在您閱讀本文之前，提醒您! 1. 此文轉載自麻布記帳部落格，並非新聞。本人與麻布記帳毫無關係。 2. 在使用APP前請審慎閱讀相關條款，並依自身風險承受能力決定是否提供網銀帳密 3. 麻布記帳使用代理同步而非使用API讀取您的帳務資料(亦即沒有正式合作關係) 當使用者輸入帳號同步時，麻布即以使用者合法代理人身分登入使用者網銀 此同步方式於2019/07經金管會確認並無金融監理問題(工商時報) 4. 麻布記帳目前每週會免費自動同步一次 5. 刪除麻布記帳APP不會解除已設定之自動同步，亦不會退出麻布記帳會員 麻布記帳仍會因您原有的設定進行同步，您可能會收到網銀登入通知 若超過14日未登入麻布APP即會解除所有自動同步 6. ISO認證費用由驗證商向受測者商收取且可自選認證系統，請自行評估可信程度。 ------------------------------------------------------------------------------ 資訊安全最高規格! 面對使用者最擔心的資安隱私問題 Moneybook麻布記帳做了哪些努力？ 原文縮網址: https://reurl.cc/Vj7vX6 原始網址預覽: https://reurl.cc/Vj7vX6+ 2022/02/23 https://i.imgur.com/aSMG5Iu.jpg Moneybook麻布記帳2022年1月28日通過國際「ISO/IEC 27701」個人資訊管理系統驗證， 代表團隊符合安全保護機制與風險應對流程，能降低各種風險與威脅，保護每一位使用者 的資訊安全！究竟這些國際標準是什麼？麻布記帳在資安與隱私保護上還做了哪些努力， 讓使用者放下心中大石頭？ 透過本文 麻編想要告訴你： * ISO 27001是什麼？取得驗證代表擁有哪些能力？ * ISO 27701是什麼？取得驗證代表擁有哪些能力？ * 通過國際資安與隱私保護驗證 麻布記帳使用者可以放心的是？ --* 產品層面：麻布記帳App本身 --* 管理層面：麻布記帳內部團隊 --* 企業層面：麻布記帳與銀行間的合作關係 * 麻布記帳執行長怎麼說？ ISO 27001是什麼？取得驗證代表擁有哪些能力？ 「ISO/IEC 27001」正式中文名稱為「資訊科技—安全技術—管理系統—要求事項」，是 一套由國際標準組織（ISO）與國際電工委員會（IEC），針對「資訊安全管理系統（ Information Security Management System，簡稱ISMS）」，聯合發布的一套國際標準， 最早於2005年發布，後在2013年改版，是目前國際上使用最廣泛，也是檢驗資訊安全（ ISMS）最完整的標準。 而我國經濟部標準檢驗局2014年4月24日公告的「CNS 27001」國際標準，則是參考2013年 最新版「ISO/IEC 27001」修訂，是我國資安管理系統的重點指導原則。 麻布記帳最早於2020年1月17日通過ISO/IEC 27001，成為全台首家通過ISO驗證的新創公 司。今（2022）年複驗也順利通過，代表團隊在管理及保護資訊資產上，符合國際要求， 可以降低組織管理、資訊安全上面臨的各種風險與威脅，並有足夠能力做到確認風險、採 取控制措施、排除風險等，確保資訊層面安全無虞。 相關網址: CNS27001 https://reurl.cc/bkqjVX https://reurl.cc/bkqjVX+ 全台首家新創ISO https://reurl.cc/Opz8MD https://reurl.cc/Opz8MD+ ISO 27701是什麼？取得驗證代表擁有哪些能力？ 「ISO/IEC 27701」則是發展在「ISO/IEC 27001」架構下，關於「個人資訊管理系統（ Personal Information Management System，簡稱PIMS）」的國際標準，讓企業組織在蒐 集、處理或儲存個人隱私資訊時，有依據可循，進而達到管理保護個人隱私的標準，降低 個資風險，確保個人資料的安全。 麻布記帳2021年第二季自主增驗ISO/IEC 27701，並於今（2022）年取得證書，代表麻布 記帳團隊擁有整合資訊安全與管控個人隱私的完整能力。 https://i.imgur.com/liJEQup.jpg 通過國際資安與隱私保護驗證 麻布記帳使用者可以放心的是？ 近年科技發展迅速，讓人們日常生活越來越方便，但與數位科技脫不了鉤的同時，伴隨而 來的便是大家最關心的資訊安全問題。舉例而言，世界上偶見惡意軟體與勒索病毒攻擊， 或駭客可能未經授權就有辦法竊取資訊，這些數位犯罪事件都讓資安意識越來越抬頭。 以下我們透過產品層面（麻布記帳App本身）、管理層面（麻布記帳內部團隊），以及企 業層面（麻布記帳與銀行間的合作關係），來一探究竟麻布記帳團隊在金管會建立的「金 融科技創新園區（Fintech space）」輔導下，在資訊安全與隱私保護上做了哪些努力！ -- 1. 產品層面：麻布記帳App本身 -- * 個人隱私資料保護 從產品層面來看，在國際ISO/IEC 27701（個人資訊管理系統）標準中，有一系 列關於個人隱私資料保護的規範。套用到麻布記帳App來看，代表所有可「直接 」或「間接」識別特定對象的資訊，舉凡網路識別碼（IP位址、瀏覽器Cookies） ，或是足以辨識特定身分及性別的資訊，都屬於個人資料，且受到完整保護。 -- * 第三方滲透測試 除了ISO/IEC 27701認證，麻布記帳更委託公正單位進行不定期「第三方滲透測 試」，讓公正單位以駭客思維，檢測麻布記帳App系統是否存在弱點與漏洞，也會 透過滲透測試報告，依據測試過程、結果及修復建議，持續防範資安問題。 -- * 經濟部工業局APP資安檢測認證 另外，麻布記帳App也已通過「行動應用App基本資安檢測實驗室」檢測，於2020 年6月19日取得「經濟部工業局APP資安檢測報告」，確保麻布記帳能保護個人資 料、敏感資料，防堵惡意攻擊。 https://i.imgur.com/M0t8Shc.jpg https://i.imgur.com/DBOoHmk.jpg 簡單來說，App內的所有資訊都是透過應用程式介面（Application Programming Interface，API）來連接，當A端輸入資料時，B就能依據資料回傳結果，但就像水管破洞 、水就會流出一樣，若資料傳輸過程出現漏洞，個人機密資料就可能外洩。 因此，麻布記帳積極部署各個層級的資安檢測，就是為了在提供「全資產整合服務App」 的同時，最大程度保護使用者的資訊安全。 -- 2. 管理層面：麻布記帳內部團隊 -- * 資訊安全風險防範 從管理層面來看，在國際ISO/IEC 27001（資訊安全管理系統）中，有一系列關 於資訊安全架構、實施、維護及持續改善的要求。麻布記帳內部團隊「資訊安全 管理系統」通過國際驗證，代表整間公司從外至內的人、事、物，皆經過且符合 嚴格的規範制度，包含外部監視器、指紋辨識門禁、出入人員紀錄、每台電腦、 印表機、影印機、傳真機等，連同資料傳輸機制、資訊儲存等，都有對應紀錄且 受到管理。 此外，團隊內每一項流程與每一項更動都會被記錄下來，違者有跡可循、有法可 罰，杜絕資料外洩發生。若有風險事故發生時，也能即時執行完整的應變處理措 施。同時也會提供完整紀錄給第三方公正單位，供其評估是否有洩漏的權責，以 保護每一位使用者的資訊安全。 -- * 社交工程演練 內部團隊方面，除了符合ISO/IEC 27001標準，麻布記帳還會不定期執行社交工程 演練。一般來說，電子郵件是企業對外的主要溝通管道，但一不注意，就可能成 為駭客入侵的起源。麻布記帳團隊對此委託第三方公正單位，訓練內部員工對於 電子郵件釣魚信的警覺性，以免惡意人士透過電子郵件誘使員工點閱，杜絕電腦 遭駭客入侵、資料外洩等風險。 -- 3. 企業層面：麻布記帳與銀行間的合作關係 目前台灣「開放銀行（Open Banking）」政策進展至第二階段，開放「客戶資料查 詢」。所謂開放銀行，是指由麻布記帳這類第三方服務業者（Third-party Service Providers，TSP），透過開放程式介面（Open API）的方式，與國內各家銀行業者 串連，讓使用者在麻布記帳一款App內，就能查詢、整合跨銀行的資產。 因此，麻布記帳在與銀行合作上也相當謹慎，2020年9至10月間就通過台新銀行、玉 山銀行、華南銀行、合作金庫四家銀行的實體稽核，代表麻布記帳在資料讀取上獲 得銀行認可。 相關網址: https://reurl.cc/dX9jqg https://reurl.cc/dX9jqg+ 麻布記帳執行長怎麼說？ Moneybook執行長陳振榮表示：「台灣金融環境的演進與政策推動，建構於完善的風險控 管制度上，才會有現在金融機構高度融入民眾實體生活圈的場景。但在數位金融服務的生 活應用上，仍與國外存在一定程度的差距。 因此，麻布記帳團隊以促進台灣金融服務『數位轉型』為己任，盼透過參與者角色自律及 資安隱私最高標準下，持續配合金融創新政策推進，創造資訊安全與創新服務並重的數位 金融遠景。」 麻布記帳團隊深知資訊安全是使用者最關心的議題，因此對於資安，我們一直以來都採用 最高標準看待！資訊安全管理制度絕對不只是訂定制度、通過稽查，而是一場敏捷開發、 內部同仁配合度與資金運作的大挑戰！ ---------------------------------------------------------------------------- * 謹提醒您務必妥善保管您的網銀帳密 以策帳號安全 要用就不要擔心 要擔心就不要用 方便與隱私請自行界定 * ---------------------------------------------------------------------------- -- 遇建你 在北方成堡的風景中 CKSC75up x TFGSC80 x CGCRA63 x ZSCA32 x JMSC33 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.228.103.156 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1645617634.A.E28.html 麻布社團說2022會上線 不過其實去年農曆年前就說農曆年後要上線了 不過到現在還是。。。。。 目前API的只有TD和幣安 麻布2019以來介面沒有大改 所以如果您當時覺得難用，那現在應該還是難用 噓噓東friDay理財+ 我有發情報文過 不過只能抓餘額沒啥用 我不知道欸 可以麻煩大大賜教嗎? 本來就是如此 所以出包請不要來找我 請自行考量風險 對.. 麻布去年一整年真的沒什麼進化 聽說網家跟中信都投資了 怎麼還這麼慢XD 看來ISO好像真的不是什麼很厲害的東西 都是麻布的大內宣? (我真的不懂ISO驗證/認證 還請前輩不吝指教) 麻布: 預計2022上線 麻布沒有集保的偏官方背景 也沒有噓噓東的財團背景 不知道是否有造成實質上的障礙? 還是沒人沒錢沒打算開發? 畢竟喊那麼久了 使用者也是會疲乏的 沒有不合法啦 你覺得如果不合法金管會會默許他爬4年? https://ctee.com.tw/news/finance/113492.html 麻布記帳Money book執行長陳振榮表示，商模研發過程最大的困難，是客戶要把銀行密碼 交給TSP業者，經過FINTECHSPACE金融監理門診的諮詢，金管會已確定沒有違反金融監理 所以還是有利益糾葛問題在@@ 嚴正聲明本公司並未與「Moneybook麻布記帳」、「籌碼K線」及「股市爆料同學會」等應 用程式合作，請投資人勿輕易交付電子交易帳號密碼。 https://www.masterlink.com.tw/news/stocknews/497?node_parent=458&tab=1 他的聲明不是指麻布違法 是指他們沒合作而且不建議你用 你要用它管不著你 是你授權麻布代理同步 這中間並沒有受到元富的認可是無庸置疑的 不過其實麻布現在也不能抓股票同步了 憑證問題 一樣 是玉山警告你 不是玉山警告麻布記帳 理論上所有銀行都是境外IP 但是只有玉山特別勤勞有抓出來提醒 https://blog.moneybook.com.tw/2019/10/28/bank-ip/ 所以這就是你要不要信任他的問題啊 擇你所愛 愛你所擇 自行權衡利弊得失 如果覺得銀行危險那就抓抓票證餘額就好 倒是同性質的planto靜悄悄不知目前有沒有新進展? 大家都在等orz 不過麻布APP在新增帳戶時也有寫明建議(如果支援)兩種同步機制都新增 帳務資訊才會完整 當然因為還沒實際上線 所以後續如何還不明朗 所有銀行除了TD和幣安都是麻布自己支援(自己去代理使用者爬) 不干銀行的事 所以才會有網銀改版就無法同步的問題 麻布確實還有很多進步的空間 希望他們繼續努力 像是票證晚請款會抓不到的問題 我用兩年了還是會斷斷續續出現 也不是每次都能修 然後那個計算機真不知道是哪裡來的想法 發票目前串集團產品 不知啥時才能直接接通財政部API 麻布代理同步和API完全無關 如果他用API根本爬不到你的存款和信用卡帳單 那個第一階段是告訴你 APP裡的玉山匯率利率是API抓來的 帳務資訊事實上還是代理同步 根本沒有碰到API 帳戶新增頁面應該有寫是代理同步而非API授權同步 麻布目前API只有TD和幣安 其他通通都是代理同步 我看了一下首頁 支援的部分和第一階段API的部分是有分開列的 不過就一般使用者而言 確實可能不清楚每個階段的差別而誤以為通通有合作 這個不是行事曆設下去就好了(? 說到信用卡 麻布的信用卡卡面聽說很久沒更新了 慘 所以回到一句話 看個人風險承擔能力決定是否使用 不過大部分有收費的其他非金融類APP也是以收取費用為賠償上限吧 等出事的那一天就會知道有沒有問題了 對了提醒您 如果您對麻布存有疑慮 務必更改所有您曾經登錄過麻布的網銀帳密 以避免擔憂及困擾 我要去睡覺了 有空再開電腦回 我怕手機APP會修壞 http://i.imgur.com/10dd05i.jpg 金管會就說爬蟲合法了，至於適合與否大家自行評估 爬蟲目前就靠麻布的「自律」和銀行的非約定管控，確實還有很多不足之處 → cityport: 自律的意思就是我要亂搞的時候你奈我何 02/24 15:46 (原文為發毒誓，過於偏激故刪除) 我聲明本人與麻布無任何關係。 assa提出好問題 我也不知道 我有空寫信問一下金管會 如果我是麻布的人 我就不會在第一頁開宗明義說沒有正式合作關係了好嗎 我有空不行啊？ 我發過需要排版上色的文也不只這一篇啦 (此處為發毒誓並要求c板友對賭，過於偏激故刪除，並向造成c板友的不適致歉) 少污衊別人清白 我發文307篇 推文近16000 從來沒有逾越「一般鄉民」的範疇 該上色的有上色 該回覆的回覆 有空發一些整理文沒空就簡單打幾句 沒有一篇對不起我自己的良心 沒有一句話受到任何利益的左右 您的指控我無法接受 但我尊重您指控的言論自由 感謝K大和p大 今天沒空開桌機 有空再修 後輩還有很多需要學習的地方 聲明: 本人與麻布無關 祝您順心 謝謝分享，晚點更新到內文 (更:已更新) 已補入首頁聲明 https://reurl.cc/448WaX https://reurl.cc/jkpv8q 天下那篇只能用手機開 電腦會要求訂閱 http://i.imgur.com/93RVSLo.jpg http://i.imgur.com/t3IcXwz.jpg 那我可以去哪裡找到非業配的新聞呢? 我只能查到這樣了，或許您幾個禮拜後收到金管會的回覆會有比較清楚的說明， 希望您能夠貼上來與板友分享。另外我也查不到麻布違法的相關新聞， 麻布爬了4年如果違 法應該沒辦法活到現在，也應該會有新聞抨擊。 所以最多是灰色地帶而不至於違法吧~ 麻布問題就是他無法證明他沒有拿帳密做同步以外的事情 沒有的東西沒辦法證明 就像我被指我怎樣 但是我沒有東西可以反證 是啊 如果銀行可以設計一個查詢密碼也不錯(純幻想) 加密貨幣的部分麻布就會提醒API Key只要開讀取權限就好 Planto表示: 我目前也查不到金管會說麻布爬蟲違法的新聞 可以請前輩指點嗎 我不同意您的看法 但我尊重您的發言權利 祝您順心一夜好眠 白色回應有提到麻布喊API喊了一年沒開放 並無都推給銀行 目前分給噓噓東了 感謝您分享您的看法 不知道「麻布不想付錢」的部分有沒有相關新聞資訊呢? level3不是傳遞交易資訊嗎 有包含購買項目喔 關於上來洗的部分 您高興就好 祝您順心 記得取消共同行銷 麻布的證券因為憑證問題幾乎都掛掉囉 因為麻布爬網銀是代理登入，之前券商風波讓大部分證券都要求憑證登入， 所以就沒辦法同步了。這個跟電支無法同步是類似的道理。 其實只要像匯豐一樣，登入都要小精靈密碼，麻布就掛了 很多人都說願意同步時輸入小精靈OTP，但是麻布還是沒有開發。 不過網銀如果改成都要插卡登入應該會先引來民怨吧 ※ 編輯: temu2015 (61.228.92.213 臺灣), 02/27/2022 16:36:25 所以我寫得很清楚 自己決定要不要用 我自己信任麻布 也提出相關的資訊 但是最終要不要用還是得看個人風險評估 麻布有客服 電話的部分應該是可以打睿元的 睿元國際股份有限公司 Moneybook Co., Ltd. 電話: 02-27771278 地址: 臺北市中正區羅斯福路2段198號8樓之1 國外登入相關單位有主動提醒是好事 我也希望麻布趕快開。。。。 因為friDay還是不足以滿足個人記帳需求 228不宜祝您連假快樂，改祝您身體健康萬事如意 很好啊! 保障使用者的安全 我頂多說friDay無法滿足我的需求 沒黑他吧 friDay走API又通過資安L3 安全性>麻布是不爭的事實 麻布APP也有記裝置和新登入通知 某人就搞不清楚狀況啊，friDay上線時我還有發文呢 台新的那篇我還一步一步截圖貼上來給板友參考 我不能發悠遊卡進步的文然後說期待有錢卡跟上嗎 真奇怪 像是有錢卡要靠卡一直被攻擊 我還不是一直解釋加值金回存必須寫卡 既然不知道是第幾千個 您7000次大大大大學長就別跟我小弟計較了吧 祝您身體健康萬事如意 ※ 編輯: temu2015 (61.228.99.108 臺灣), 02/28/2022 10:51:52