法規名稱:
金融機構作業委託他人處理內部作業制度及程序辦法(112.08.25金管銀外字第11202726731號令修正)
第   19    條
金融機構將作業委託他人處理涉及使用雲端服務,應依下列規定辦理:
一、應訂定使用雲端服務之政策及原則,採取適當風險管控措施,並應注
    意作業委託雲端服務業者之適度分散。
二、金融機構對雲端服務業者負有最終監督義務,並應具有專業技術及資
    源,監督雲端服務業者執行受託作業,並得視需要委託專業第三人以
    輔助其監督作業。
三、金融機構得自行委託,或與委託同一雲端服務業者之其他金融機構聯
    合委託具資訊專業之獨立第三人查核,並應符合下列規定:
(一)確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重要系統及
      控制環節。
(二)應評估第三人之適格性,以及其所出具查核報告內容之妥適性並符
      合相關國際資訊安全及隱私保護標準。
(三)應針對金融機構所委託作業範圍進行查核並出具報告。
四、金融機構傳輸及儲存客戶資料至雲端服務業者,應採行客戶資料加密
    或代碼化等有效保護措施,並應訂定妥適之加密金鑰管理機制。
五、對委託雲端服務業者處理之資料應保有完整所有權,除執行受託作業
    外,金融機構應確保雲端服務業者不得有存取客戶資料之權限,並不
    得為委託範圍以外之利用。
六、委託雲端服務業者處理之客戶資料及其儲存地應依下列規定辦理:
(一)金融機構須保有其指定資料處理及儲存地之權利。
(二)境外當地資料保護法規不得低於我國要求。
(三)涉及重大性消費金融業務資訊系統之客戶資料儲存地以位於我國境
      內為原則。如位於境外,除經主管機關核准者外,客戶重要資料應
      在我國留存備份。
資料來源:銀行局金融法規全文檢索查詢系統