今年5月歐盟個資法GDPR啟用及近年來行動支付盛行,加上虛擬貨幣市場交易普及化,都讓人們對於資安問題關注來到高峰,歐美各國利用代碼化技術(Tokenization Technology)為個資把關已行之有年,但亞洲地區放眼望去,使用傳統型加密系統的企業及機構仍屬多數。
2018年4月才草創的代碼技術提供廠商——TaiPay為亞洲地區提供代碼化技術的新創公司,他們以B2B的商業模式,企圖將業務擴展至亞太地區的大型及中小型企業,舉凡政府機構、金融、醫療衛生、教育、保險、購物支付、互聯網及其他企業組織都是他們鎖定的客戶範疇。集團更憑技術實力,在去(2017)年獲得PCI SSC(Payment Card Industry Security Standard Council,支付卡產業安全標準協會) 訂定的 PCI-DSS Level 1(PCI-DSS,Payment Card Industry Data Security Standard 支付卡產業資料安全標準)證書。
TaiPay的營運長謝介壽(Jason)於訪談中提到:「我們觀察到傳統加密市場最具代表性的痛點,無論是企業、虛擬貨幣交易所,資安問題仍尚有改善空間。駭客入侵狀況層出不窮,資料外洩造成的損失都一再說明企業真的不能輕忽資安。」
解決傳統型加密資安漏洞 代碼化技術降低企業外部風險
所謂「代碼化技術」,即是將傳輸資訊轉換成不易辨識的亂碼,替資料加上一層防護罩,透過隨機的處理取代傳統加密的數學演算法,因此就算駭客取得客戶資訊,乍看之下也只是沒有意義的亂數而已。此種技術運用在支付安全上已非常普遍,舉凡Apple Pay、Android Pay以及多數第三方支付,都利用此項技術確保消費者資訊不會在流動中遭商家竊取。
問及代碼化技術與傳統型加密的區別時,TaiPay營運長謝介壽解釋道:「我們代碼化技術儲存資料的方式,與傳統加密技術不同,傳統加密是將整筆資料同時存入Database Server裡面,但如果有駭客破解Key的話,整筆資料就會被撈走;而代碼化技術不同在於:我們會代碼化每一筆輸入資料,所以若是有駭客竊取這兩千萬筆資料,必須一一破解相對應的代碼。」此外,傳統加密技術主要以數學公式進行加密,但此種加密方式容易遭有心人士以逆向工程加以破解,資料外洩風險極高。
不侷限特定領域 支援各領域資安維護
TaiPay在代碼化技術的運用發展上,不只侷限電子支付的傳輸安全,在資安的維護也下足苦心,「我們會把客戶的PII(Personally identifiable information,個人識別資訊)轉為任一隨機代碼,使用這個隨機號碼在外流通時,這些個人資料會安全地被儲存在我們代碼金庫裡面。最為人熟知的Apple Pay就是運用這項技術,但他們就單純只運用在電子支付上面而已。而我們則會擴大這項技術的運用範圍。」
一同受訪的團隊成員許為紳(Will)則提到,現行台灣銀行、電信業者普遍採取與美國VISA合作,這種情況導致台灣大部分的卡號及個資,都會儲存在國外,企業不但不能自行做資安監控,美國廠商也因為區域的限制,無法提供亞太地區即時技術支援,謝介壽補充說道:「TaiPay希望幫客戶建構出一個安全的架構,除了不怕駭客入侵外,客製化服務提供符合需求的代碼金庫在你家,這樣一來,你也就避免把自家的機密資料放在別人家裡,才能夠真正做到資安的主人。客製化金庫可以使企業、政府建立起自我管理的機制,大幅的降低外部風險。」
與歐美大廠的競爭區隔:提供客製化技術支援服務
與現存提供類似服務的十五家歐美廠商相比,TaiPay以彈性化的服務為核心,並以較低的成本建置內部系統。此種客製化的服務,比起歐美普遍的標準化系統,因為能在串接初始出現問題由TaiPay方面馬上調整配合客戶,比起標準化要耗時改自己的系統或與歐美大廠耗時溝通來得省時又便利。
「我們服務的特點主要是客製化的API服務。包括兩個部分,分別是企業內部部署與雲端服務,我們還會針對雲的服務去細分它是『標準化的API』還是『客製化的API』,TaiPay可以針對客戶的需求量身定做,這也是我們與其他競爭者不同的地方。」謝介壽說。
在技術支援上,TaiPay提供完整的代碼資安服務、系統維護服務,並持續進行符合亞太需求的技術研發。謝介壽在訪談中也一再強調團隊是一個較為完整的資安代碼化服務,現在傳統代碼化技術大廠都在歐美,因此他們比較沒有辦法針對亞洲客戶做到直接的技術支援,但是團隊可以。
此外,TaiPay針對亞太地區客戶需求,提供多樣化服務規格書,希望透過客製化的經營模式與歐美大廠做區隔,以達到五年之年將此技術推至亞太全區目標。
展望代碼化技術未來應用,將服務推及至醫療與區塊鏈領域
「我們完全是自主研發,每一行的程式都是自己寫出來的,所以我們可以完全掌握未來發展領域。」謝介壽表示此一技術未來計劃擴大到結合醫療及虛擬貨幣產業。
醫療方面,代碼化技術可以運用在健保與醫院系統,將病人的個資代碼化後加上沒有代碼化的病例,於分散風險的概念下,能夠使得代碼化後的PII 與原先「病歷」分開,如此一來,就算病歷遭被心人士獲得,也無從得知這是誰的病歷資料。另一方面,在權限控管方面也能運用在醫院內部系統方便醫院內部行政管理。
虛擬貨幣方面,TaiPay則希望尋求相關夥伴如交易所合作,運用團隊技術協助代碼化每一位虛擬貨幣擁有者的私鑰,這就等同為私鑰加上一層密碼鎖,降低被盜取的風險。
最後談到TaiPay在推廣業務時遭遇的困難,團隊成員都會心一笑,營運長謝介壽說:「對亞太地區(包括台灣)的企業來講,代碼技術對他們來說是一個很新的技術,包括金融業他們都還在運用傳統加密技術來保護個資,TaiPay的使命是希望推廣代碼化的加密技術到亞洲,希望亞太地區的用戶都可以了解:代碼技術絕對可以比傳統的加密技術更加安全。」
由於亞太地區對於代碼技術的了解尚不夠深,因此因應市場需求,TaiPay希望以「資安專家」的定位來為亞太地區的客戶服務,「比起打著『代碼技術』的口號,不如把自己打造成『資安專家』,客戶才能比較容易Catch到我們的重點!」以資安為主要訴求,背後以代碼技術作為支撐,TaiPay希望先以暸解客戶需求為出發,提出客製化的服務方案,並因應市場會發生的各種疑難雜症去解決。
創業快問快答
Q:創業至今,做得最好的三件事為何?
1. 自主研發代碼化技術
2. 以代碼化技術為基礎,研發出 6 項先進的解決方案
3. 同仁向心力
Q:最常被客戶或投資人問起的事情?您會如何回應?
Q:什麼是代碼化技術?
A:代碼化技術就是以亂數包括:數字、英文及符號,取代原始信用卡卡號、帳號,或是機敏資料如:身份證字號等⋯⋯。
Q:創業,教會了你哪些事?簡單分享創業至今以來的心得感想?
1. 找對人才,適才適用,開發同仁潛能。
2. 看懂趨勢,抓住機會。
公司資訊
公司名稱:TaiPay Fintech Inc./悠遊支付樂金融科技股份有限公司
成立時間:2018/4/10
產品名稱:Tokenization Technology/代碼化技術
推出時間:2018/4/10
官方網站│Facebook|MeetHub
本文授權轉載自:創業小聚
