為落實保險業經營電子商務之管理及維護交易秩序，依據保險業管理辦法 第四條之一第二項規定訂定本規範。

保險業經營電子商務除法令另有規定外，應依據本規範辦理。 前項電子商務指要保人端電腦經由網路與保險公司電腦連線，無須親赴保 險公司櫃台，即可直接取得保險公司所提供之各項非法令所禁止或限制之 保險服務。

保險業經營電子商務者，應至少保存下列項目之紀錄： 一、保險業向憑證機構申請使用、變更或廢止憑證等相關紀錄。 二、憑證載具 [L1] 啟用紀錄。 三、要保人金鑰使用、廢止或更換的紀錄。 四、與要保人間之所有交易紀錄。

保險業以電子簽章、加密等技術保存現有和已歸檔之交易資料紀錄時，應 使用 CD-R 或其他無法更改內容之媒體儲存或委請公信第三者保存，並定 期製作備份資料。

已歸檔儲存之交易資料紀錄 (以下簡稱歸檔資料) ，其保存期限為十年； 用以處理歸檔資料之應用程式保存期限亦同。

保險業管理電子商務之歸檔資料，應依下列原則控管： 一、不得新增、修改或刪除歸檔資料。 二、必要時得將歸檔資料移至另一儲存媒體儲存，但應提供適當的保護， 且保護等級應不低於原保護等級。 三、歸檔資料應存放於安全處所。 四、欲取得歸檔資料者，除法令另有規定外，須以書面提出申請並經允許 後始得為之。 五、歸檔資料由稽核人員負責驗證，在書面文件應驗證文件簽署者及日期 等項目之真偽，電子檔則應驗證歸檔交易紀錄之數位簽章。 六、應對歸檔資料之時間紀錄加以要求及管理。

保險業對於電腦網路設備安全之防護，應符合下列條件： 一、所有網路硬體設備應安置於安全地點。 二、安置網路硬體設備之地點應加裝不斷電系統或備用發電機，並依法令 規定設置必要及合格之消防安全設施。 三、安置網路硬體設備之地點應建立安全維護及人員進出之控管機制。

保險業經營電子商務者，應就網路管理之緊急事故應變與災害復原處理訂 定下列程序： 一、緊急事故通報程序。 二、緊急事故應變程序。 三、災害復原程序。 四、測試程序。

為確保電子商務資訊安全，保險業應訂定網路安全規劃與管理作業，以達 成整體網路作業之安全管理。 前項網路安全規劃與管理作業應包括下列項目： 一、網路安全政策。 二、網路安全服務管理。 三、網路安全連結。 四、主機與要保人端設備安全防護。 五、身分識別和驗證。 六、網域劃分與安全控制。 七、防火牆安全管理。 八、遠端連線控制。 九、網路安全監控。 十、監控處理程序。 十一、事件安全記錄。 十二、入侵偵測檢視。 十三、防範電腦病毒及惡意軟體之攻擊。

保險業應依下列原則管理負責電子商務作業之人員： 一、就資訊系統與人員之管理及權責分工訂定相關作業辦法，並與員工簽 署書面約定及定期宣導，以提醒員工注意。 二、訂定人員違反資訊安全規定之處理程序，並明訂交易資料授權處理層 級。 三、作業人員應定期接受有關資訊安全之訓練，並作成紀錄。

保險業以委外方式處理電子商務時，除依據第七條規定辦理外，應注意下 列原則： 一、簽訂電子商務之租購或資訊作業委外服務計劃書。 二、慎選具有足夠安全管理能力及經驗之廠商作為委辦對象。 三、事前審慎評估可能潛在之各項風險。 四、與委外廠商簽訂適當的資訊安全協定及課予相關安全管理責任，並納 入契約條款。 五、逐年檢討評估委外廠商之履約情形，如有未履行或未達約定之服務水 準者，應要求檢討改進，必要時得終止部分或全部契約，並依法追究 其責任。

保險業之電子商務安全稽核，應至少包含下列項目： 一、是否留有足供安全稽核之記錄資訊。 二、是否已建立防範不法入侵之機制。 三、是否已建立安全修復機制。 四、是否有定期更新修補程式。 五、是否已建立警示系統，對於安全違例事件的發生能立即採取有效防範 措施。

保險業以電子文件方式簽發保險單或暫保單時，應以數位簽章簽署。 保險業應以書面與要保人約定使用數位簽章及公開金鑰憑證之時機，並列 入「保險業內部控制制度及內部稽核作業手冊」中，以作為日後稽核之依 據。

保險業採用數位簽章時，應與憑證機構簽訂契約，並依本規範之規定辦理 。

保險業採用電子認證機制時，應擬訂緊急應變計畫，以避免無法線上交易 而影響要保人之權益。

保險業應依下列標準選擇憑證機構： 一、憑證機構之組織及性質 （一）依公司法設立、辦理公司登記且符合相關營業項目之股份有限公司。 （二）以網路認證服務為主要營業項目。 （三）須具備公信第三者之特性。 （四）所發行之憑證已符合電子簽章法及相關法令之規定。 二、憑證機構之數位簽章機制 （一）作業制度已符合電子簽章法及相關法令之規定。 （二）簽章金鑰 (公開金鑰及私密金鑰 )長度不低於 1024 位元 (bits)， 加密金鑰長度不低於 40 位元 (bits) 。 （三）對於要保人憑證之發放，由保險業擔任註冊 (RA) 單位，負責確認 要保人申請身分，允許要保人自行透過網際網路向憑證機構申請產 生或由保險業協助產生後交付要保人本人。 三、憑證機構簽證電腦系統之安全性 （一）憑證機構簽發憑證之私密金鑰 (Private Key) 須儲存於硬體亂碼 化設備，任何情況下均不得以明碼方式輸出於硬體設備之外。 （二）擁有自有之獨立機房及憑證簽發營運系統，具備嚴謹之安全設施， 並不得與其他業務共用同一設備。 （三）擁有一套網路及軟硬體備援系統，可以執行營運電子認證系統異常 時之備援與系統回復。 （四）營運之電腦機房及相關設備須設置國內，以利主管機關查核。 四、憑證機構之作業制度 （一）對於要保人憑證紀錄保存期限至少為十年。 （二）對於數位簽章，禁止留存要保人之私密金鑰。 （三）對要保人憑證資料妥善保管並負保密之責。 （四）禁止委託其他機構代為處理電子認證業務。 五、憑證機構之內部稽核與控管 （一）全部憑證作業，由實體設備的操作到憑證作業系統的執行，皆須確 實留存相關作業文件及稽核紀錄。 （二）除了管理與作業人員外，並設置安控稽核部門及稽核人員，負責查 核相關業務。

為因應網路技術之發展與進步，保險業應定期審視本規範內容進行調整修 正，以健全保險業電子商務發展。

本規範由中華民國人壽保險商業同業公會與中華民國產物保險商業同業公 會共同訂定，經各該公會理事會通過，並報請主管機關備查後實施；修正 時亦同。