文/黃彥棻 | 2006-08-14發表

許多人已經習慣使用信用卡作為付款工具,但在每一次刷卡的背後,特別是遇到跨行交易時,都是透過聯合信用卡中心的交易平臺來完成的。

要扮演好這一個角色,並且在無聲無息中做好所有的資訊流交換,聯合信用卡中心IT部門身負重任,該中心資訊服務部資深協理邱挽強表示,確保IT系統平臺的高度穩定性,以及維持滴水不漏的資安環境,是他工作上的兩大重點。

交易頻率超高,重成本投資系統穩定
聯合信用卡中心主要的往來業務可以分成3大類,分別是信用卡收單業務、授權轉接平臺(意指信用卡跨行交易),以及國內信用卡清算系統等。

這3項業務,現在都無法手工作業,全都必須仰賴資訊平臺來完成,而且,聯合信用卡中心所處理的交易資訊,與其他金融機構最大的不同點在於,「每筆資料量雖不大,但交易的頻率卻很高。」邱挽強說。

邱挽強解釋,聯合信用卡中心每日處理量很大,光是處理信用卡跨行交易的數量,每日就超過130萬筆,即每分鐘交易近千筆,所以,該系統必須能夠承受這樣的資料傳輸頻率。因此,聯合信用卡中心便採用與世界級證券交易所、信用卡處理中心同步,號稱不停機的Tandem主機。他說,這臺8顆處理器的主機,也傲視全臺信用卡同業的系統規模。

除了Tandem主機外,聯合信用卡中心的信用卡清算系統,則採用IBM的R6主機;至於其他電子商務或小系統運作,則獨立在另外100多臺昇陽的伺服器上,其中用作電子商務平臺、具有30多顆處理器的昇陽伺服器,也同樣必須小心做好種種基本維運及備援措施。

為了維持高度穩定性,聯合信用卡中心這些穩固基礎架構,每年卻是用高額成本去維持,邱挽強透露,該中心每年軟硬體授權、維運經費就超過5000萬元。

資安政策從法規落實開始
因為聯合信用卡中心處理的業務,攸關許多民眾的隱私和金錢,因此在資訊安全的要求上,如同其他金融同業一般,必須遵守嚴格的法規規範。

邱挽強表示,許多國際性的發卡組織都要求信用卡系統中,不可以存放使用者的敏感資料,包含身份資料、信用卡訊息等,但若不存放資料,刷卡系統或商店又如何與持卡人進行資料核對?所以,聯合信用卡中心的作法是,用亂數加密方式隱藏部分卡號,與持卡人相關的訊息也只存放在某幾臺有嚴密保護的伺服器中。

如同其他金融單位一樣,在金管會的要求下,聯合信用卡中心在組織架構上,設立了一個資訊安全管理委員會,直屬總經理,邱挽強就是這個資安委員會主要與高層一起制訂政策,並確保政策執行成效的人。

用3-D Secure認證機制強化網路交易安全
所有的資訊安全工作當中,網路交易安全的維護就相當關鍵,該中心有許多嚴密的作法,其中,為了確保持卡人的交易安全,除了符合國際發卡組織規範,並強化組織對資安的重視外,在電子商務越來越普及的環境下,聯合信用卡中心也與國際組織合作,完成網路交易認證服務3-D Secure機制。

他進一步說道,先前許多電子商務交易時,連線傳輸採用SSL的加密,但持卡人的資料在用戶端和商店端,都是明碼。也就是說,商店看得到持卡人的所有資料,如果有不肖的店家將資料存放在電腦系統上,就有很高資料外洩的危機。因此,透過3-D Secure認證機制,持卡人資料在刷卡傳輸的過程中,透過網路直接與聯合信用卡中心的後端系統進行認證,並不會存放在網路店家的電腦系統中,這也大幅降低資料外洩的危機。

人員作業風險,也嚴加控管
另一方面,在內部人員作業安全的控管上,該中心也很在意。在3年前,聯合信用卡中心便因應外稽單位的要求,將軟體開發和系統管理人員做職能上的切割,確保系統的安全性。

將資訊部門職能分割只是第一步,目前資訊部門也在強化批次作業管理,以及各個資料庫和使用者帳號的整合,期能達到單一帳號登入(single sign on;SSO)。邱挽強說,目前單一登入的進度已經完成6成左右,許多老舊系統仍須透過改寫或翻新,才有辦法做到單一登入。

由於聯合信用卡中心仍有部分業務委外,由EDS負責的部分信用卡清算業務,聯合信用卡中心會要求要看EDS的外稽資料,以確保整個流程委外的安全;在軟體委外開發上,則會進行程式碼複檢和版本控制等安全措施。

由於聯合卡信用中心處理的資料過於機密,系統的穩定性便攸關持卡人資料的安全,邱挽強說,聯合信用卡中心除了每年會自行委由第三方單位,針對聯合信用卡中心的各種系統,進行滲透測試外,包含威士卡、萬事達卡等國際組織,每年也會定期、不定期進行相關滲透測試,以確保系統的穩定性。

避免偽卡流竄,建置相關風控系統
在信用卡業務中,最擔心的除了資料外洩外,就是偽卡的安全疑慮,不僅會造成持卡人的損失,也會造成銀行的損失,這兩年邱挽強的重點工作之一,就是建立「信用卡黑名單通報機制」。這是一個資料庫,搜羅各家會員銀行的卡戶資料,這個系統跟各會員銀行連線,保持資料是最新的,不論哪一家銀行對哪一位持卡人進行停卡等動作,只要更新到黑名單通報系統中,其他銀行都可以同步存取最新的黑名單資料。

他表示,建置這套系統的時候,最困難的是讓各銀行交出他們的卡戶資料,這必須有兩個條件,首先,他們必須要信任這個單位,再者,他們也必須信任這個單位的系統。

這套通報機制去年完成了,也表示聯合信用卡中心多年來用穩定、安全的資訊系統所提供的服務,已取得銀行界的信任。文⊙黃彥棻

 

 

寧可多花時間,換取IT建置品質
身為聯合信用卡資訊服務部門的元老級員工,資深協理邱挽強在資訊服務部門成立(1991年)的2年後加入,從當時的12個人員編制,到現在48人員編制,從基層工程師做起的他,深信「將帥無能、累死三軍」。因此,他在進行許多IT建置計畫時,不躁進、考量下屬人力配置,是他最高行事準則。

從現在正在做的異地備援中心建置案的規畫,就充分反映了他的這項特質。建置一個異地備援中心,一般企業盡可能在1年內完成,但是邱挽強則規畫分成4年進行。

邱挽強表示,身為主管向上溝通很容易,只要喊出承諾,就可以獲得高層主管的信賴,但這些承諾,有時候往往是讓單位員工,即使是做到精疲力竭還不見得能完成的工作內容。這樣的工作環境,單位員工受到長期壓榨,許多優秀員工甚至可能因而折損、離職。

因此,當他在規劃災難復原中心時,他就衡量IT部門現有的工作和人力以及緊急性,寧可用比別人多的時間,來確保同仁能夠負荷,提高導入品質。文⊙黃彥棻

CIO小檔案-邱挽強
聯合信用卡中心資訊服務部資深協理
●學經歷:淡江大學電算系畢業,曾經在內政部資料中心、王安電腦、宏碁電腦、凌群電腦工作,在聯合信用卡中心資訊服務部迄今工作13年,歷經資訊部襄理、副理、經理、協理等職位。

公司檔案-聯合信用卡處理中心
●主要業務:處理信用卡收單、清算和會員銀行信用卡跨行交易業務
●員工人數:272人,平均年齡35.7歲,平均服務年資9.38年
●IT部門人數:48人,分成OP、網管、軟體開發、系統管理、業務諮詢和DBA等
●IT預算:平均2.8億元,內含2億元清算系統委外業務處理金

 

熱門新聞

Advertisement