電子支付平臺之系統維運人員管理應符合下列要求:
一、應建立人員之註冊、異動及撤銷註冊程序,用以配置適當之存取權限
。
二、應至少每年定期審查帳號與權限之合理性,人員離職或調職時應盡速
移除權限,以符合職務分工與牽制原則。
三、硬體設備、應用軟體、系統軟體之最高權限帳號或具程式異動、參數
變更權限之帳號應列冊保管;最高權限帳號使用時須先取得權責主管
同意,並保留稽核軌跡。
四、應確認人員之身分與存取權限,必要時得限定其使用之機器與網路位
置(IP)。
五、人員超過十分鐘未操作電腦時,應限制使用者個人資料顯示於螢幕。
六、於登入作業系統進行系統異動或資料庫存取時,應留存人為操作紀錄
,並於使用後儘速變更密碼;但因故無法變更密碼者,應建立監控機
制,避免未授權變更,並於使用後覆核其操作紀錄。
七、帳號應採一人一號管理,避免多人共用同一個帳號為原則,如有共用
需求,申請與使用須有其他補強管控方式,並留存操作紀錄且應能區
分人員身分。
八、採用固定密碼者,應符合第五條第二項規定,並應定期變更密碼:提
供人員使用之帳號至少三個月一次;提供系統連線之帳號,至少每三
個月一次或其他補強管控方式(如限制人工登入)。
九、加解密程式或具變更權限之公用程式(如資料庫存取程式)應列冊管
理並限制使用,該程式應設定存取權限,防止未授權存取,並保留稽
核軌跡。 |