法規名稱: | 結合銀行定存場景的保障型保險銷售自律規範 |
---|---|
公布日期: | 民國 114 年 05 月 26 日 |
第 7 條
保險業及合作銀行辦理本業務,應取得資訊安全管理系統國際標準認證(
ISO27001)、個人資料管理系統(PIMS)之認證,針對所傳輸之個人資料
應建置適當之保護設備或技術,並採取適當之存取管制。
一、保險業及合作銀行應留存相關交易及稽核軌跡,並留存紀錄,相關文
件保存期限至少五年。
二、資料及檔案之傳輸與儲存,應依主管機關要求之資訊安全防護相關規
範辦理。
三、保險業及合作銀行辦理本業務使用之 API,控管機制至少包括以下幾
點:
(一)保險業開發之 API,須進行程式版本控管、功能性驗證、程式源碼
掃描及安全性測試,經主管核准後上線至 APIM 平台。
(二)保險業提供合作銀行使用之 API,須依申請內容於 APIM 平台上進
行設定,限制外部使用來源,避免未經授權者使用此 API。
(三)APIM 軟體及人員之資訊安全防護配套措施:
1.APIM 軟體須定期進行安全性更新。
2.合作銀行須註冊審核通過,始得向保險業提出申請,並經保險業
之資訊與業務權責單位審核資格後,始可使用相關 API。
3.API 開發者與管理者分層負責,開發者僅能在測試環境中進行 A
PI 組裝與測試,正式環境僅能由管理者執行。
(四)強化 API 資訊安全之控管措施:
1.保險業須依財金資訊股份有限公司「開放應用程式介面(Open A
PI)業務安全控管作業規範」之安控要求辦理:
網路傳輸協定使用 HTTPS,正面表列並限制僅接受所需之 HTTPS
,採用 SSL 加密 TLS1.2 (含)以上版本;進行欄位格式檢查
、採取連線限制與逾時中斷等機制。
2.定期針對 API 管理主機弱點掃描與滲透測試,漏洞修補。
3.使用金鑰(API Key) 來進行識別認證。
4.每年定期檢視帳號與 API 授權合理性。
5.證據保全、軌跡留存(Log Management)。
6.即時事件監控。
四、保險公司及合作銀行應監控並建立資通安全事件通報程序,遇事件發
生時,相關單位及人員應依相關通報程序辦理。