南山人壽資安缺失連續爆發,從4/17開始就先收了2張罰單共780萬元,沒想到新系統問題還沒解決,5/17又因為電子商務系統業務存在7項資安、洗錢防制及內稽內控相關缺失再罰240萬元,總共被罰了1020萬元。
南山人壽這次主要的7大項缺失如下:
1.辦理網路投保旅平險業務時,有未進行客戶姓名檢核作業之情事,已違反了洗錢防制法有關「金融機構防制洗錢辦法」及保險法「保險業內部控制及稽核制度實施辦法」。
2.南山人壽訂的應用系統安全管理作業手冊及各應用系統開發手冊等規範內容有欠完備,不利確保應用程式變更之正確性及系統維運安全。
3.南山人壽委託外部資安廠商之網路監控服務,經查其對於控管服務方式之決定有延宕情形。
4.南山人壽資訊安全政策係由總經理核定施行之「資訊安全準則」,未提報董事會,核定層級有欠妥適。
5.南山人壽網路投保之個資可複製至個人電腦,並無稽核軌跡及管控措施。
6.將正式作業主機之個資檔案及資料庫複製至開發測試主機作業,有未去識別化之情形。
7.南山人壽電子商務系統之安全設計涉及個人資料,尚未妥適隱碼顯示。
綜觀這次南山人壽的事件,可以看出金管局(及政府)對於資安的重視及執行的決心,這對整個金融產業都是好的現象,因為在迎接國際化新型態的數位金融電子交易之挑戰,會面臨更嚴峻的資安漏洞攻擊問題,所有的金融業及壽險業都要更加謹慎才不會發生類似一銀的重大資安事件,造成不可收拾的殘局。
詳文請見 中時電子報 原文新聞稿