如何辨識產品設計面的違法風險

1. 電子支付產品風險辨識
如何辨識產品設計面的違法風險
Chris Lin
2019.5.19

2. 曾經被問到一個問題
• 設計：是否「合法且合理」
• 運行：是否「正確且正常」
• 監控：是否「持續且精準」
• 調整：是否「有效且合規」
如何知道產品或系統存是否在違法風險
來源：https://www.volarisgroup.com/blog/article/8-things-that-you-need-to-know-about-risk-management

3. 風險管理
規劃風險管理
辨識風險
進行定性定量
風險分析
規劃風險回應
實施風險回應
監視風險 建構風險管理策略與方法
辨識產品違法風險
排序優先序和整體風險量依據辨識風險設計回應
依照計畫回應
追蹤事件與衡量成效來修正
風險管理的過程

4. 規劃風險管理
• 公司內部風險政策、辦法、程序計畫
• 諮詢風險管理相關單位
• 諮詢風險管理技術專家
• 逐步完善風險管理計畫
參考資料或諮詢專家意見
管理計畫
來源：https://pmcenter.bellevue.edu/2016/06/19/the-benefits-of-risk-management-planning
• 風險回應
• 應變啟動時機
• 資金資源儲備
• 追蹤
…
• 風險策略
• 方法論
• 角色與責任

5. 辨識風險-設計面違法風險
• 設計是否符合法規
• 設計是否符合內部辦法或作業程序
• 設計是否符合其他須遵守的規範
來源：https://medium.com/as-a-product-designer/%E6%B7%BA%E8%AB%87%E7%94%A2%E5%93%81%E8%A8%AD%E8%A8%88%E5%B8%AB%E8%A6%81%E6%9C%89%E7%9A%84%E4%B8%89%E5%A4%A7%E5%9F%BA%E6%9C%AC%E5%8A%9F-9c391a7c71e8
聚焦在設計面
檢視設計來辨識

6. 步驟一
比對最新條文及與組織辦法與作
業程序之間的差異，並提出產
生差異的解釋或修正
步驟三
進行分析後，依條文、辦法作業
程序逐條說明遵循或落實方式，
並附上佐證資料
步驟二
蒐集未來可能會作為佐證資料的
頁面或程式碼截圖、內外部技
術文件及佐證人清單
步驟四
辨識可能未能遵循或落實之事項、
衝擊機率和程度，及可能的應
變、補償、或改善措施
資料蒐集與分析

7. 資料種類
• 電子支付機構管理條例
• 電子支付機構使用者身分確認
及交易限額管理辦法
• 電子支付機構業務管理規則
• 電子支付機構資訊系統標準及
安全控管作業基準辦法
…等
法規
• 金融機構提供行動裝置應用程
式作業規範
• 金融機構提供QR Code掃描支
付應用安全控管規範
• 電子支付機構防制洗錢及打擊
資恐注意事項範本
…等
自律規範
視從事業務納入相關函令與規範，
如：
• PCI-DSS
• 組織內部辦法及作業程序
• 內部控制自評資料
• 行動應用 APP基本資安自主檢
測推動制度
…等
內部辦法與其他規定

8. 佐證資料
• 操作流程畫面或訊息截圖
• 系統分析設計文件與程式碼
• 存儲的數據及實際測試
直接證據
• 技術規格文件
• 協議文件
• 報告或證書
內部或外部文件
• 設計者或開發者證詞
• 營運者證詞
• 利害關係人證詞
證詞
來源：https://ithelp.ithome.com.tw/articles/10191287 https://www.msn.com/zh-hk/news/us/michael-cohen-testifies-to-congress/ss-BBUalqD

9. 練習：逐條查閱與產品設計有關條文
從ＫＹＣ、交易限額與安全、系統設計原則三層面切入
檢視設計面是否存在違法風險
來源：https://www.peoplenews.tw/news/aa1310b4-4414-4155-86ba-f7788f9d42ba

10. ▪ PMBOK Guide 6th Edition
▪ 全國法規資料庫
• 電子支付機構管理條例
• 電子支付機構使用者身分確認及交易限額管理辦法
• 電子支付機構業務管理規則
• 電子支付機構資訊系統標準及安全控管作業基準辦法
• 與境外機構合作或協助境外機構於我國境內從事電子支付機構業
務相關行為管理辦法
▪ 植根法律網
• 金融機構提供行動裝置應用程式作業規範
• 金融機構提供QR Code掃描支付應用安全控管規範
• 電子支付機構防制洗錢及打擊資恐注意事項範本
▪ 行動應用資安聯盟
• 行動應用App基本資安自主檢測推動制度V4.0
References

11. THANK YOU!
Do You Have Any Questions?