金融機構將作業委託他人處理涉及使用雲端服務,具重大性或依第十八條
將作業委託至境外者,應檢具下列書件向主管機關申請核准始得辦理:
一、依第四條第二項訂定之委外內部作業規範。
二、董(理)事會決議之議事錄。但外國銀行在臺分行得由經總行授權人
員出具同意書為之。
三、法規遵循聲明書。
四、作業委託雲端服務業者處理之必要性及適法性分析,其中應包括對雲
端服務業者遵守我國客戶資料保護相關規定之評估。
五、作業委外計畫書,其內容應包括:
(一)風險評估及管理機制:
1.應對雲端服務業者進行審查以確保提供作業之可靠性、遵法性,
包括對業務持續性、替代性及集中性之分析。
2.應具專業技術及資源監督雲端服務業者執行受託作業之說明。
(二)資訊安全及管理:
1.金融機構對於客戶資料之加密或代碼化、金鑰保管、資料傳輸及
區隔,以及資料所有權說明。
2.資料儲存地之管理政策,包括資料處理及儲存於境外時,有關當
地法律、政治、經濟安定性評估說明,資料備份及得隨時存取資
料之說明。
(三)金融機構、主管機關及中央銀行,或其指定之人取得雲端服務業者
處理受託作業資訊之範圍及方式,包括取得客戶資訊及相關系統之
查核報告,及確保實地查核權力之說明。
(四)緊急應變計畫及退場機制,包括金融機構具有充分資源應變及退場
之說明。
前項所稱具重大性之作業,係指下列情形之一:
一、受託作業如無法提供服務或有資訊安全疑慮,對金融機構之業務營運
有重大影響者。
二、受託作業涉及客戶資料安全事件,對金融機構或客戶權益有重大影響
者。
三、其他對金融機構或客戶權益有重大影響者。
金融機構將作業委託他人處理涉及使用雲端服務,不屬第一項具重大性或
依第十八條將作業委託至境外者,應檢具第一項第三款至第五款之書件,
報經主管機關備查。
外國銀行在臺分行及在臺子銀行作業委託總行、母行或所屬集團之分支機
構及子公司,複委託雲端服務業者處理,應檢具第一項作業委外計畫書,
併同第十八條規定書件向主管機關申請核准,並應依下列規定辦理:
一、總行、母行或所屬集團之分支機構及子公司所在地主管機關對作業委
託雲端服務業者處理之監理規範不低於我國規定。
二、作業委外計畫書內容,得由其總行、母行或所屬集團之分支機構及子
公司出具相當性之說明文件代之。 |