隨著國內越來越多民眾使用電子支付,相關單位的資安水準也受到嚴格考驗。為了提高電支機構的資安防護與企業內控,金管會預告提出修正法案,要求一定規模以上的電支機構,必須於內部設置資安專責單位與資安主管,若違規最高將面臨 300 萬元罰款。
消費者更注重數據隱私!調查顯示,83% 的消費者認為保護個人數據是贏得他們信任的關鍵因素
悠遊卡、一卡通都缺專責資安單位
金管會表示,官方未來將提出「專營電子支付機構內部控制及稽核制度實施辦法」修正草案,要求總資產達 10 億元,或者使用者人數達 200 萬人以上的專營電子支付機構,明年起應設置資訊安全專責單位及主管。
銀行局副局長侯立洋指出,目前國內合計 9 家專營電支機構中,符合設置資安專責單位及主管條件的共有 6 家,包含街口支付、全盈支付、全支付、悠遊卡、一卡通 iPass Money 與 I-Cash 愛金卡 ,目前這些企業都尚未擁有專責領導人或單位處理資安議題。
只不過街口支付 12 月 5 日主動向科技報橘澄清,指金管會今年 4 月發函給公司,要求必須設置資安專責單位,隨後街口支付即調整部門組織架構並開始進行招募,相關資安專業人員已於 8 月到任,資安專責單位、主管及員工亦完成安排,期能提升金融資安防護能量並保障使用者權益。
侯立洋強調,為了提升金融資安防護能量且保障使用者權益,新規定修法通過後將會盡快實施,預告期間訂為 60 天,並於發布後 3 天後立刻施行,預計最快 2025 年春節後即可上路。
不要求資安主管層級,不設單位人數限制
根據金管會日前公開的數據,目前台灣電支服務使用者人數排名,由高而低分別為街口支付 657 萬人、一卡通 655 萬人、全支付 509 萬人、悠遊卡 320 萬人、全盈支付 212 萬人、愛金卡 147.6 萬人,至於 LINE Pay 則因為仍然隸屬第三方支付執照而沒有列入。
金管會表示,官方將會給予前述 6 家符合條件的專營電支機構,半年業務調整期以適應新規定,因此完成增設資安專責單位及主管的時間點,應該會落在 2025 年 8 月,同時也給予企業營運彈性,沒有要求資安主管層級,專責單位亦不設最低人數限制,由各業者依照業務量自行安排。
過渡期 6 個月,違規最重罰 300 萬
至於罰則方面,若專營電支機構於過渡期內未完成調整,金管會將進一步檢視原因,假如情節嚴重,懲處標準將依據現行的電支業者內稽內控法規,開罰 60 到 300 萬元。
除了資安方面的法規修正外,金管會預計也將要求專營電支機構,委託會計師辦理內控制度查核時,其提出的查核報告必須擁有合理確信度。
【推薦閱讀】
◆ 詐騙數量激增 10 倍!社交工程手段興起,銀行擋不住民眾自願匯款
