法規名稱: | 保險業作業委託他人處理應注意事項 |
---|---|
修正日期: | 民國 113 年 11 月 06 日 |
十八、保險業將作業委託他人處理涉及使用雲端服務,應依下列規定辦理
:
(一)應訂定使用雲端服務之政策及原則,採取適當風險管控措施,並
應注意作業委託雲端服務業者之適度分散。
(二)保險業對雲端服務業者負有最終監督義務,並應具有專業技術及
資源監督雲端服務業者執行受託作業,並得視需要委託專業第三
人以輔助其監督作業。
(三)保險業得自行委託,或與委託同一雲端服務業者之其他保險業及
金融機構聯合委託具資訊專業之獨立第三人查核,並應符合下列
規定:
1.確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重要系
統及控制環節。
2.應評估第三人之適格性,以及其所出具查核報告內容之妥適性
並符合相關國際資訊安全及隱私保護標準。
3.應針對保險業所委託作業範圍進行查核並出具報告。
(四)保險業傳輸及儲存客戶資料至雲端服務業者,應採行客戶資料加
密或代碼化等有效保護措施,並應訂定妥適之加密金鑰管理機制
。
(五)對委託雲端服務業者處理之資料應保有完整所有權,除執行受託
作業外,保險業應確保雲端服務業者不得有存取客戶資料之權限
,並不得為委託範圍以外之利用。
(六)委託雲端服務業者處理之客戶資料及其儲存地應依下列規定辦理
:
1.保險業須保有其指定資料處理及儲存地之權利。
2.境外當地資料保護法規不得低於我國要求。
3.涉及重大性自然人客戶業務資訊系統之客戶資料儲存地以位於
我國境內為原則。如位於境外,除經主管機關核准外,客戶重
要資料應在我國留存備份。