Yahoo奇摩新聞 街口、全支付等四大電支龍頭 金管會要求強制10月前設資安長
國人愈來愈習慣嗶支付,金管會(2)日宣布,為提升電子支付業者資訊安全控管,擬參考銀行公會規範,要求專營電支業者都設資安專責單位,銀行局副局長林志吉說,其中針對400萬會員以上的街口、一卡通、全支付及300萬元的悠遊卡公司,10月底前需強制設立資安長,但層級是經理或副總級,專任或兼任,還待研議。
延伸閱讀:全支付發烏龍假訊息送「9萬郵輪雙人遊」系統出包?行銷活動? 金管會介入了解
擁有469萬會員的國內第三大電子支付業者全支付4月15日一早發出烏龍「假訊息」,app通知會員「郵輪日本雙人遊中獎通知,後又說是行銷活動,不認是系統問題。金管會今日宣布,為提升專營電子支付機構資訊安全之控管,金管會4月函請銀行公會就「電子支付機構資訊系統標準及安全控管作業基準」(簡稱電支安控基準)修正建議方向,及資訊安全專責單位、主管及人員設置之條件,進行研議。
前四大:街口一卡通全支付悠遊卡 10月底先設資安專責主管
林志吉說,目前我國前三大電支龍頭,包括街口、一卡通跟全支付,會員人數都已超過400萬元,其中1家悠遊卡公司,雖然還沒有達到300萬人,但實體卡較多,因此金管會要求這四家電支公司,要先了解評估先行調整 設置資安單位與主管,但緩衝期考量作業時間,因此給予半年時間調整,亦即需在10月底設好專責安控單位。林志吉也說,國內1兆元以上金控銀行,都要求要有副總級以上的資安長,至於未來四大電支龍頭的資安專責主管要到什麼層級?一定要專任或兼營也可,則要待銀行公會再行研議。
依電支機構條例33條,專營電子支付機構應建立內部控制及稽核制度,查核之範圍及其他應遵行事項之辦法,由主管機關定之。若反,可處60萬到300萬元罰金。
金管會日前公布,截至2月底止,國內電子支付業者中,整體排行來看,會員人數前兩名的街口支付、一卡通(iPASS MONEY),都早已站上600萬人,分別有646萬人、623萬人,全支付則以469萬人位居第三。
金管會官員表示,此次電支要求資安控管規範有二大重點
一、比照銀行 檢討安控基準 6個月內報金管會
依金融檢查相關缺失態樣及參考銀行業對資訊安全之管理規範等,檢討修正電支安控基準,於6個月內報金管會。
金管會表示,新興科技之發展導致新的資安威脅及防禦保護技術興起,為強化專營電支機構資訊安全控管機制及緊急應變計畫,應就專營電支機構近年涉及資訊作業之相關金融檢查缺失態樣,檢討修正電支安控基準。
同時,考量「電子支付機構管理條例」於110年7月1日修正施行後,增加電支機構所營業務,為提升電子支付系統之穩定與安全,應參考銀行業自律規範對資訊安全之管理要求,包括電腦系統資訊安全評估、物聯網設備管理、供應鏈風險管理、營運環境管理人員之要求、居家辦公或異地辦公之資安防護,及資訊系統轉換、上線、升級更新作業等面向,併予檢討。
二、依公發公司內控 研議設資安單位 3個月回報
依「公開發行公司建立內部控制制度處理準則」之規定,對電支機構設置資訊安全專責單位之一定條件進行研議,於3個月內報金管會。
金管會官員亦表示,電支機構係以支付業務為核心,其資安防護與金融體系密切關聯,考量專營電支機構多為公開發行公司,因此專營電支機構經營規模達一定條件時,應設置資訊安全專責單位,並配置適當人力資源及設備。
金管會表示,為提升金融資安防護能量及保障使用者權益,將持續督導銀行公會配合資安現況適時修正相關資安自律規範,以供電支機構遵循。另在銀行公會研議完成資訊安全專責單位之設置條件前,考量部分電支機構使用者人數已具相當規模,爰金管會併請該等機構先行評估設置資訊安全專責單位、主管及人員,並給予緩衝期,以利其調整組織分工及內部規章。
