電子支付機構辦理電子支付機構業務之資訊系統及其備援系統,應設置於
我國境內。但符合主管機關可立刻、直接、完整、持續取得相關資訊之情
形,並經主管機關核准者,不在此限。
電子支付機構依前項但書規定向主管機關申請核准時,應檢具下列書件:
一、所在地政府機關書面確認文件,其內容應包括:
(一)該政府機關允許我國主管機關及電子支付機構得進行必要之查核。
(二)該政府機關同意不會取得我國客戶資訊。
二、委託具資訊專業之獨立第三人出具境外資訊系統不低於我國資訊安全
標準之查核報告。
三、針對境外資訊系統發生無法提供服務情事,建立營運備援計畫,並由
具資訊專業之獨立第三人出具該計畫符合以下要求之評估報告:
(一)應確保於境外資訊系統發生無法提供服務情事後四小時內,恢復既
有客戶之業務正常運作,同時維持對各項財務及業務風險之妥善管
理。
(二)若評估境外資訊系統因天然災害致無法於短期內恢復提供服務,電
子支付機構應確保於事件發生後七日內,透過啟動備援系統、安裝
(臨時)資訊主機或其他方式,恢復在我國之主要業務正常運作。
四、日常監督機制之計畫書,其內容應包括:
(一)設立資訊系統設置於境外之監督管理單位或委員會,參與人員包括
法規遵循、內部稽核、作業風險管理及資訊管理監督人員,以有效
執行日常監督。
(二)日常作業機制,包括客戶資料存取情形、系統權限設定及非例行性
作業等檢核項目,計畫應詳述管理作業內容、方式、流程及缺失處
理機制。
五、報經董事會通過之成本效益與集團內費用分攤合理性之評估報告。
電子支付機構依前二項申請核准,應符合下列條件:
一、最近一年內無因違反金融相關法令,受主管機關處分之情事,或有違
反法令情事已具體改善,並經主管機關認可。
二、申請前一年底經主管機關或中央銀行糾正之缺失,均已切實改善。
三、最近一年內無重大資安事故未改善之情事。 |