電子支付要設專責資安單位 4家專營先行
銀行局副局長林志吉表示,電支機構是以支付業務爲核心,資安防護與金融體系密切關聯,考量專營電支機構多是公開發行公司,當專營的電支機構使用人數達到一定條件時,應該要設置資訊安全專責單位,並配置適當人力資源及設備。
金管會希望使用者人數多的電子支付機構先行,先要求使用人數超過400萬人的3家專營業者,即街口支付、一卡通、全支付,加上雖使用人數未達300萬人、但實體卡使用者多的悠遊卡,4家先設立專責資安單位。
林志吉表示,4家電支機構在市場上已具規模,認爲有必要先行,已有跟4家電子支付機構溝通,4家都有表達願意先設置,考量到4家電支需要緩衝時間,因此給予半年、10月底之前設置,4家電支機構現在就可以開始調整與評估。
目前國內有10家專營電子支付機構,針對其他6家,金管會表示,已請銀行公會協助,對電支機構設置資訊安全專責單位的條件進行研議,3個月內、7月底前報金管會。
林志吉說明,目前金融業是資本額1兆元以上的銀行、保險公司要設立副總級以上的資安長,至於電子支付機構,因爲營運規模沒有銀行、保險大,業務相對來說單純,後續將請銀行公會研議,不一定要設置到副總級以上的資安主管,至於資安主管可不可以兼任,也有待進一步研議。
林志吉指出,最終期待是希望所有專營電支機構都要設資安專責單位,至於人數與層級,由銀行公會研議後再做決定,牽涉到需要修改章則、資訊系統調整等,目前沒有訂出時間表。確定後會訂在專營電子支付機構實施辦法,若違反將處以60萬~300萬罰鍰。
另金管會也請銀行公會協助檢討修正電支安控基準,於6個月內、10月底報金管會。據檢查局今年初金檢電子支付缺失態樣有四點,一是因過去沒有要求要設立資安專責人員,資安人員都是由資訊人員兼任;二是對帳號管理不夠嚴謹,三是系統軟體更新機制有缺漏,四是伺服器檔案清理不夠完善,也發現電子支付機構對於發生資安事件時,內控上並沒有統一規定怎樣情況要通報主管機關,顯示內控還不夠完善。