金融機構將作業委託他人處理涉及使用雲端服務,應依下列規定辦理:
一、金融機構應確保作業風險控管,充分評估受託機構處理之風險,採取
適當風險管控措施,確保作業委外處理之品質,並應注意作業委託雲
端服務業者之適度分散。
二、金融機構對雲端服務業者負有最終監督義務,並應具有專業技術及資
源監督雲端服務業者執行受託作業,並得視需要委託專業第三人以輔
助其監督作業。
三、金融機構應確保其本身、主管機關及中央銀行,或其指定之人能取得
雲端服務業者執行受託作業之相關資訊,包括客戶資訊及相關系統之
查核報告,及實地查核權力。
四、金融機構得自行委託,或與委託同一雲端服務業者之其他金融機構聯
合委託具資訊專業之獨立第三人查核,並應符合下列規定:
(一)確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重要系統及
控制環節。
(二)應評估第三人之適格性,以及其所出具查核報告內容之妥適性並符
合相關國際資訊安全標準。
(三)應針對金融機構所委託作業範圍進行查核並出具報告。
五、金融機構傳輸及儲存客戶資料至雲端服務業者,應採行客戶資料加密
或代碼化等有效保護措施,並應訂定妥適之加密金鑰管理機制。
六、對委託雲端服務業者處理之資料應保有完整所有權,除執行受託作業
外,金融機構應確保雲端服務業者不得有存取客戶資料之權限,並不
得為委託範圍以外之利用。
七、委託雲端服務業者處理之客戶資料及其儲存地以位於我國境內為原則
,如位於境外,應依下列規定辦理:
(一)金融機構須保有其指定資料處理及儲存地之權力。
(二)境外當地資料保護法規不得低於我國要求。
(三)除經主管機關核准者外,客戶重要資料應在我國留存備份。
八、金融機構應訂定妥適之緊急應變計畫,降低因作業委託而可能有服務
中斷之風險。金融機構終止或結束作業委託,應確保能順利移轉至另
一雲端服務業者或移回自行處理,並確保原受託雲端服務業者留存資
料全數刪除或銷毀,並留存刪除或銷毀之紀錄。 |