實際狀況

根據財富自由新聞網的報導，駭客組織「麒麟」（Qilin）近日在暗網上宣布，台灣移工匯兌公司統振成為其攻擊目標，並聲稱已竊取該公司超過70萬客戶的資料，包含姓名、電話、生日、密碼、居留證號，甚至連自拍照也淪為駭客的籌碼，並附上相關圖片證明。

內容也引述某資安專家分析指出，台灣金融服務業與中小型外包業者，往往面臨資安預算有限、防護不足的現實，但同時掌握大量高價值的客戶資料。對國際駭客而言，這正是一個「低成本、高收益」的理想目標，而此次受害的移工匯兌公司，正好踩中這個資安弱點。

因此即使對統振營運沒有影響，然而若涉及外籍移工的個人資料外洩，其潛在風險已超越企業層級，可能引發國家安全層面的危機。

四、制度與文化支撐

(1) 由於統振的業務性質較複雜，因此，我們就來看一下統振2024年永續報告書上，重大主題館裡目標與績效的部分：

從上面幾個重要議題來看，統振其實也很了解本身業務的複雜性，加上其行業是屬於金融沙盒監管事業，因此各項議題其實都是有相關聯的。

五、筆者看法及觀點

統振公司的業務是有關於金融監理沙盒性質的公司，我們先解釋一下何謂金融監理沙盒：

以下引用維基百科上的說明：(相關連結https://zh.wikipedia.org/zh-tw/%E9%87%91%E8%9E%8D%E7%9B%A3%E7%90%86%E6%B2%99%E7%9B%92 )

金融監理沙盒之構想源於讓孩子於一個安全的沙池中玩耍、發揮創意之概念。係指於風險規模得以辨識可控之模擬環境下，讓業者盡情測試其創新產品或服務乃至於商業模式，並與監理者進行高度互動、密切協作，共同解決實驗過程中所發現或產生之監理與法制面議題。亦即，透過金融監理沙盒機制之設計，可將創新金融科技對於法律、市場、競爭樣態、消費者保護等議題，設計於得受到控制並改正之監理範圍內，以進行實驗之方式，解決創新金融商品或服務所帶來之法制與市場衝擊。

統振公司的業務因為有其特殊性，且因為有牽涉到境外金融與匯兌的問題，所以該公司外籍移工的個資等於公司極機密的商業祕密，同時，這些外籍移工的的個資，不僅包含身份資訊、聯絡方式與匯款紀錄，更可能牽涉跨境金流、通訊行為與社群網絡，一旦遭惡意利用，可能成為境外勢力滲透、詐騙或操控的管道。

我們從統振的永續報告書所揭露的公司重大主題與目標，整理出統振公司資安韌性的幾項重點：

1. 金流完整性與交易防偽

•	涉及跨境匯款與電信小額支付，需確保交易資料不被竄改、重播或偽造。
•	建議導入 端對端加密、交易簽章驗證、行為異常偵測模型。
•	金流系統應具備 即時監控與風險分級機制，防止洗錢或詐欺行為。

2. API安全與第三方串接風險

•	金融沙盒架構常仰賴 API 串接第三方服務（如電信商、支付平台、匯款機構）。
•	必須強化 API存取控管、速率限制、OAuth2.0/Token驗證機制。
•	建議建立 API風險評估流程，並納入資安稽核範疇。

3. 身份驗證與帳號安全

•	移工族群常使用簡化登入流程，若驗證機制過於鬆散，易成攻擊目標。
•	應導入 多因子驗證（MFA）、生物辨識或行為驗證，提升帳號安全性。
•	建議設計 動態風險評估登入機制，根據地理位置、設備指紋等判斷風險。

4. 營運不中斷與備援韌性

•	金融沙盒服務多為即時性，系統中斷將直接影響用戶交易與信任。
•	建議建立 高可用性架構（HA）、異地備援機制、自動故障轉移設計。
•	官網與APP應具備 資訊不中斷通報模組，即使主系統異常仍能維持基本揭露。

5. 法遵與揭露透明度

•	涉及金流與個資，需符合《個資法》、《洗錢防制法》、《金融資安指引》等規範。
•	建議建立 資安事件揭露SOP，並納入年報或永續報告揭露架構。
•	若參與金融沙盒試驗，應主動揭露資安設計與風險控管機制，強化社會信任。

綜上，在台灣移工人口已突破70萬人、且多仰賴數位平台進行匯款與通訊的情境下，統振這類企業所掌握的資料已具備「準公共基礎設施」的性質。若資安防護不足，不僅可能造成移工個人財務與人身風險，更可能影響國內勞動穩定、社會信任與跨境治理。

因此，建議主管機關應將此類「通訊＋金融科技」混合型企業納入高風險資安監管範疇，並要求：

•	建立移工個資保護專章與風險揭露機制；
•	導入零信任架構與行為分析模型，強化異常偵測；
•	將資安事件納入重大訊息通報與永續報告揭露；
•	強化與政府資安平台之通報協作。

以上給大家做參考!