保險業及合作銀行辦理本業務，應取得資訊安全管理系統國際標準認證（ ISO27001）、個人資料管理系統（PIMS）之認證，針對所傳輸之個人資料 應建置適當之保護設備或技術，並採取適當之存取管制。 一、保險業及合作銀行應留存相關交易及稽核軌跡，並留存紀錄，相關文 件保存期限至少五年。 二、資料及檔案之傳輸與儲存，應依主管機關要求之資訊安全防護相關規 範辦理。 三、保險業及合作銀行辦理本業務使用之 API，控管機制至少包括以下幾 點： （一）保險業開發之 API，須進行程式版本控管、功能性驗證、程式源碼 掃描及安全性測試，經主管核准後上線至 APIM 平台。 （二）保險業提供合作銀行使用之 API，須依申請內容於 APIM 平台上進 行設定，限制外部使用來源，避免未經授權者使用此 API。 （三）APIM 軟體及人員之資訊安全防護配套措施： 1.APIM 軟體須定期進行安全性更新。 2.合作銀行須註冊審核通過，始得向保險業提出申請，並經保險業 之資訊與業務權責單位審核資格後，始可使用相關 API。 3.API 開發者與管理者分層負責，開發者僅能在測試環境中進行 A PI 組裝與測試，正式環境僅能由管理者執行。 （四）強化 API 資訊安全之控管措施： 1.保險業須依財金資訊股份有限公司「開放應用程式介面（Open A PI）業務安全控管作業規範」之安控要求辦理： 網路傳輸協定使用 HTTPS，正面表列並限制僅接受所需之 HTTPS ，採用 SSL 加密 TLS1.2 （含）以上版本；進行欄位格式檢查 、採取連線限制與逾時中斷等機制。 2.定期針對 API 管理主機弱點掃描與滲透測試，漏洞修補。 3.使用金鑰（API Key） 來進行識別認證。 4.每年定期檢視帳號與 API 授權合理性。 5.證據保全、軌跡留存（Log Management）。 6.即時事件監控。 四、保險公司及合作銀行應監控並建立資通安全事件通報程序，遇事件發 生時，相關單位及人員應依相關通報程序辦理。