電子支付機構應盤點與資訊安全相關法規規定,並將相關資訊安全要求與
內部控制制度結合,定期進行法令遵循自評,以確保資訊安全之法令遵循
性。
本辦法所訂之資訊系統及安全控管項目,電子支付機構應透過內部控制制
度進行定期檢核,並應於依本條例第十條申請許可時及其後每年四月底前
,由會計師進行檢視,提出資訊系統及安全控管作業評估報告。
前項評估報告內容應至少包含評估人員資格、評估範圍、評估時所發現之
缺失項目、缺失嚴重程度、缺失類別、風險說明、具體改善建議及社交演
練結果,且應送稽核單位進行缺失改善事項之追蹤覆查。該報告應併同缺
失改善等相關文件至少保存二年。
為確保交易資料之隱密性及安全性,並維持資料傳輸、交換或處理之正確
性,主管機關於必要時,得要求電子支付機構提高資訊系統標準及加強安
全控管作業。 |