本文共818字
金管會預告修正「專營電支內控稽核制度實施辦法」,增訂總資產10億元或使用者人數逾200萬人的專營電子支付機構,需設資安專責單位及主管並給半年調整期;依金管會估算,有6家專營電支機構都得增設,最快明年8月上路。
符合需設資安專責單位的6家專營電支機構,是街口支付、全盈支付、全支付、悠遊卡、一卡通(iPass Money)及愛金卡(I-Cash)。目前全台共有9家專營電支機構,等於2/3電支機構全入列。
銀行局副局長侯立洋說,修法預告期間是60天並給半年業務調整期,因此這6家專營電支機構,需完成增設資安專責單位及主管的時間點,估算將落在2025年8月。
一旦屆期未完成,又遲不改善,將會依違反內稽內控辦法處理,處罰鍰60~300萬元。但侯立洋強調,已經給了業者很長時間調整期,各業者應都會在期限內完成。
為提高專營電子支付機構重視資訊安全,金管會預告修正「專營電支內控稽核制度實施辦法」,有兩大修正重點,一、明定專營電支機構委託會計師辦理內控制度查核後,需出具合理確信報告,不再只是單純的「表示意見」。
二、明定專營電支機構前一年度的資產總額10億元或使用者人數逾200萬人者,應設置資安專責單位及主管,負責資安相關工作,禁止兼辦資訊、或其他與職務有利益衝突的業務。
資安專責單位若隸屬在資訊組織架構,也需與資訊單位分別設置,以符合獨立運作的管理機制。
據金管會9月底統計,使用者人數逾200萬人者,包括街口支付657萬人、一卡通655萬人,全支付508.8萬人、悠遊卡319.6萬人、全盈支付212萬人等5家,愛金卡是147.6萬人但因總資產逾10億元而入列。
侯立洋說,這6家專營電支機構目前都沒有設置資安專責單位及主管,因此需在2025年8月前完成設置。資安主管沒有要求層級,專責單位也沒有人數限制,由各業者依照業務量去做適配。
金管會認為,專營電支機構是以支付業務為核心,其資安防護與金融體系密切關聯,提高專營機構更重視資安,可保障使用者權益。
※ 歡迎用「轉貼」或「分享」的方式轉傳文章連結;未經授權,請勿複製轉貼文章內容
留言